Munin：依據文件Hash從各種在線惡意軟體掃描服務提取信息的工具

_________   _    _   ______  _____  ______
| | | | | | |  | | | |    | |  | |  
| | | | | | | |  | | | |  | |  | |  | |  | |
|_| |_| |_| \_|__|_| |_|  |_| _|_|_ |_|  |_|

Online Hash Checker for Virustotal and Other Services
Florian Roth

munin是一個依據文件Hash，從各種在線惡意軟體掃描服務提取信息的工具。

當前Munin查詢支持以下服務：

1.Virustotal

2.Malshare

3.HybridAnalysis

注

截圖

使用

usage: munin.py [-h] [-f path] [-c cache-db] [-i ini-file] [-s sample-folder]
               [--comment] [-p vt-comment-prefix] [--download]
               [-d download_path] [--nocache] [--intense] [--retroverify]
               [-r num-results] [--nocsv] [--verifycert] [--sort] [--debug]

optional arguments:
 -h, --help            顯示幫助信息並退出
 -f path               要處理的文件（逐行哈希或以行為單位的哈希csv文件 - 自動檢測位置和注釋）
 -c cache-db           緩存資料庫文件的名稱（默認為：vt-hash-db.pkl）
 -i ini-file           包含API密鑰的ini文件的名稱
 -s sample-folder      要處理的樣本文件夾
 --comment             對日誌中包含注釋的analysed hash發表評論
 -p vt-comment-prefix  Virustotal 注釋前綴
 --download            從Hybrid Analysis中啟用樣本下載
 -d download_path      Hybrid Analysis中用於樣本下載的輸出路徑。文件夾必須存在                        
 --nocache             不使用緩存資料庫文件
 --intense             使用PhantomJS解析永久鏈接（用於提取用戶對樣本的注釋）
 --retroverify         在運行結束時僅檢查具有相同注釋的40個條目(retrohunt驗證)
 -r num-results        驗證結果的數量
 --nocsv               不要將結果寫入csv文件
 --verifycert          驗證 SSL/TLS 證書
 --sort                對輸入行進行排序（對VT retrohunt結果非常有用）
 --debug               調試輸出

特性

模式A：從任意基於正則表達式的文本文件中提取哈希值

模式B：遍歷樣本目錄並在線檢查哈希值

通過API（JSON響應）從Virustotal檢索有價值的信息，並通過永久鏈接（HTML解析）獲取其他信息

保存歷史記錄（緩存），只對文本文件中多次出現的散列查詢服務一次

被存儲在JSON中的緩存對象

使用結果創建CSV文件，以便於後續的處理和報告

如果可用，將結果追加到之前的CSV文件中

提取信息

哈希和注釋

基於用戶定義的列表進行匹配的AV供應商

在野使用的文件名

PE信息，如描述，原始文件名和版權聲明

基於Virustotal ratio的結果

第一次和最後一次提交時間

某些指標的標籤：Harmless, Signed, Expired, Revoked, MSSoftware

提取檢查

上傳樣本查詢 Malshare.com

查詢Hybrid-Analysis.com分析樣本

當前批處理中的重複Imphash > 幫助你發現導入哈希表中的重複項

安裝

1.下載/克隆存儲庫

2.安裝所需軟體包：pip3 install -r requirements.txt（如果是macOS則再添加一個—user參數）

3.（可選：—intense模式需要）下載PhantomJS並將其放入$PATH，例如/usr/local/bin http://phantomjs.org/download.html

4.在munin.ini文件中，為不同的服務設置API密鑰

5.首次運行使用demo文件：python munin.py -f munin-demo.txt —nocache

典型的命令行使用

處理Virustotal Retrohunt結果，並在檢查之前對行進行排序，以便在塊中檢查匹配的簽名：

python munin.py -f my.ini -f ~/Downloads/retro_hunt

處理IOC文件，並顯示在Virustotal上對這些樣本發表評論的人（使用PhantomJS，CPU使用率會更高）：

python munin.py -f my.ini -f ~/Downloads/misp-event-1234.csv --sort --intense

處理樣本目錄並在線檢查其哈希值：

python munin.py -f my.ini -s ~/malware/case34

獲取Munin使用的API密鑰

Virustotal

1.在此創建一個帳戶：https://www.virustotal.com/#/join-us

2.在Profile > My API key中獲取你的public API key。

Malshare

在這裡註冊：https://malshare.com/register.php

Hybrid Analysis

1.在此創建一個帳戶：https://www.hybrid-analysis.com/signup

2.登錄，並在Profile > API key中獲取密鑰。

*參考來源：github，FB小編 secist 編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！