HaboMalHunter

(中文版本請參看這裡)

騰訊開源激勵計劃鼓勵開發者的參與和貢獻，期待你的加入。

HaboMalHunter is a sub-project of Habo Malware Analysis System (https://habo.qq.com), which can be used for automated malware analysis and security assessment on the Linux system. The tool help security analyst extracting the static and dynamic features from malware effectively and efficiently. The generated report provides significant information about process, file I/O, network and system calls.

The tool can be used for the static and dynamic analysis of ELF files on the Linux x86/x64 platform.

1. Basic Information: md5, name, file type, size and SSDEEP.
2. SO Files Dependency: SO files information (only applied for dynamic linked files).
3. Strings Information.
4. ELF Header and Entry Point.
5. IP and PORTS
6. ELF Segment, Section and Hash.
7. Source File Names.

1. Starting and Termination: Time Stamps and Elapsed Time.
2. Processes Information: clone, execve and exit etc.
3. File I/O: open, read, write and delete etc.
4. Network: TCP, UDP, HTTP and HTTPS etc.
5. Typical Malicous Actions: self deletion, midification and lock.
6. API Information: getpid, system, dup and other libc functions.
7. syscall sequences.

1. The HTML report.

2. The JSON report.

The tool will run on the VirtualBox 5.1 with Ubuntu 14.04 LTS.

in order to install thrid party software, please execute the following command after obtaining the code:

root# cd ./util/update_image
root# bash update_image.sh

git clone https://github.com/Tencent/HaboMalHunter.git

Firstly, please upload the source code into the VM. Execute the following command with root permision under the /root directory.

cp -ra /media/sf_Source/ * .

The command will compile and package the source code, and then will generate two zip files.

bash package.sh

using ./test/bin/read.32.elf to make a test. The second command will copy report and log outside the VM.

 python AnalyzeControl.py -v -l ./test/bin/read.32.elf
cp ./log/output.zip /media/sf_Source/

Among the result, output.static is static analysis result, output.dynamic is dynamic analysis result, and system.log is runtime log. Users can also upload samples to the Habo Malware Analysis System (https://habo.qq.com) to get a brief report.

1. [done] Memory Analysis.
2. More YARA rules (./utils/yara/malware/)
3. [done] HTML output format

1. Malware Analysis should be done inside a Virtual Machine enviroment and Intel-VT should be enabled on the host's BIOS. We shall not be liable to the damage of the analysed malware.
2. VirtualBox 5.1 is recommended.
3. The tool will also generate dynamic log, which contains one error message, for ELF files which can not be executed, such as so files.

HaboMalHunter是哈勃分析系統(https://habo.qq.com) 的開源子項目，用於Linux平台下進行自動化分析、文件安全性檢測的開源工具。使用該工具能夠幫助安全分析人員簡潔高效的獲取惡意樣本的靜態和動態行為特徵。分析報告中提供了進程、文件、網絡和系統調用等關鍵信息。

開源代碼支持Linux x86/x64 平台上的ELF文件的自動化靜態動態分析功能。

1. 基礎信息：包括文件md5，名稱，類型，大小和SSDEEP等信息。
2. 依賴so信息：對於動態鏈接的文件，輸出依賴的so信息。
3. 字符串信息
4. ELF頭信息，入口點
5. IP和端口信息
6. ELF段信息，節信息和hash值
7. 源文件名稱

1. 動態運行啟動結束信息：耗時等
2. 進程信息：clone系統調用，execve調用，進程創建結束等
3. 文件操作信息：打開，讀取，修改，刪除等文件IO操作
4. 網絡信息：TCP, UDP, HTTP, HTTPS, SSL等信息
5. 典型惡意行為：自刪除，自修改和自鎖定等
6. API信息：getpid, system, dup 等libc函數調用
7. syscall 序列信息

使用哈勃Linux開源版進行病毒分析，需要首先製作用於運行病毒的虛擬機環境。切勿直接在真實環境下運行和分析病毒。項目默認使用VirtualBox 5.1 運行Ubuntu 14.04 LTS 作為分析環境。

安裝相關的軟件，獲取源代碼之後，請在虛擬機內以root身份運行如下命令：

root# cd ./util/update_image
root# bash update_image.sh

使用git工具獲取源代碼。

git clone https://github.com/Tencent/HaboMalHunter.git

大部分源代碼是python, 有一部分c代碼需要進行編譯和打包。 首先將代碼上傳到虛擬機中。 使用root身份，在/root/ 目錄下使用命令，如圖：

cp -ra /media/sf_Source/ * .

運行命令,進行編譯和打包，會輸出AnalyzeControl_1129.zip 和test_1129.zip 兩個文件, 如圖:

bash package.sh

本次使用測試文件./test/bin/read.32.elf 進行測試。使用如下命令: 其中第二條命令會將分析結果拷貝到虛擬機外，用於分析人員閱讀。

 python AnalyzeControl.py -v -l ./test/bin/read.32.elf
cp ./log/output.zip /media/sf_Source/

分析結果中，output.static 是靜態分析結果，output.dynamic 是動態分析結果，system.log是運行時的日誌。同時也可以結合哈勃分析系統(https://habo.qq.com) 中的結果展示進行樣本分析。

1. [已完成] 希望使用volatility和LiME進行內存分析
2. 希望增加更多的病毒規則(./util/yara/malware)
3. [已完成] 希望將輸出的json數據格式轉化成為HTML頁面進行展示

1. 分析病毒請在虛擬機環境下進行，並在BIOS設置中開啟Intel-VT功能，對因運行病毒引起的任何軟件安全問題，本項目不承擔責任。
2. 推薦使用VirtualBox 5.1以上版本運行虛擬機。
3. 對於無法運行的ELF文件，例如so文件，哈勃分析系統默認會生成動態日誌，但是裡面只有無法運行的報錯信息。