Inhale - Malware Inhaler

Inhale是一款针对恶意软件的分析与分类工具，广大安全研究人员可以利用Inhale来对恶意软件中的很多的静态分析操作进行自动化实现以及扩大覆盖范围。请注意，当前版本的Inhale仍处于测试阶段（Beta版本），欢迎社区的各位大神贡献自己的代码。

从一开始，Inhale只是由一系列小型脚本组成，可以用来从各种恶意源收集和分析大量恶意软件。虽然目前社区中有很多的框架和工具可以完成类似的工作，但是它们却无法满足我自己的工作流任务，比如说快速发现、分类和存储大量恶意软件相关的文件之类的任务。除此之外，也有很多服务要求购买API密钥和其他服务，这也会花掉我们很多钱。

因此，我便打算将我自己收集和使用的脚本整合成一套工具，Inhale便应运而生，该工具的安装和使用都分厂方便，你可以在一台研究服务器中使用Inhale，也可以在自己的笔记本电脑上使用，甚至你还可以在树莓派上使用Inhale。

工具安装

该工具目前仅支持在Linux系统平台上运行，并且需要使用Python3、ElasticSearch、Radare2、Yara和Binwalk。除此之外，你还需要使用到jq来对数据库中读取出的输出内容进行格式化。

Python3

安装依赖组件：

python3 -m pip install -r requirements.txt

安装ElasticSearch（Debian）

详细文档：【点我获取】

wget -qO -https://artifacts.elastic.co/GPG-KEY-elasticsearch| sudo apt-key add -
sudo apt-get install apt-transport-https
echo "debhttps://artifacts.elastic.co/packages/7.x/aptstable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
sudo apt-get update date>/)
-i Just print info, don't add files to database

工具使用样例

运行inhale.py之后，将会对指定文件/目录/URL地址来进行分析，并将分析结果输入在终端窗口。

查看/bin/ls内容，但并不添加至数据库中：

python3 inhale.py -f /bin/ls -i 

添加目录‘malwarez’至数据库：

python3 inhale.py -d malwarez

下载目标文件，并添加至数据库中：

python3 inhale.py -u https://thugcrowd.com/chal/skull

下载远程目录中的全部内容，并标记为“phishing”：

python3 inhale.py -r http://someurl.com/opendir/ -t phishing

Yara规则

你可以使用-y参数来设置你自己的Yara规则。

查询数据库

广大研究人员可以使用db.sh来快速询数据库：

db.sh *something* | jq .

项目地址

Inhale：【GitHub传送门】

* 参考来源：netspooky，FB小编Alpha_h4ck编译，转载请注明来自FreeBuf.COM