HaboMalHunter

(โปรดดูเวอร์ชันภาษาจีนที่นี่)

โปรแกรมแรงจูงใจโอเพ่นซอร์สของ Tencent สนับสนุนการมีส่วนร่วมและการมีส่วนร่วมของนักพัฒนาและหวังว่าจะเข้าร่วมของคุณ

Habomalhunter เป็นโครงการย่อยของระบบการวิเคราะห์มัลแวร์ HABO (https://habo.qq.com) ซึ่งสามารถใช้สำหรับการวิเคราะห์มัลแวร์อัตโนมัติและการประเมินความปลอดภัยในระบบ Linux เครื่องมือช่วยให้ความปลอดภัยวิเคราะห์การแยกคุณสมบัติคงที่และไดนามิกจากมัลแวร์ได้อย่างมีประสิทธิภาพและมีประสิทธิภาพ รายงานที่สร้างขึ้นให้ข้อมูลที่สำคัญเกี่ยวกับกระบวนการไฟล์ I/O การโทรเครือข่ายและระบบ

เครื่องมือสามารถใช้สำหรับการวิเคราะห์แบบคงที่และแบบไดนามิกของไฟล์ ELF บนแพลตฟอร์ม Linux X86/X64

1. ข้อมูลพื้นฐาน: MD5, ชื่อ, ประเภทไฟล์, ขนาดและ ssdeep
2. ดังนั้นการพึ่งพาไฟล์: ดังนั้นข้อมูลไฟล์ (ใช้สำหรับไฟล์ที่เชื่อมโยงแบบไดนามิกเท่านั้น)
3. ข้อมูลสตริง
4. ส่วนหัวของเอลฟ์และจุดเริ่มต้น
5. IP และพอร์ต
6. ส่วนของเอลฟ์ส่วนและแฮช
7. ชื่อไฟล์ต้นฉบับ

1. การเริ่มต้นและการเลิกจ้าง: การประทับเวลาและเวลาที่ผ่านไป
2. ประมวลผลข้อมูล: โคลน, execve และออก ฯลฯ
3. ไฟล์ I/O: เปิดอ่านเขียนและลบ ฯลฯ
4. เครือข่าย: TCP, UDP, HTTP และ HTTPS เป็นต้น
5. การกระทำที่เป็นมาลาเรียทั่วไป: การลบตนเอง, การบดบังและล็อค
6. ข้อมูล API: getPid, ระบบ, DUP และฟังก์ชั่น LIBC อื่น ๆ
7. ลำดับ Syscall

1. รายงาน HTML

2. รายงาน JSON

เครื่องมือจะทำงานบน VirtualBox 5.1 ด้วย Ubuntu 14.04 LTS

ในการติดตั้งซอฟต์แวร์ THRID PARTE โปรดดำเนินการคำสั่งต่อไปนี้หลังจากได้รับรหัส:

root# cd ./util/update_image
root# bash update_image.sh

git clone https://github.com/Tencent/HaboMalHunter.git

ประการแรกโปรดอัปโหลดซอร์สโค้ดลงใน VM ดำเนินการคำสั่งต่อไปนี้ด้วยการอนุญาตรูทภายใต้ไดเรกทอรี /รูท

cp -ra /media/sf_Source/ * .

คำสั่งจะรวบรวมและบรรจุซอร์สโค้ดแล้วจะสร้างไฟล์ซิปสองไฟล์

bash package.sh

ใช้ ./test/bin/read.32.elf เพื่อทำการทดสอบ คำสั่งที่สองจะคัดลอกรายงานและบันทึกภายนอก VM

 python AnalyzeControl.py -v -l ./test/bin/read.32.elf
cp ./log/output.zip /media/sf_Source/

