如何使用Umay分析物聯(lián)網(wǎng)惡意軟件的相似性
關于Umay
Umay是一款功能強大的物聯(lián)網(wǎng)惡意軟件相似性分析平臺,該項目可以幫助廣大研究人員針對基于共享代碼的物聯(lián)網(wǎng)惡意軟件相似性進行分析,以識別與目標分析文件共享代碼的其他惡意軟件。
在Umay的幫助下,廣大研究人員可以更好地了解目標惡意軟件家族。而在當前的物聯(lián)網(wǎng)生態(tài)系統(tǒng)中有各種具有不同體系結(jié)構(gòu)的設備,那么在解決多體系結(jié)構(gòu)問題時,基于靜態(tài)的分析方法將更加有效。
該項目中使用了IoTPOT提供的1000個惡意軟件二進制文件。Radare2負責提取每個二進制文件的基本代碼塊和函數(shù),并將這些數(shù)據(jù)的哈希值存儲在SQL數(shù)據(jù)庫中。接下來,工具會從SQL數(shù)據(jù)庫中查詢并獲取需要分析的樣本基本代碼塊和函數(shù),并給廣大研究人員枚舉出所有具有共享代碼的惡意軟件。
當前功能
- 基于靜態(tài)代碼分析技術(shù)分析惡意軟件的共享代碼;
- 支持ARM、MIPS、x86-64、i386、PowerPC、m68k和Renesas SH;
工具依賴組件
- Python 3+
- Radare2:r2pipe
工具下載&安裝
首先,廣大研究人員需要使用下列命令將該項目源碼克隆至本地,并在終端中切換至項目根目錄:
- git clone https://github.com/mucoze/Umay
- cd Umay
接下來,創(chuàng)建并激活Python虛擬環(huán)境(virtualenv):
- virtualenv venv
- source venv/bin/activate
使用pip命令安裝該工具所需的依賴組件:
- pip install -r requirements.txt
此時,我們就可以使用下列命令配置工具,創(chuàng)建用戶并啟動服務器了:
- python manage.py makemigrations
- python manage.py migrate
- python manage.py createsuperuser
- python manage.py runserver
啟動之后,廣大研究人員就可以通過瀏覽器訪問“127.0.0.1:8000”來使用Umay了。
創(chuàng)建我們自己的數(shù)據(jù)集文件
- python create_dataset.py samples/
在上述命令中,我們需要通過命令行參數(shù)的形式將存儲了所有樣本的目錄路徑提供給Umay,此時Umay將會幫助我們生成一份dataset.db文件。
許可證協(xié)議
本項目的開發(fā)與發(fā)布遵循Apache v2.0開源許可證協(xié)議。
工具線上體驗平臺
Umay:【在線體驗】
項目地址
Umay:【GitHub傳送門】
