Munin:依據檔案Hash從各種線上惡意軟體掃描服務提取資訊的工具
____________________________ | | | | | \ | || | | |\ \| || |\ \ | | | | | | | || | | || || || || | |_| |_| |_| \_|__|_| |_||_| _|_|_ |_||_| Online Hash Checker for Virustotal and Other Services Florian Roth
munin是一個依據檔案Hash,從各種線上惡意軟體掃描服務提取資訊的工具。
當前Munin查詢支援以下服務:
1.Virustotal
2.Malshare
3.HybridAnalysis
注 :Munin是基於“VT-Checker”指令碼的,該指令碼目前在LOKI儲存庫進行維護。
截圖
使用
usage: munin.py [-h] [-f path] [-c cache-db] [-i ini-file] [-s sample-folder] [--comment] [-p vt-comment-prefix] [--download] [-d download_path] [--nocache] [--intense] [--retroverify] [-r num-results] [--nocsv] [--verifycert] [--sort] [--debug] Online Hash Checker optional arguments: -h, --help顯示幫助資訊並退出 -f path要處理的檔案(逐行雜湊或以行為單位的雜湊csv檔案 - 自動檢測位置和註釋) -c cache-db快取資料庫檔案的名稱(預設為:vt-hash-db.pkl) -i ini-file包含API金鑰的ini檔案的名稱 -s sample-folder要處理的樣本資料夾 --comment對日誌中包含註釋的analysed hash發表評論 -p vt-comment-prefixVirustotal 註釋字首 --download從Hybrid Analysis中啟用樣本下載 -d download_pathHybrid Analysis中用於樣本下載的輸出路徑。資料夾必須存在 --nocache不使用快取資料庫檔案 --intense使用PhantomJS解析永久連結(用於提取使用者對樣本的註釋) --retroverify在執行結束時僅檢查具有相同註釋的40個條目(retrohunt驗證) -r num-results驗證結果的數量 --nocsv不要將結果寫入csv檔案 --verifycert驗證 SSL/TLS 證書 --sort對輸入行進行排序(對VT retrohunt結果非常有用) --debug除錯輸出
特性
模式A:從任意基於正則表示式的文字檔案中提取雜湊值
模式B:遍歷樣本目錄並在線檢查雜湊值
通過API(JSON響應)從Virustotal檢索有價值的資訊,並通過永久連結(HTML解析)獲取其他資訊
儲存歷史記錄(快取),只對文字檔案中多次出現的雜湊查詢服務一次
被儲存在JSON中的快取物件
使用結果建立CSV檔案,以便於後續的處理和報告
如果可用,將結果追加到之前的CSV檔案中
提取資訊
雜湊和註釋
基於使用者定義的列表進行匹配的AV供應商
在野使用的檔名
PE資訊,如描述,原始檔名和版權宣告
基於Virustotal ratio的結果
第一次和最後一次提交時間
某些指標的標籤:Harmless, Signed, Expired, Revoked, MSSoftware
提取檢查
上傳樣本查詢 Malshare.com
查詢Hybrid-Analysis.com分析樣本
當前批處理中的重複Imphash > 幫助你發現匯入雜湊表中的重複項
安裝
1.下載/克隆儲存庫
2.安裝所需軟體包:pip3 install -r requirements.txt(如果是macOS則再新增一個–user引數)
3.(可選:–intense模式需要)下載PhantomJS並將其放入$PATH,例如/usr/local/bin ofollow,noindex" target="_blank">http://phantomjs.org/download.html
4.在munin.ini檔案中,為不同的服務設定API金鑰
5.首次執行使用demo檔案:python munin.py -f munin-demo.txt –nocache
典型的命令列使用
處理Virustotal Retrohunt結果,並在檢查之前對行進行排序,以便在塊中檢查匹配的簽名:
python munin.py -f my.ini -f ~/Downloads/retro_hunt
處理IOC/">IOC檔案,並顯示在Virustotal上對這些樣本發表評論的人(使用PhantomJS,CPU使用率會更高):
python munin.py -f my.ini -f ~/Downloads/misp-event-1234.csv --sort --intense
處理樣本目錄並在線檢查其雜湊值:
python munin.py -f my.ini -s ~/malware/case34
獲取Munin使用的API金鑰
Virustotal
1.在此建立一個帳戶: https://www.virustotal.com/#/join-us
2.在Profile > My API key中獲取你的public API key。
Malshare
在這裡註冊: https://malshare.com/register.php
Hybrid Analysis
1.在此建立一個帳戶: https://www.hybrid-analysis.com/signup
2.登入,並在Profile > API key中獲取金鑰。
*參考來源: github ,FB小編 secist 編譯,轉載請註明來自FreeBuf.COM