ท่ามกลางผลลัพธ์ output.static คือผลการวิเคราะห์แบบคงที่ output.dynamic คือผลลัพธ์การวิเคราะห์แบบไดนามิกและ system.log เป็นบันทึกการรันไทม์ ผู้ใช้ยังสามารถอัปโหลดตัวอย่างไปยังระบบการวิเคราะห์มัลแวร์ Hobo (https://habo.qq.com) เพื่อรับรายงานสั้น ๆ

1. [เสร็จสิ้น] การวิเคราะห์หน่วยความจำ
2. กฎของ Yara เพิ่มเติม (./utils/yara/malware/)
3. [เสร็จสิ้น] รูปแบบเอาต์พุต HTML

1. การวิเคราะห์มัลแวร์ควรทำภายในสภาพแวดล้อมของเครื่องเสมือนและควรเปิดใช้งาน Intel-VT ใน BIOS ของโฮสต์ เราจะไม่รับผิดชอบต่อความเสียหายของมัลแวร์ที่วิเคราะห์
2. แนะนำให้ใช้ VirtualBox 5.1
3. เครื่องมือจะสร้างบันทึกแบบไดนามิกซึ่งมีข้อความแสดงข้อผิดพลาดหนึ่งข้อความสำหรับไฟล์ ELF ซึ่งไม่สามารถเรียกใช้งานได้เช่นไฟล์ SO

Habomalhunter เป็นโครงการย่อยโอเพ่นซอร์สของระบบการวิเคราะห์ฮับเบิล (https://habo.qq.com) เครื่องมือโอเพ่นซอร์สสำหรับการวิเคราะห์อัตโนมัติและการตรวจจับความปลอดภัยของไฟล์ภายใต้แพลตฟอร์ม Linux การใช้เครื่องมือนี้สามารถช่วยให้นักวิเคราะห์ความปลอดภัยได้รับลักษณะพฤติกรรมคงที่และแบบไดนามิกของตัวอย่างที่เป็นอันตรายในลักษณะที่กระชับและมีประสิทธิภาพ รายงานการวิเคราะห์ให้ข้อมูลที่สำคัญเช่นกระบวนการไฟล์เครือข่ายและการโทรระบบ

รหัสโอเพ่นซอร์สรองรับการวิเคราะห์แบบไดนามิกแบบคงที่อัตโนมัติของไฟล์ ELF บนแพลตฟอร์ม Linux X86/X64

1. ข้อมูลพื้นฐาน: รวมไฟล์ MD5 ชื่อประเภทขนาดและ ssdeep
2. ข้อมูลการพึ่งพา: สำหรับไฟล์ที่เชื่อมโยงแบบไดนามิกขึ้นอยู่กับการขึ้นอยู่กับข้อมูลดังนั้นข้อมูล
3. ข้อมูลสตริง
4. ข้อมูลส่วนหัวของเอลฟ์จุดเริ่มต้น
5. ข้อมูล IP และพอร์ต
6. ข้อมูลเซ็กเมนต์เอลฟ์ข้อมูลส่วนและค่าแฮช
7. ชื่อไฟล์ต้นฉบับ

1. ข้อมูลการเริ่มต้นการดำเนินการแบบไดนามิก: ใช้เวลานาน ฯลฯ
2. ข้อมูลกระบวนการ: การเรียกระบบโคลน, การเรียกร้อง, การสร้างกระบวนการสิ้นสุด ฯลฯ
3. ข้อมูลการทำงานของไฟล์: เปิด, อ่าน, แก้ไข, ลบและการดำเนินการไฟล์อื่น ๆ
4. ข้อมูลเครือข่าย: TCP, UDP, HTTP, HTTPS, SSL และข้อมูลอื่น ๆ
5. พฤติกรรมที่เป็นอันตรายโดยทั่วไป: การลบตัวเองการดัดแปลงตนเองและการล็อคตนเอง ฯลฯ
6. ข้อมูล API: GetPid, System, DUP และฟังก์ชัน LIBC อื่น ๆ
7. ข้อมูลลำดับ SSCALL

