腾讯开源恶意软件分析工具HaboMalHunter

1月17日，腾讯宣布正式开源恶意软件分析工具 HaboMalHunter。

HaboMalHunter 是哈勃分析系统的开源子项目，用于 Linux 平台下进行自动化分析、文件安全性检测的开源工具。使用该工具能够帮助安全分析人员简洁高效的获取恶意样本的静态和动态行为特征。分析结果中提供了进程、文件、网络和系统调用等关键信息。

功能清单

开源代码支持Linux x86/x64 平台上的ELF文件的自动化静态动态分析功能。

静态分析

1. 基础信息：包括文件md5，名称，类型，大小和SSDEEP等信息。

2. 依赖so信息：对于动态链接的文件，输出依赖的so信息。

3. 字符串信息

4. ELF头信息，入口点

5. IP和端口信息

6. ELF段信息，节信息和hash值

7. 源文件名称

动态分析

1. 动态运行启动结束信息：耗时等

2. 进程信息：clone系统调用，execve调用，进程创建结束等

3. 文件操作信息：打开，读取，修改，删除等文件IO操作

4. 网络信息：TCP, UDP, HTTP, HTTPS, SSL等信息

5. 典型恶意行为：自删除，自修改和自锁定等

6. API信息：getpid, system, dup 等libc函数调用

7. syscall 序列信息

目前该项目已完成使用volatility和LiME进行内存分析，以及将输出的json数据格式转化成为HTML页面进行展示等功能，未来将会增加更多的病毒规则(./util/yara/malware)。