Malcom:一款功能強大的圖形化惡意軟體通訊分析工具
Malcom這款工具可分析系統內的網路通訊流量,並以圖形化的形式將流量分析情況提供給使用者,分析結果中將包含已知的惡意軟體源,而這些資訊將有助於安全研究專家對特定的惡意軟體進行分析。
Malcom能做什麼?
Malcom可以幫助我們:
1、 檢測中央命令&控制伺服器; 2、 識別點對點網路; 3、 識別DNS基礎設施; 4、 快速判斷網路流量“惡意性”;
Malcom的目標是通過圖形化的網路流量資訊來幫助研究人員更加輕鬆地分析惡意軟體,並提供更加智慧化的情報資訊。
下面給出的是主機tomchop.me的分析樣本圖:
資料集檢視(可過濾IP)
工具安裝
Malcom採用Python開發,並提供了大部分必要的程式碼庫,你可以直接在任何平臺上執行Malcom。我強烈建議大家使用Python虛擬環境:virtualenv,這樣就不會影響系統庫了。
下列命令以在Ubuntu server 14.04 LTS平臺上進行了測試:
-安裝git、python、libevent庫、mongodb、redis以及其他依賴:
$ sudo apt-get install build-essential gitpython-dev libevent-dev mongodb libxml2-dev libxslt-dev zlib1g-dev redis-serverlibffi-dev libssl-dev python-virtualenv
-克隆Git庫:
$ git clone https://github.com/tomchop/malcom.git malcom
建立並激活你的virtualenv:
$ cd malcom $ virtualenv env-malcom $ source env-malcom/bin/activate
安裝scapy:
$ cd ..
$ wget http://www.secdev.org/projects/scapy/files/scapy-latest.tar.gz
$ tar xvzf scapy-latest.tar.gz
$ cd scapy-2.1.0
$ python setup.py install
在virtualenv環境下,安裝requirements.txt檔案中的必要Python包:
$ cd ../malcom $ pip install -r requirements.txt
如果你需要IP地理位置資訊,你可以下載Maxmind資料庫並把檔案提取到malcom/Malcom/auxiliary/geoIP目錄下。
Maxmind資料庫免費下載地址:【 傳送門 】。
你可以使用./malcom.py來啟動Web伺服器,並使用./malcom.py –help監聽介面和埠。這裡需要將malcom.conf.example檔案拷貝為malcom.conf並執行下列命令:
./malcom.py -c malcom.conf
配置選項
資料庫
預設配置下,Malcom會嘗試連線本地mongodb例項,並建立自己的資料庫,名叫malcom。
設定Malcom資料庫名稱
預設配置下,Malcom的資料庫預設名為malcom。你可以通過編輯malcom.conf檔案並設定database標籤下的name屬性:
[database] ... name = my_malcom_database ...
遠端資料庫
你可以在主機my.mongo.server上使用單獨的資料庫:
[database] ... hosts = my.mongo.server ...
你還可以指定mongodb埠:
[database] ... hosts = localhost:27008 ...
使用認證
你可以配置mongodb例項來啟用認證連線,你可以自由設定使用者名稱和密碼:
[database] ... username = my_user password = change_me ...
如果你想連線其他資料庫的話,可以設定authentication_database引數:
[database] ... authentication_database =some_other_database ...
Docker例項
你可以直接從公共docker庫中獲取Docker映象:
$ sudo docker pull tomchop/malcom-automatic $ sudo docker run -p 8080:8080 -d --namemalcom tomchop/malcom-automatic
接下來,你就可以直接在瀏覽器中訪問 http://<docker_host>:8080/ 來使用了。
專案地址
Malcom:【 GitHub傳送門 】
*參考來源: malcom ,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM