arasuaswin/CloudCrucible
GitHub: arasuaswin/CloudCrucible
一款基于 AWS 无服务器架构的企业级 Linux 恶意软件分析沙箱,集成 78 个分析模块和 eBPF 内核级监控,支持自动化 MITRE ATT&CK 映射和实时取证仪表盘。
Stars: 0 | Forks: 0
# CloudCrucible
(Parallel Orchestration)"] LambdaOrch["λ Microservices"] end subgraph Detonation["💥 Execution Sandbox"] EC2["Ephemeral EC2
(t3.xlarge)"] Analyzers["78 Analyzer Modules
(eBPF, Memory, VMI)"] end Client --> LambdaDisp LambdaDisp -.->|Zero-Day| SFN SFN --> LambdaOrch LambdaOrch --> EC2 EC2 --> Analyzers ``` *(有关构建此环境的 36+ 个 Terraform 文件的深入文档,请参阅 [TERRAFORM_ARCHITECTURE.md](terraform/TERRAFORM_ARCHITECTURE.md))* ## 🔬 详尽武器库:全部 78 个沙箱分析器 CloudCrucible 的真正力量在于 `sandbox/analyzers/`。与基于 Cuckoo 的通用沙箱不同,它部署了 **78 个专用构建的 Python 模块**,监控每一个可想象的 Linux 攻击向量。 以下是管道情报收集能力的详尽分类: ### 🛡️ 1. 第 6 层反逃逸与反虚拟机身份 现代恶意软件会检测虚拟化、调试器或特定的 CPU 时序,并停止执行以显得良性。 * `anti_evasion.py`:剥离 AWS/Cloud 元数据和伪造基本硬件标识符的核心逻辑。 * `tier6_evasion.py`:实施 78 种高级逃逸对策,包括 CPUID 指令掩码、RDTSC 时序欺骗,以及生成伪造的用户历史记录以模拟活跃的桌面环境。 * `environment_rotator.py`:在分析过程中动态改变环境的操作系统签名和主机名,以混淆多次检查运行环境的恶意软件。 * `anti_forensics_detector.py`:当恶意软件试图清除其踪迹(例如执行 `shred`、删除 `.bash_history`、清除 `/var/log`)时发出警报。 ### 🧠 2. eBPF 与深度内核遥测 标准沙箱在用户空间 Hook `libc`,现代 Rootkit 很容易绕过这一点。CloudCrucible 原生 Hook 内核。 * `ebpf_monitor.py`:向内核注入高权限 BPF 程序,以监视隐藏进程和伪造的网络数据包。 * `ebpf_rootkit_detector.py`:专门搜寻从 `lsmod` 和 `ps` 中掩盖自身踪迹的隐蔽 Linux Rootkit。 * `kernel_integrity_checker.py`:扫描通过 `insmod`/`modprobe` 进行的未授权内核模块加载或直接的内存覆写。 * `kthread_detector.py`:发现伪装成合法系统工作线程的恶意、未映射的内核线程。 * `syscall_sequence_analyzer.py`:跟踪精确的、恶意的系统调用链(例如 `ptrace` 后跟带有 `PROT_EXEC` 的 `mmap`),以便在恶意意图得逞之前识别它们。 * `strace_analyzer.py`:利用 `ptrace` 的基准 syscall 跟踪引擎。 * `xdp_detector.py`:监视 eXpress Data Path 中试图绕过标准 Linux 网络栈的数据包。 * `landlock_monitor.py`:检测针对 Linux Landlock 非特权沙箱功能的绕过尝试。 * `vmi_bridge.py`:虚拟机自省——从虚拟机视野之外的宿主机层级监控客户机。 * `livepatch_detector.py`:检测对合法 Linux 内核实时补丁机制的滥用。 * `audit_analyzer.py`:与 Linux `auditd` 子系统深度集成,进行合规级别的行为跟踪。 * `vdso_monitor.py`:Hook 虚拟动态链接共享对象 以捕获超快的 syscall 逃逸(如 `gettimeofday` 等)。 ### 💾 3. 内存、进程与子系统取证 CloudCrucible 主动抓取 RAM,解析无文件执行链,并检查丢弃的 Payload。 * `memory_analyzer.py`:基准 RAM 捕获和字符串索引。 * `advanced_memory.py`:Volatility 风格的深度内存雕刻,用于查找注入的 Shellcode 和未加壳的 PE/ELF 头。 * `fileless_detector.py`:搜寻通过 `memfd_create` 或 `shm_open` 纯粹在 RAM 中运行的“无文件”恶意软件。 * `memfd_secret_detector.py`:检测较新的 Linux `memfd_secret` syscall 的使用,该系统调用本用于安全内存,但被高级 Dropper 滥用。 * `rop_detector.py`:识别指示面向返回编程 链的栈转移。 * `dkom_detector.py`:直接内核对象操纵检查——验证进程结构未被解链。 * `shm_c2_detector.py`:检测通过 POSIX 共享内存进行的离散进程间 C2 通信。 * `userfaultfd_monitor.py`:检测恶意软件故意引发页面错误以通过 `userfaultfd` 处理执行代码的行为。 * `namespace_monitor.py` & `container_escape_detector.py`:专门寻找试图突破 Docker/LXC 容器命名空间(`setns`、`unshare`)的恶意软件。 * `io_uring_monitor.py`:检查日益用于绕过传统读/写 syscall Hook 的异步 I/O 子系统(`io_uring`)。 * `execveat_monitor.py`:专注于文件描述符执行的执行逃逸检查。 * `self_integrity_monitor.py`:确保 CloudCrucible 代理本身在引爆过程中未被 Hook 或修改。 * `systemd_persistence_detector.py`:识别创建恶意 `systemd` 定时器、服务或 `.bashrc` cron 作业的企图。 * `bootkit_detector.py`:检查 GRUB、UEFI 变量或 MBR 的更改,以识别持久的引导级威胁。 * `rootkit_scanner.py` & `pam_backdoor_detector.py`:对用户空间 Rootkit 和可插拔认证模块 后门进行签名和行为扫描。 * `so_loader_harness.py`:拦截 `LD_PRELOAD` 滥用和 `.so` 库注入。 ### 🕸️ 4. 高级网络与隐蔽通道 即使处于气隙隔离的 `docker --network=none` 空间内,CloudCrucible 也会记录所有出站连接尝试,以映射攻击者的基础设施。 * `network_analyzer.py` & `network_intel.py`:完整的 PCAP 生成、统计流分析和连接映射。 * `protocol_dissector.py`:第 7 层数据包检查 (HTTP/TLS/DNS/IRC)。 * `covert_channel_detector.py`:识别通过 ICMP 填充或 DNS TXT 记录进行的隐蔽数据渗透。 * `domain_fronting_detector.py`:通过比较 SNI 和 HOST 头,检测隐藏在合法 CDN (Fastly, Cloudflare) 背后的流量伪装。 * `netfilter_monitor.py`:检测试图更改防火墙规则的恶意软件(`iptables`/`nftables` 操作)。 * `wireguard_detector.py`:用于建立隐蔽、内核空间 WireGuard VPN C2 链接的特定签名。 * `tls_ech_detector.py`:识别加密客户端Hello 的使用,以隐藏目标服务器名称指示。 ### ⚙️ 5. 模拟、符号执行与硬件重放 当动态执行失败时,沙箱会退回到数学和硬件级别的模拟。 * `emulator.py`:Unicorn Engine 集成,无需原生执行即可安全地模拟不透明的 CPU 指令。 * `symbolic_analyzer.py`:基于 Angr 的符号执行,用于绘制执行路径并解决约束(例如猜测解密例程的密码)。 * `bleeding_edge.py`:与 Ghidra Headless Analyzer 深度集成,用于自动化二进制反编译和函数绘图。 * `intel_pt_tracer.py`:利用 Intel Processor Trace (PT) 进行零开销日志记录的硬件级指令跟踪。 * `snapshot_replay.py` & `deterministic_replay.py`:进行快速 RAM 状态快照,允许沙箱完美重放或倒回执行过程,以隔离感染的确切时刻。 * `bare_metal_backend.py` & `hypervisor_tap.py`:用于在容器外或通过 KVM 级 Tap 执行工作负载的接口。 * `multi_arch_executor.py`:通过 QEMU 用户空间翻译和处理非 x86 二进制文件(例如 ARM IoT 恶意软件)。 * `sleep_accelerator.py`:拦截并快进 `sleep()` 或 `nanosleep()` 调用,以立即绕过延时逃逸。 * `gpu_compute_monitor.py`:Hook OpenCL/CUDA 接口,以识别恶意软件是否正在 GPU 上编译非法的加密货币挖掘着色器。 ### 📊 6. 静态分析、威胁情报与报告 在执行前后,文件会被彻底 dissected 以查找 IOC (入侵指标)。 * `pe_analyzer.py` & `document_analyzer.py`:对 ELF 头、Windows PE 结构(如果存在)、武器化 PDF 或恶意 Office 宏进行深度结构解析。 * `yara_scanner.py` & `clamav_scanner.py`:使用自定义和社区规则集进行本地签名扫描。 * `string_extractor.py`:利用 FLOSS (FireEye Labs Obfuscated String Solver) 进行深度字符串恢复,以提取堆叠字符串。 * `threat_intel.py`:与 VirusTotal、OTX 和 AbuseIPDB 关联。 * `ioc_extractor.py`:详尽的基于正则的挖掘,用于查找硬编码的 IP 地址、域名、比特币钱包和 AWS API 密钥。 * `mitre_mapper.py`:将原始行为转化为 MITRE ATT&CK 框架(例如 T1059.004 Unix Shell)。 * `behavior_profiler.py` & `dropper_chain_tracker.py`:随时间聚类行为并跟踪下载二级二进制文件的多阶段 Payload。 * `polyglot_detector.py`:识别被设计为多种格式均有效的文件(例如一个既是有效 PDF 又是有效 ZIP 的文件)。 * `runtime_packer_detector.py`:熵分析以识别加壳二进制文件(UPX、自定义加壳器)。 * `stego_analyzer.py`:对丢弃的图像进行隐写术检查。 * `disk_forensics.py`:跟踪对虚拟块设备的精确修改(文件系统监视器)。 * `crypto_identifier.py`:对嵌入式加密常量进行签名扫描(识别特定的 AES/RSA/ChaCha20 实现)。 * `sigma_rule_engine.py`:将 SIEM Sigma 规则应用于生成的系统日志。 * `dead_drop_resolver.py`:解析托管在 Pastebin 或 Twitter bio 等合法站点上的加密 C2 命令。 * `cloud_metadata_detector.py`:标记查询 AWS IMDS 端点`169.254.169.254`)以窃取实例凭证的企图。 * `supply_chain_analyzer.py` & `firmware_analyzer.py` & `iot_arch_analyzer.py` & `arm_analyzer.py`:生态系统和特定架构的扫描器。 * `resource_exhaustion_guard.py` & `signal_flow_analyzer.py`:保护沙箱本身免受拒绝服务攻击,并分析致命的 Linux 信号(如为利用链诱导的 `SIGSEGV`)。 ## 🔒 毫不妥协的安全架构 执行剧毒的 Linux 威胁行为体需要绝对隔离。CloudCrucible 的部署就是一个数字隔离病房。 * **气隙隔离执行区**:EC2 实例在**私有子网**中启动,没有通往互联网的路由。 * **容器虚空**:在具有 `--network=none` 且删除了所有功能(`--cap-drop=ALL`)的 Docker 容器内执行。 * **仅 SSM 访问**:无 SSH。编排器 Lambda 严格通过隔离的 **AWS Systems Manager (SSM) VPC Endpoints** 进行通信。 * **IAM 最小权限**:细粒度的自定义 IAM 角色(`terraform/iam.tf`)确保组件仅通过权限边界执行预期任务。 * **定向销毁**:一旦达到 600 秒的分析超时,EC2 实例将被强制终止。 ## 🚀 入门指南 部署此管道是完全自动化的。 1. **阅读部署指南**:有关完整的前提条件和架构背景,请查阅 [DEPLOYMENT.md](DEPLOYMENT.md)。 2. **实时演示设置**:如需快速的 15 分钟演示部署,请遵循 [LIVE_DEMO.md](LIVE_DEMO.md)。 ### 一键 PowerShell 部署 ``` .\deploy.ps1 ``` *(自动脚本通过 Terraform 提供 VPC、Step Functions、Lambdas、S3 存储桶和 Next.js 前端。)* ## 👨💻 作者 **Arasu Aswin** 📧 arasuaswin7@gmail.com ## 📝 许可证 MIT License - 详情见 [LICENSE](LICENSE)。
**终极云原生 Linux 恶意软件引爆管道**
[](https://aws.amazon.com)
[](https://terraform.io)
[](https://python.org)
[](https://nextjs.org)
[](LICENSE)
## ⚡ 绝不妥协的威力与规模
CloudCrucible 不仅仅是一个沙箱;它是一个**企业级、完全无服务器的恶意软件分析堡垒**。完全基于 AWS 原生服务构建,旨在引爆、剖析并记录现存最隐蔽的 Linux 恶意软件。
它不依赖简单的哈希或基本签名。它会主动反击试图隐藏的恶意软件。
### 为什么 CloudCrucible 是最先进的?
* **大规模分析武器库**:装备了 **78 个独立的 Python 分析器模块**和 **342 种先进技术**,它能将一切从基本脚本到深层嵌入的内核 Rootkit 彻底粉碎。
* **第 6 层反逃逸引擎**:恶意软件寻找沙箱。CloudCrucible 也在注视着它们。它采用数十种对策来欺骗恶意软件,使其相信自己运行在一台未受保护的裸机服务器上。
* **eBPF 与内核级洞察**:标准沙箱 Hook 用户空间。CloudCrucible 潜得更深,利用 eBPF、`kprobes` 和直接的 syscall 拦截。
* **短暂且可扩展**:由 AWS Step Functions 和 AWS Lambda 驱动,基础设施可瞬间扩展,并在分析完成数秒后销毁测试环境。
* **无缝 MITRE ATT&CK 映射**:原始数据自动综合进 MITRE ATT&CK 框架,为威胁猎手提供即时的、可操作的情报。
## 🏗️ 综合系统架构
CloudCrucible 的架构是解耦、事件驱动设计的典范。它利用 **超过 36 个独立的 Terraform 配置文件** 来提供一个精确、可复制且高度安全的环境。
### 管道流程
1. **摄入区**:用户通过 Next.js 仪表板或 S3 Dropzone 提交文件。
2. **无服务器分类 (Lambda 调度器)**:S3 事件触发调度器 Lambda。它对文件进行哈希处理并检查 VirusTotal。
3. **编排器 (AWS Step Functions)**:AWS Step Function 状态机使用 Lambda 编排并行执行管道。
4. **引爆室 (EC2 + Docker)**:启动一个专用的、短暂的 EC2 实例。恶意软件被注入到一个精简的、**无网络访问权限**的 Docker 容器中。`agent.py` 编排器同时激活 78 个分析器。
5. **情报综合**:结果被抓取,通过 Redis 在本地聚合,结构化为 JSON,并上传到安全的 S3 报告存储桶。
6. **实时仪表板**:Next.js 前端消费 API 以显示交互式的取证数据。
```
flowchart TB
subgraph Client["👤 Security Analyst Interface"]
Dashboard["Next.js Dashboard"]
CLI["AWS CLI / REST API"]
end
subgraph EventProcessing["⚡ Serverless Logic Layer"]
LambdaDisp["λ Dispatcher"]
SFN["Step Functions(Parallel Orchestration)"] LambdaOrch["λ Microservices"] end subgraph Detonation["💥 Execution Sandbox"] EC2["Ephemeral EC2
(t3.xlarge)"] Analyzers["78 Analyzer Modules
(eBPF, Memory, VMI)"] end Client --> LambdaDisp LambdaDisp -.->|Zero-Day| SFN SFN --> LambdaOrch LambdaOrch --> EC2 EC2 --> Analyzers ``` *(有关构建此环境的 36+ 个 Terraform 文件的深入文档,请参阅 [TERRAFORM_ARCHITECTURE.md](terraform/TERRAFORM_ARCHITECTURE.md))* ## 🔬 详尽武器库:全部 78 个沙箱分析器 CloudCrucible 的真正力量在于 `sandbox/analyzers/`。与基于 Cuckoo 的通用沙箱不同,它部署了 **78 个专用构建的 Python 模块**,监控每一个可想象的 Linux 攻击向量。 以下是管道情报收集能力的详尽分类: ### 🛡️ 1. 第 6 层反逃逸与反虚拟机身份 现代恶意软件会检测虚拟化、调试器或特定的 CPU 时序,并停止执行以显得良性。 * `anti_evasion.py`:剥离 AWS/Cloud 元数据和伪造基本硬件标识符的核心逻辑。 * `tier6_evasion.py`:实施 78 种高级逃逸对策,包括 CPUID 指令掩码、RDTSC 时序欺骗,以及生成伪造的用户历史记录以模拟活跃的桌面环境。 * `environment_rotator.py`:在分析过程中动态改变环境的操作系统签名和主机名,以混淆多次检查运行环境的恶意软件。 * `anti_forensics_detector.py`:当恶意软件试图清除其踪迹(例如执行 `shred`、删除 `.bash_history`、清除 `/var/log`)时发出警报。 ### 🧠 2. eBPF 与深度内核遥测 标准沙箱在用户空间 Hook `libc`,现代 Rootkit 很容易绕过这一点。CloudCrucible 原生 Hook 内核。 * `ebpf_monitor.py`:向内核注入高权限 BPF 程序,以监视隐藏进程和伪造的网络数据包。 * `ebpf_rootkit_detector.py`:专门搜寻从 `lsmod` 和 `ps` 中掩盖自身踪迹的隐蔽 Linux Rootkit。 * `kernel_integrity_checker.py`:扫描通过 `insmod`/`modprobe` 进行的未授权内核模块加载或直接的内存覆写。 * `kthread_detector.py`:发现伪装成合法系统工作线程的恶意、未映射的内核线程。 * `syscall_sequence_analyzer.py`:跟踪精确的、恶意的系统调用链(例如 `ptrace` 后跟带有 `PROT_EXEC` 的 `mmap`),以便在恶意意图得逞之前识别它们。 * `strace_analyzer.py`:利用 `ptrace` 的基准 syscall 跟踪引擎。 * `xdp_detector.py`:监视 eXpress Data Path 中试图绕过标准 Linux 网络栈的数据包。 * `landlock_monitor.py`:检测针对 Linux Landlock 非特权沙箱功能的绕过尝试。 * `vmi_bridge.py`:虚拟机自省——从虚拟机视野之外的宿主机层级监控客户机。 * `livepatch_detector.py`:检测对合法 Linux 内核实时补丁机制的滥用。 * `audit_analyzer.py`:与 Linux `auditd` 子系统深度集成,进行合规级别的行为跟踪。 * `vdso_monitor.py`:Hook 虚拟动态链接共享对象 以捕获超快的 syscall 逃逸(如 `gettimeofday` 等)。 ### 💾 3. 内存、进程与子系统取证 CloudCrucible 主动抓取 RAM,解析无文件执行链,并检查丢弃的 Payload。 * `memory_analyzer.py`:基准 RAM 捕获和字符串索引。 * `advanced_memory.py`:Volatility 风格的深度内存雕刻,用于查找注入的 Shellcode 和未加壳的 PE/ELF 头。 * `fileless_detector.py`:搜寻通过 `memfd_create` 或 `shm_open` 纯粹在 RAM 中运行的“无文件”恶意软件。 * `memfd_secret_detector.py`:检测较新的 Linux `memfd_secret` syscall 的使用,该系统调用本用于安全内存,但被高级 Dropper 滥用。 * `rop_detector.py`:识别指示面向返回编程 链的栈转移。 * `dkom_detector.py`:直接内核对象操纵检查——验证进程结构未被解链。 * `shm_c2_detector.py`:检测通过 POSIX 共享内存进行的离散进程间 C2 通信。 * `userfaultfd_monitor.py`:检测恶意软件故意引发页面错误以通过 `userfaultfd` 处理执行代码的行为。 * `namespace_monitor.py` & `container_escape_detector.py`:专门寻找试图突破 Docker/LXC 容器命名空间(`setns`、`unshare`)的恶意软件。 * `io_uring_monitor.py`:检查日益用于绕过传统读/写 syscall Hook 的异步 I/O 子系统(`io_uring`)。 * `execveat_monitor.py`:专注于文件描述符执行的执行逃逸检查。 * `self_integrity_monitor.py`:确保 CloudCrucible 代理本身在引爆过程中未被 Hook 或修改。 * `systemd_persistence_detector.py`:识别创建恶意 `systemd` 定时器、服务或 `.bashrc` cron 作业的企图。 * `bootkit_detector.py`:检查 GRUB、UEFI 变量或 MBR 的更改,以识别持久的引导级威胁。 * `rootkit_scanner.py` & `pam_backdoor_detector.py`:对用户空间 Rootkit 和可插拔认证模块 后门进行签名和行为扫描。 * `so_loader_harness.py`:拦截 `LD_PRELOAD` 滥用和 `.so` 库注入。 ### 🕸️ 4. 高级网络与隐蔽通道 即使处于气隙隔离的 `docker --network=none` 空间内,CloudCrucible 也会记录所有出站连接尝试,以映射攻击者的基础设施。 * `network_analyzer.py` & `network_intel.py`:完整的 PCAP 生成、统计流分析和连接映射。 * `protocol_dissector.py`:第 7 层数据包检查 (HTTP/TLS/DNS/IRC)。 * `covert_channel_detector.py`:识别通过 ICMP 填充或 DNS TXT 记录进行的隐蔽数据渗透。 * `domain_fronting_detector.py`:通过比较 SNI 和 HOST 头,检测隐藏在合法 CDN (Fastly, Cloudflare) 背后的流量伪装。 * `netfilter_monitor.py`:检测试图更改防火墙规则的恶意软件(`iptables`/`nftables` 操作)。 * `wireguard_detector.py`:用于建立隐蔽、内核空间 WireGuard VPN C2 链接的特定签名。 * `tls_ech_detector.py`:识别加密客户端Hello 的使用,以隐藏目标服务器名称指示。 ### ⚙️ 5. 模拟、符号执行与硬件重放 当动态执行失败时,沙箱会退回到数学和硬件级别的模拟。 * `emulator.py`:Unicorn Engine 集成,无需原生执行即可安全地模拟不透明的 CPU 指令。 * `symbolic_analyzer.py`:基于 Angr 的符号执行,用于绘制执行路径并解决约束(例如猜测解密例程的密码)。 * `bleeding_edge.py`:与 Ghidra Headless Analyzer 深度集成,用于自动化二进制反编译和函数绘图。 * `intel_pt_tracer.py`:利用 Intel Processor Trace (PT) 进行零开销日志记录的硬件级指令跟踪。 * `snapshot_replay.py` & `deterministic_replay.py`:进行快速 RAM 状态快照,允许沙箱完美重放或倒回执行过程,以隔离感染的确切时刻。 * `bare_metal_backend.py` & `hypervisor_tap.py`:用于在容器外或通过 KVM 级 Tap 执行工作负载的接口。 * `multi_arch_executor.py`:通过 QEMU 用户空间翻译和处理非 x86 二进制文件(例如 ARM IoT 恶意软件)。 * `sleep_accelerator.py`:拦截并快进 `sleep()` 或 `nanosleep()` 调用,以立即绕过延时逃逸。 * `gpu_compute_monitor.py`:Hook OpenCL/CUDA 接口,以识别恶意软件是否正在 GPU 上编译非法的加密货币挖掘着色器。 ### 📊 6. 静态分析、威胁情报与报告 在执行前后,文件会被彻底 dissected 以查找 IOC (入侵指标)。 * `pe_analyzer.py` & `document_analyzer.py`:对 ELF 头、Windows PE 结构(如果存在)、武器化 PDF 或恶意 Office 宏进行深度结构解析。 * `yara_scanner.py` & `clamav_scanner.py`:使用自定义和社区规则集进行本地签名扫描。 * `string_extractor.py`:利用 FLOSS (FireEye Labs Obfuscated String Solver) 进行深度字符串恢复,以提取堆叠字符串。 * `threat_intel.py`:与 VirusTotal、OTX 和 AbuseIPDB 关联。 * `ioc_extractor.py`:详尽的基于正则的挖掘,用于查找硬编码的 IP 地址、域名、比特币钱包和 AWS API 密钥。 * `mitre_mapper.py`:将原始行为转化为 MITRE ATT&CK 框架(例如 T1059.004 Unix Shell)。 * `behavior_profiler.py` & `dropper_chain_tracker.py`:随时间聚类行为并跟踪下载二级二进制文件的多阶段 Payload。 * `polyglot_detector.py`:识别被设计为多种格式均有效的文件(例如一个既是有效 PDF 又是有效 ZIP 的文件)。 * `runtime_packer_detector.py`:熵分析以识别加壳二进制文件(UPX、自定义加壳器)。 * `stego_analyzer.py`:对丢弃的图像进行隐写术检查。 * `disk_forensics.py`:跟踪对虚拟块设备的精确修改(文件系统监视器)。 * `crypto_identifier.py`:对嵌入式加密常量进行签名扫描(识别特定的 AES/RSA/ChaCha20 实现)。 * `sigma_rule_engine.py`:将 SIEM Sigma 规则应用于生成的系统日志。 * `dead_drop_resolver.py`:解析托管在 Pastebin 或 Twitter bio 等合法站点上的加密 C2 命令。 * `cloud_metadata_detector.py`:标记查询 AWS IMDS 端点`169.254.169.254`)以窃取实例凭证的企图。 * `supply_chain_analyzer.py` & `firmware_analyzer.py` & `iot_arch_analyzer.py` & `arm_analyzer.py`:生态系统和特定架构的扫描器。 * `resource_exhaustion_guard.py` & `signal_flow_analyzer.py`:保护沙箱本身免受拒绝服务攻击,并分析致命的 Linux 信号(如为利用链诱导的 `SIGSEGV`)。 ## 🔒 毫不妥协的安全架构 执行剧毒的 Linux 威胁行为体需要绝对隔离。CloudCrucible 的部署就是一个数字隔离病房。 * **气隙隔离执行区**:EC2 实例在**私有子网**中启动,没有通往互联网的路由。 * **容器虚空**:在具有 `--network=none` 且删除了所有功能(`--cap-drop=ALL`)的 Docker 容器内执行。 * **仅 SSM 访问**:无 SSH。编排器 Lambda 严格通过隔离的 **AWS Systems Manager (SSM) VPC Endpoints** 进行通信。 * **IAM 最小权限**:细粒度的自定义 IAM 角色(`terraform/iam.tf`)确保组件仅通过权限边界执行预期任务。 * **定向销毁**:一旦达到 600 秒的分析超时,EC2 实例将被强制终止。 ## 🚀 入门指南 部署此管道是完全自动化的。 1. **阅读部署指南**:有关完整的前提条件和架构背景,请查阅 [DEPLOYMENT.md](DEPLOYMENT.md)。 2. **实时演示设置**:如需快速的 15 分钟演示部署,请遵循 [LIVE_DEMO.md](LIVE_DEMO.md)。 ### 一键 PowerShell 部署 ``` .\deploy.ps1 ``` *(自动脚本通过 Terraform 提供 VPC、Step Functions、Lambdas、S3 存储桶和 Next.js 前端。)* ## 👨💻 作者 **Arasu Aswin** 📧 arasuaswin7@gmail.com ## 📝 许可证 MIT License - 详情见 [LICENSE](LICENSE)。
⭐ 如果您觉得这 78 个分析器和架构很强大,请为本仓库点个 Star!
标签:AMSI绕过, AWS, Cloudflare, CSV导出, DAST, DevSecOps, Docker镜像, DPI, EC2, ECS, HTTP工具, IaC, IP 地址批量处理, Linux 安全, MITRE ATT&CK, Mr. Robot, Mutation, Python, Python3.6, Rootkit 检测, Terraform, Web归档检索, 上游代理, 仪表盘, 内核级分析, 反病毒, 反逃避技术, 可视化, 后渗透, 威胁情报, 威胁检测, 库, 应急响应, 开发者工具, 恶意软件 detonation, 恶意软件分析, 搜索引擎查询, 无后门, 无线安全, 沙箱, 流量嗅探, 漏洞探索, 结构化查询, 网络信息收集, 网络安全, 网络安全审计, 自动化安全, 请求拦截, 逆向工具, 隐私保护