Winkz0/Mal-Intel-Pipeline

# 概述 Mal-Intel-Pipeline 是一个模块化、人在回路的恶意软件智能与分析流水线，专为安全研究人员和 SOC 分析师构建。 它能够接入威胁情报源，获取恶意软件样本，在隔离的 REMnux 环境中执行静态分析，通过 Claude API 综合分析结果，并生成结构化的分析师报告以及 YARA/Sigma 检测规则。这是一个充满热情的项目，其期望的结果是学习更多关于 Python、恶意软件分析、情报源工作原理的知识，并掌握拥有 GitHub Repo 的基础知识。该项目仍处于起步阶段，虽然没有预期的“最终目标”，但随着时间的推移和知识的进一步积累，它将持续动态变化。 \# 入门指南 1. 克隆本仓库 2. 将 'config/secrets.env.template' 复制为 'config/secrets.env' 并填入你的 API 密钥（文件中列出了所有必需的密钥） 3. 设置一个 REMnux 虚拟机，并在那里也克隆该仓库 4 请参阅[会话启动 playbook](docs/playbook.md) 以获取完整的工作流程 \--- \## 设计理念 \- 人工检查点是一等公民功能，而非事后补充 \- Claude 用于增强分析员的判断力，而不是取代它 \- 模块化设计 —— 每一层都可独立运行 \- v1 范围：情报接入 → 静态分析 → 报告 + 规则 \- 动态沙箱执行将在 v2 中实现 \--- \## 每个样本的目标输出 | 输出 | 描述 | |---|---| | 技术报告 | 结构化分析结果，面向分析师 | | 执行摘要 | 面向利益相关者，非技术性 | | YARA 规则 | 包含置信度评级和推理依据 | | Sigma 规则 | 映射到 CrowdStrike/Splunk 日志源 | | MITRE ATT\&CK 映射 | 每个样本的 TTP 映射 | \--- \## 人工检查点 | 检查点 | 触发条件 | 分析师操作 | |---|---|---| | #1 情报接入后 | 从情报源中提取出 IOC | 审查 IOC，批准样本进行分析 | | #2 静态分析后 | 静态分析完成 | 审查分析结果，可选添加自定义 YARA 规则 | | #3 结果综合后 | 生成 LLM 输出 | 在导出前调整并批注规则/报告 | \--- \## 技术栈 | 层级 | 工具 | |---|---| | 情报源 | CISA JSON, AlienVault OTX, Abuse.ch/MalwareBazaar | | 样本获取 | MalwareBazaar API, VirusTotal API | | 静态分析 | FLOSS, Capa, pefile, Detect-It-Easy | | LLM 综合 | Claude API | | 报告输出 | Markdown → PDF (Pandoc) 或 Flask UI | | 规则验证 | PyYARA, Sigma CLI | \## 里程碑 | # | 里程碑 | 状态 | |---|---|---| | M1 | 仓库 \& GitHub 设置 | ✅ 完成 | | M2 | 虚拟机环境 | ✅ 完成 | | M3 | API 账号 \& 密钥 | ✅ 完成 | | M4 | 情报源接入 | ✅ 完成 | | M5 | 样本获取 | ✅ 完成 | | M6 | 静态分析引擎 | ✅ 完成 | | M7 | LLM 综合层 | ✅ 完成 | | M8 | 报告生成 | ✅ 完成 | | M9 | 规则验证 | ✅ 完成 | | M10 | 增量分析 | ✅ 完成 | \--- \## 仓库结构 ``` mal-intel-pipeline/ ├── docs/ │ ├── milestones/ │ └── architecture/ ├── config/ ├── pipeline/ │ ├── ingestion/ │ ├── acquisition/ │ ├── static\_analysis/ │ ├── llm\_synthesis/ │ ├── reporting/ │ ├── rule\_validation/ │ └── delta\_analysis/ ├── samples/ │ ├── quarantine/ │ └── analyzed/ ├── output/ │ ├── reports/ │ ├── rules/ │ │ ├── yara/ │ │ └── sigma/ │ └── logs/ ├── checkpoints/ ├── tests/ └── scripts/ ``` \--- \## 状态 \*\*复制/粘贴池 🔄 进行中 ✅ 完成 \*\*当前里程碑：\*\* \ 研讨 V2 想法 \*\*最后更新：\*\* 2026-04-07

标签：Claude API, DAST, DNS信息、DNS暴力破解, DNS 反向解析, IOC提取, IP 地址批量处理, MITRE ATT&CK映射, Python, REMnux, Sigma规则, SOC工具, YARA规则, 云安全监控, 人工智能辅助, 人机协同, 入侵指标, 大模型赋能, 威胁情报, 安全研究报告, 安全运营中心, 开发者工具, 恶意软件分析, 数据展示, 无后门, 无线安全, 漏洞发现, 目标导入, 红队, 网络信息收集, 网络安全, 网络映射, 自动化流水线, 蓝军, 逆向工具, 隐私保护, 静态分析