Inhale - Malware Inhaler
Inhale是一款針對惡意軟件的分析與分類工具,廣大安全研究人員可以利用Inhale來對惡意軟件中的很多的靜態分析操作進行自動化實現以及擴大覆蓋范圍��。請注意,當前版本的Inhale仍處于測試階段(Beta版本),歡迎社區的各位大神貢獻自己的代碼���。
從一開始,Inhale只是由一系列小型腳本組成,可以用來從各種惡意源收集和分析大量惡意軟件�。雖然目前社區中有很多的框架和工具可以完成類似的工作,但是它們卻無法滿足我自己的工作流任務,比如說快速發現�����、分類和存儲大量惡意軟件相關的文件之類的任務�。除此之外,也有很多服務要求購買API密鑰和其他服務,這也會花掉我們很多錢�。
因此,我便打算將我自己收集和使用的腳本整合成一套工具,Inhale便應運而生,該工具的安裝和使用都分廠方便,你可以在一臺研究服務器中使用Inhale,也可以在自己的筆記本電腦上使用,甚至你還可以在樹莓派上使用Inhale���。
工具安裝
該工具目前僅支持在Linux系統平臺上運行,并且需要使用Python3��、ElasticSearch���、Radare2��、Yara和Binwalk����。除此之外,你還需要使用到jq來對數據庫中讀取出的輸出內容進行格式化����。
Python3
安裝依賴組件:
python3-mpipinstall-rrequirements.txt
安裝ElasticSearch(Debian)
wget-qO-https://artifacts.elastic.co/GPG-KEY-elasticsearch|sudoapt-keyadd-sudoapt-getinstallapt-transport-httpsecho"debhttps://artifacts.elastic.co/packages/7.x/aptstablemain"|sudotee-a/etc/apt/sources.list.d/elastic-7.x.listsudoapt-getupdate&&sudoapt-getinstallelasticsearchsudoserviceelasticsearchstart
除此之外,你也可以設置一個完整的ELK棧來實現數據分析和可視化,但這對于該工具來說只是可選項而已�����。
安裝Radare2
需要注意的是,你需要從Radare2的GitHub庫來安裝Radare2,不要使用其他的包安裝工具�。
gitclonehttps://github.com/radare/radare2cdradare2sys/install.sh
安裝Yara
sudoapt-getinstallautomakelibtoolmakegccwgethttps://github.com/VirusTotal/yara/archive/v3.10.0.tar.gztarxvzfv3.10.0.tar.gzcdyara-3.10.0/./bootstrap.sh./configuremakesudomakeinstall
如果你接收到了關于共享對象的錯誤信息,可以嘗試運行下列命令來進行修復:
sudosh-c'echo"/usr/local/lib">>/etc/ld.so.conf'sudoldconfig
安裝binwalk
廣大用戶可以直接使用下列命令來安裝binwalk:
gitclonehttps://github.com/ReFirmLabs/binwalkcdbinwalksudopython3setup.pyinstall
工具使用
根據目標類型來指定需要爬取和分析的文件:
-finfile-ddirectory-uurl-rrecursiveurl
其他選項
-tTAGSAdditionalTags-bTurnoffbinwalksignatureswiththisflag-yYARARULESCustomYaraRules-oOUTDIRStorescrapedfilesinspecificoutputdir(default:./files/<date>/)-iJustprintinfo,don'taddfilestodatabase
工具使用樣例
運行inhale.py之后,將會對指定文件/目錄/URL地址來進行分析,并將分析結果輸入在終端窗口����。
查看/bin/ls內容,但并不添加至數據庫中:
python3inhale.py-f/bin/ls-i
添加目錄‘malwarez’至數據庫:
python3inhale.py-dmalwarez
下載目標文件,并添加至數據庫中:
python3inhale.py-uhttps://thugcrowd.com/chal/skull
下載遠程目錄中的全部內容,并標記為“phishing”:
python3inhale.py-rhttp://someurl.com/opendir/-tphishing
Yara規則
你可以使用-y參數來設置你自己的Yara規則�����。
查詢數據庫
廣大研究人員可以使用db.sh來快速詢數據庫:
db.sh*something*|jq.
看完了這篇文章,相信你對“Inhale是一款什么工具”有了一定的了解,如果想了解更多相關知識,歡迎關注本站行業資訊頻道,感謝各位的閱讀!
