Munin：依據檔案Hash從各種線上惡意軟體掃描服務提取資訊的工具

雜湊表 · 發表 2018-09-15 15:03:03

摘要： ____________________________ | | | | | \ | || | | |\ \| || |\ \ | | | | | | | || | | || || || || | |_| |_| |_| \_...

____________________________
| | | | | \ | || | | |\ \| || |\ \
| | | | | | | || | | || || || || |
|_| |_| |_| \_|__|_| |_||_| _|_|_ |_||_|

Online Hash Checker for Virustotal and Other Services
Florian Roth

munin是一個依據檔案Hash，從各種線上惡意軟體掃描服務提取資訊的工具。

當前Munin查詢支援以下服務：

1.Virustotal

2.Malshare

3.HybridAnalysis

注：Munin是基於“VT-Checker”指令碼的，該指令碼目前在LOKI儲存庫進行維護。

截圖

使用

usage: munin.py [-h] [-f path] [-c cache-db] [-i ini-file] [-s sample-folder]
[--comment] [-p vt-comment-prefix] [--download]
[-d download_path] [--nocache] [--intense] [--retroverify]
[-r num-results] [--nocsv] [--verifycert] [--sort] [--debug]

Online Hash Checker

optional arguments:
-h, --help顯示幫助資訊並退出
-f path要處理的檔案（逐行雜湊或以行為單位的雜湊csv檔案 - 自動檢測位置和註釋）
-c cache-db快取資料庫檔案的名稱（預設為：vt-hash-db.pkl） 
-i ini-file包含API金鑰的ini檔案的名稱
-s sample-folder要處理的樣本資料夾
--comment對日誌中包含註釋的analysed hash發表評論
-p vt-comment-prefixVirustotal 註釋字首
--download從Hybrid Analysis中啟用樣本下載
-d download_pathHybrid Analysis中用於樣本下載的輸出路徑。資料夾必須存在
--nocache不使用快取資料庫檔案
--intense使用PhantomJS解析永久連結（用於提取使用者對樣本的註釋）
--retroverify在執行結束時僅檢查具有相同註釋的40個條目(retrohunt驗證)
-r num-results驗證結果的數量
--nocsv不要將結果寫入csv檔案
--verifycert驗證 SSL/TLS 證書
--sort對輸入行進行排序（對VT retrohunt結果非常有用）
--debug除錯輸出

特性

模式A：從任意基於正則表示式的文字檔案中提取雜湊值

模式B：遍歷樣本目錄並在線檢查雜湊值

通過API（JSON響應）從Virustotal檢索有價值的資訊，並通過永久連結（HTML解析）獲取其他資訊

儲存歷史記錄（快取），只對文字檔案中多次出現的雜湊查詢服務一次

被儲存在JSON中的快取物件

使用結果建立CSV檔案，以便於後續的處理和報告

如果可用，將結果追加到之前的CSV檔案中

提取資訊

雜湊和註釋

基於使用者定義的列表進行匹配的AV供應商

在野使用的檔名

PE資訊，如描述，原始檔名和版權宣告

基於Virustotal ratio的結果

第一次和最後一次提交時間

某些指標的標籤：Harmless, Signed, Expired, Revoked, MSSoftware

提取檢查

上傳樣本查詢 Malshare.com

查詢Hybrid-Analysis.com分析樣本

當前批處理中的重複Imphash > 幫助你發現匯入雜湊表中的重複項

安裝

1.下載/克隆儲存庫

2.安裝所需軟體包：pip3 install -r requirements.txt（如果是macOS則再新增一個–user引數）

3.（可選：–intense模式需要）下載PhantomJS並將其放入$PATH，例如/usr/local/bin ofollow,noindex" target="_blank">http://phantomjs.org/download.html

4.在munin.ini檔案中，為不同的服務設定API金鑰

5.首次執行使用demo檔案：python munin.py -f munin-demo.txt –nocache

典型的命令列使用

處理Virustotal Retrohunt結果，並在檢查之前對行進行排序，以便在塊中檢查匹配的簽名：

python munin.py -f my.ini -f ~/Downloads/retro_hunt

處理IOC/">IOC檔案，並顯示在Virustotal上對這些樣本發表評論的人（使用PhantomJS，CPU使用率會更高）：

python munin.py -f my.ini -f ~/Downloads/misp-event-1234.csv --sort --intense

處理樣本目錄並在線檢查其雜湊值：

python munin.py -f my.ini -s ~/malware/case34

獲取Munin使用的API金鑰

Virustotal

1.在此建立一個帳戶： https://www.virustotal.com/#/join-us

2.在Profile > My API key中獲取你的public API key。

Malshare

在這裡註冊： https://malshare.com/register.php

Hybrid Analysis

1.在此建立一個帳戶： https://www.hybrid-analysis.com/signup

2.登入，並在Profile > API key中獲取金鑰。

*參考來源： github ，FB小編 secist 編譯，轉載請註明來自FreeBuf.COM