การใช้ Hubble Linux Open Source เวอร์ชันสำหรับการวิเคราะห์ไวรัสต้องมีการสร้างสภาพแวดล้อมเครื่องเสมือนจริงก่อนสำหรับการใช้งานไวรัส อย่าเรียกใช้และวิเคราะห์ไวรัสโดยตรงในสภาพแวดล้อมจริง โครงการใช้ VirtualBox 5.1 เพื่อเรียกใช้ Ubuntu 14.04 LTS เป็นสภาพแวดล้อมการวิเคราะห์ตามค่าเริ่มต้น

ติดตั้งซอฟต์แวร์ที่เกี่ยวข้องและรับซอร์สโค้ดโปรดเรียกใช้คำสั่งต่อไปนี้เป็นรูทในเครื่องเสมือน:

root# cd ./util/update_image
root# bash update_image.sh

ใช้เครื่องมือ GIT เพื่อรับซอร์สโค้ด

git clone https://github.com/Tencent/HaboMalHunter.git

ซอร์สโค้ดส่วนใหญ่เป็น Python และรหัส C บางส่วนจำเป็นต้องได้รับการรวบรวมและบรรจุ ก่อนอื่นอัปโหลดรหัสไปยังเครื่องเสมือน ใช้ข้อมูลประจำตัวรูทและใช้คำสั่งใน / รูท / ไดเรกทอรีดังแสดงในรูป:

cp -ra /media/sf_Source/ * .

เรียกใช้คำสั่งคอมไพล์และแพ็คเกจและเอาต์พุตสองไฟล์ AnalyzEcontrol_1129.zip และ test_1129.zip ดังแสดงในรูป:

bash package.sh

เวลานี้เราใช้ไฟล์ทดสอบ./test/bin/read.32.lel สำหรับการทดสอบ ใช้คำสั่งต่อไปนี้: คำสั่งที่สองจะคัดลอกผลการวิเคราะห์นอกเครื่องเสมือนและใช้โดยนักวิเคราะห์ในการอ่าน

 python AnalyzeControl.py -v -l ./test/bin/read.32.elf
cp ./log/output.zip /media/sf_Source/

ในผลการวิเคราะห์เอาท์พุทสแตติกคือผลการวิเคราะห์แบบคงที่เอาท์พุท Dynamic เป็นผลการวิเคราะห์แบบไดนามิกและ System.log เป็นบันทึกรันไทม์ ในเวลาเดียวกันการวิเคราะห์ตัวอย่างสามารถดำเนินการร่วมกับผลลัพธ์ที่แสดงในระบบการวิเคราะห์ฮับเบิล (https://habo.qq.com)

1. [เสร็จสิ้น] ต้องการใช้ความผันผวนและมะนาวสำหรับการวิเคราะห์หน่วยความจำ
2. หวังว่าจะเพิ่มกฎไวรัสเพิ่มเติม (./util/yara/Malware)
3. [เสร็จสิ้น] ฉันหวังว่าจะแปลงรูปแบบข้อมูล output JSON เป็นหน้า HTML เพื่อแสดงผล

1. ในการวิเคราะห์ไวรัสโปรดดำเนินการในสภาพแวดล้อมของเครื่องเสมือนและเปิดใช้งานฟังก์ชัน Intel-VT ในการตั้งค่า BIOS โครงการนี้ไม่รับผิดชอบใด ๆ สำหรับปัญหาความปลอดภัยของซอฟต์แวร์ที่เกิดจากการใช้ไวรัส
2. ขอแนะนำให้ใช้ VirtualBox 5.1 หรือสูงกว่าเพื่อเรียกใช้เครื่องเสมือน
3. สำหรับไฟล์ ELF ที่ไม่สามารถเรียกใช้ได้เช่นไฟล์ดังนั้นระบบการวิเคราะห์ฮับเบิลจะสร้างบันทึกแบบไดนามิกตามค่าเริ่มต้น แต่มีข้อความแสดงข้อผิดพลาดที่ไม่สามารถเรียกใช้ได้