Skip to content
wxfengyun edited this page Jan 22, 2017 · 11 revisions

HaboMalHunter哈勃分析系统Linux开源版介绍

一、简介

HaboMalHunter是哈勃分析系统 (https://habo.qq.com) 的开源子项目,用于Linux平台下进行自动化分析、文件安全性检测的开源工具。使用该工具能够帮助安全分析人员简洁高效的获取恶意样本的静态和动态行为特征。分析报告中提供了进程、文件、网络和系统调用等关键信息。

秉承着Linux开源精神,HaboMalHunter在github.com上隆重开源了。本文将介绍哈勃分析系统Linux开源版的情况,欢迎大家参与这份开源的使命。

项目地址:https://github.com/Tencent/HaboMalHunter

二、哈勃分析系统介绍

哈勃分析系统 (https://habo.qq.com) 是一套基于行为分析进行文件安全检测的系统,根据文件在沙箱中运行后的各类动态行为,自动对文件进行安全检测,对于需要人工分析文件行为的场合也大有帮助。官网支持多种平台上的文件格式(例如PE, APK, ELF, JS, VBS 和 Zip, RAR等压缩格式), 目前开源代码包括了哈勃分析系统中针对Linux平台上的恶意样本自动化分析功能。

png1

用户在上传哈勃分析系统之后,能够得到一份文件运行的报告,包括程序的基本信息,进程行为,文件访问行为和网络行为。同时根据运行时暴露出的行为,哈勃分析系统能够对文件进行检测评级,提示用户是否有风险。

借助哈勃分析系统强大的分析能力,我们坚持战斗在反病毒领域第一线,捍卫着用户的信息安全。例如在针对公司办公网的邮件APT攻击中,哈勃系统将邮件中的高危宏病毒分析执行,判断出高危操作。

三、哈勃Linux开源版介绍

哈勃分析系统网站可以为用户提供恶意软件的动态执行信息,但是对于专业的病毒分析人员,这些表象的信息还不足以满足他们的技术需求。所以团队决定将哈勃Linux 版的源代码进行开源,这一举措能够让广大的安全从业人员,从代码层面了解病毒分析的过程,同时也希望汲取社区的力量,将这份反病毒事业做大做强。本节将具体介绍如何使用哈勃Linux开源版进行ELF病毒分析。

1.环境配置

使用哈勃Linux开源版进行病毒分析,需要首先制作用于运行病毒的虚拟机环境。切勿直接在真实环境下运行和分析病毒。项目默认使用VirtualBox 5.1 运行Ubuntu 14.04 LTS 作为分析环境。

2.获取源代码

使用git工具获取源代码。

git clone https://github.com/Tencent/HaboMalHunter.git

3.编译源代码

大部分源代码是python, 有一部分c代码需要进行编译和打包。 首先将代码上传到虚拟机中。 使用root身份,在/root/ 目录下使用命令,如图:

cp -ra /media/sf_Source/* .

source

运行命令,进行编译和打包,会输出AnalyzeControl_1129.zip 和test_1129.zip 两个文件, 如图:

bash package.sh

png2

4.进行分析

本次使用测试文件 ./test/bin/read.32.elf 进行测试。使用如下命令: 其中第二条命令会将分析结果拷贝到虚拟机外,用于分析人员阅读。

python AnalyzeControl.py -v -l ./test/bin/read.32.elf
cp ./log/output.zip /media/sf_Source/

png3

分析结果中,output.static 是静态分析结果,output.dynamic 是动态分析结果,system.log是运行时的日志。同时也可以结合哈勃分析系统 (https://habo.qq.com) 中的结果展示进行样本分析。

png4

四、Linux ELF病毒简介

因为此次开源的项目主要针对的是Linux平台上的ELF病毒分析,这里简单介绍一下ELF病毒的一些基本情况。 Linux平台下(x86, x64) ELF病毒中常见病毒的恶意行为模式均为连接C&C, 接受指令,进行DDOS攻击, 按照大类属于Botnet。其中按类型和按报毒名占比如下。本节会对排名第一的Gafgyt进行简介。

png5

根据报毒名词频统计,按病毒名,前四位是:gafgyt, rex, mirai 和 lightaidra

png6

1.Gafgyt

此病毒会连接C&C服务器,接受控制命令,然后上传信息和发起DDOS攻击[1].另有分析指出此病毒使用了shellshock漏洞( CVE-2014-6271 )进行攻击[2]。此病毒主要利用shellshock漏洞进行扫描,然后尝试获得远程控制权限[3]。哈勃可以监控到发往174.140.169.114:5的TCP请求。

五、总结

本篇文章对哈勃分析系统Linux开源版的使用进行了简单介绍,欢迎大家一起来完善这个开源项目。为了心中的技术梦想,让我们通过每一行代码,每一次提交来探寻。

六、参考资料

  1. https://www.symantec.com/security_response/writeup.jsp?docid=2014-100222-5658-99&tabid=2
  2. http://telussecuritylabs.com/threats/show/TSL20140925-03
  3. http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/ELF_BASHLITE.A