Inhale – Malware Inhaler

Inhale是一款針對惡意軟件的分析與分類工具，廣大安全研究人員可以利用Inhale來對惡意軟件中的很多的靜態分析操作進行自動化實現以及擴大覆蓋範圍。請注意，當前版本的Inhale仍處於測試階段（Beta版本），歡迎社區的各位大神貢獻自己的代碼。

從一開始，Inhale只是由一系列小型腳本組成，可以用來從各種惡意源收集和分析大量惡意軟件。雖然目前社區中有很多的框架和工具可以完成類似的工作，但是它們卻無法滿足我自己的工作流任務，比如說快速發現、分類和存儲大量惡意軟件相關的文件之類的任務。除此之外，也有很多服務要求購買API密鑰和其他服務，這也會花掉我們很多錢。

因此，我便打算將我自己收集和使用的腳本整合成一套工具，Inhale便應運而生，該工具的安裝和使用都分廠方便，你可以在一臺研究服務器中使用Inhale，也可以在自己的筆記本電腦上使用，甚至你還可以在樹莓派上使用Inhale。

工具安裝

該工具目前僅支持在Linux系統平臺上運行，並且需要使用Python3、ElasticSearch、Radare2、Yara和Binwalk。除此之外，你還需要使用到jq來對數據庫中讀取出的輸出內容進行格式化。

Python3

安裝依賴組件：

python3 -m pip install -r requirements.txt

安裝ElasticSearch（Debian）

詳細文檔：【 點我獲取 】

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

sudo apt-get install apt-transport-https

echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list

sudo apt-get update && sudo apt-get install elasticsearch

sudo service elasticsearch start

當然了，你也可以按照這篇【 指南 】來進行手動安裝

除此之外，你也可以 設置一個完整的ELK棧 來實現數據分析和可視化，但這對於該工具來說只是可選項而已。

安裝Radare2

需要注意的是，你需要從Radare2的 GitHub庫 來安裝Radare2，不要使用其他的包安裝工具。

git clone https://github.com/radare/radare2

cd radare2

sys/install.sh

安裝Yara

詳細文檔：【 點我獲取 】

sudo apt-get install automake libtool make gcc

wget https://github.com/VirusTotal/yara/archive/v3.10.0.tar.gz

tar xvzf v3.10.0.tar.gz

cd yara-3.10.0/

./bootstrap.sh

./configure

make

sudo make install

如果你接收到了關於共享對象的錯誤信息，可以嘗試運行下列命令來進行修復：

sudo sh -c 'echo "/usr/local/lib" >> /etc/ld.so.conf'
sudo ldconfig

安裝binwalk

廣大用戶可以直接使用下列命令來安裝 binwalk ：

git clone https://github.com/ReFirmLabs/binwalk

cd binwalk

sudo python3 setup.py install

工具使用

根據目標類型來指定需要爬取和分析的文件：

-f infile
-d directory
-u url
-r recursive url

其他選項

-t TAGS Additional Tags
-b Turn off binwalk signatures with this flag
-y YARARULES Custom Yara Rules
-o OUTDIR Store scraped files in specific output dir (default:./files/<date>/)
-i Just print info, don't add files to database

工具使用樣例

運行inhale.py之後，將會對指定文件/目錄/URL地址來進行分析，並將分析結果輸入在終端窗口。

查看/bin/ls內容，但並不添加至數據庫中：

python3 inhale.py -f /bin/ls -i

添加目錄‘ malwarez ’至數據庫：

python3 inhale.py -d malwarez

下載目標文件，並添加至數據庫中：

python3 inhale.py -u https://thugcrowd.com/chal/skull

下載遠程目錄中的全部內容，並標記爲“ phishing ”：

python3 inhale.py -r http://someurl.com/opendir/ -t phishing

Yara規則

你可以使用-y參數來設置你自己的 Yara規則 。

查詢數據庫

廣大研究人員可以使用db.sh來快速詢數據庫：

db.sh *something* | jq .

項目地址

Inhale：【 GitHub傳送門 】

* 參考來源： netspooky ，FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM