nr313/Malware-Analysis-Sandbox

# SANDBOX — AI 驱动的恶意软件分析工具 一款基于浏览器的静态恶意软件分析工具，利用 Claude AI 分析可疑代码、提取的字符串和行为日志 —— 返回包含 MITRE ATT&CK 映射、IOC 和修复步骤的完整威胁报告。 ## 功能特性 - **威胁评分** — 0–100 分，附带分类（严重 / 高 / 中 / 低 / 干净） - **恶意软件家族识别** — 在可能的情况下识别已知的恶意软件家族 - **行为分析** — 检测持久化、C2 通信、防御规避、数据泄露等 - **MITRE ATT&CK 映射** — 将行为映射到真实的 ATT&CK 技术 ID（例如 T1059.001） - **IOC 提取** — 从样本数据中提取 IP、URL、注册表键、文件路径和命令 - **三种输入模式** — 反编译代码、提取的字符串或动态行为日志 - **零依赖** — 单个 HTML 文件，无需安装，可在任何浏览器中运行 ## 检测的行为 - 持久化机制（注册表 Run 键、计划任务） - 命令与控制 (C2) 通信 - 防御规避（AV 排除项、进程注入） - 横向移动和权限提升 - 数据泄露 - Dropper / downloader 活动 - Living-off-the-land (LOLBin) 滥用 ## 快速开始 ### 1. 克隆仓库 ``` git clone https://github.com/YOUR_USERNAME/malware-analysis-sandbox.git cd malware-analysis-sandbox ``` ### 2. 获取 Anthropic API 密钥 在 [console.anthropic.com](https://console.anthropic.com) 注册并创建一个免费的 API 密钥。 ### 3. 在浏览器中打开 ``` open malware-sandbox.html ``` 或者直接双击文件 —— 无需服务器。 ### 4. 分析样本 1. 输入您的 API 密钥 2. 填写文件名和类型 3. 粘贴反编译代码、提取的字符串或行为日志（或点击“Load sample malware”） 4. 点击 **Run Analysis** ## 输出示例 对于 PowerShell dropper，该工具返回： ``` Threat Level: CRITICAL Threat Score: 94/100 Malware Family: PowerShell Dropper / RAT Behaviors: [CRITICAL] Remote Payload Download — Downloads executable from C2 server [CRITICAL] Persistence via Registry — Adds Run key for auto-execution [HIGH] Defense Evasion — Adds path to Windows Defender exclusions [HIGH] C2 Beaconing — POSTs system info (hostname, user, OS) to C2 [MEDIUM] Process Execution — Launches dropped payload MITRE ATT&CK: T1059.001 - PowerShell T1105 - Ingress Tool Transfer T1547.001 - Registry Run Keys / Startup Folder T1562.001 - Disable or Modify Tools T1071.001 - Web Protocols IOCs: IP 185.220.101.47 URL http://185.220.101.47/payload.bin URL http://185.220.101.47/gate.php RegKey HKCU\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate Path C:\Users\*\AppData\Roaming\svchost.exe ``` ## 工作原理 1. 用户提供样本数据 —— 反编译代码、strings 输出或沙箱行为日志 2. 应用程序通过 Anthropic API 将数据发送给 Claude AI 进行静态分析 3. Claude 识别恶意模式，映射到 MITRE ATT&CK，并提取 IOC 4. 结果呈现为结构化的威胁报告 ## 重要说明 此工具执行基于文本输入的 **AI 辅助静态分析**。它不执行任何代码或文件。切勿在本地机器上运行实际的恶意软件 —— 请使用隔离的 VM 或云沙箱（如 ANY.RUN 或 Cuckoo）进行动态分析。 ## 技术栈 - 原生 HTML / CSS / JavaScript（零依赖） - [Anthropic Claude API](https://docs.anthropic.com) — `claude-sonnet-4-20250514` - Share Tech Mono + Rajdhani 字体 ## 学习概念 此项目演示了以下方面的实用知识： - 恶意软件分析技术（静态和动态） - MITRE ATT&CK 框架 - 入侵指标 - 基于 PowerShell 的恶意软件模式 - 持久化机制和防御规避 - C2 通信识别 - AI 辅助威胁情报 ## 许可证 MIT

标签：Anthropic API, C2 检测, Claude AI, Cloudflare, DAST, DLL 劫持, HTML5, IOC 提取, IP 地址批量处理, MITRE ATT&CK, OpenCanary, PE 加载器, PowerShell 分析, Web报告查看器, 云安全监控, 人工智能安全, 合规性, 后端开发, 多模态安全, 大语言模型, 威胁情报, 威胁评分, 开发者工具, 恶意软件分析, 持久化检测, 数据可视化, 沙箱, 浏览器工具, 网络信息收集, 网络安全, 防病毒, 隐私保护, 零依赖, 静态分析