Sanal-Lince/malware-detonation-platform

# 🐍 NAGA 恶意软件引爆平台 ## 🚀 概述 **Naga** 是一个*下一代恶意软件分析沙箱*，结合了深度网络取证、实时可视化和以现代分析师为中心的设计。 与传统沙箱（*Cuckoo, CAPE*）不同，Naga 提供**整个引爆过程的实时流媒体**。 ## 🧠 核心理念 传统沙箱在执行*后*生成报告。 **Naga 颠覆了这一模式**，使分析师能够： 1. 即时响应可疑行为 2. 实时拦截网络流量 3. 动态可视化进程关系 4. 理解**为什么**，而不仅仅是**是什么** ## ✨ 关键特性 ### 1. 🖥️ 隔离的 QEMU/KVM 虚拟化 - 每次引爆使用全新的 VM - 完整的硬件模拟 - 基于 Docker 的部署（*一键设置*） - 自动生命周期管理（创建 → 引爆 → 销毁 → 重置） ### 2. 🔓 完整 TLS 解密 - 检查真实的 HTTPS 载荷（不仅仅是 `443/tcp`） - 集成 **mitmproxy** - 自动证书注入 - 完整的证书检查 ### 3. 📹 实时屏幕录制 - 通过 VNC 流进行实时执行查看 - 用于后续分析的视频存档 - 低延迟 WebSocket 流 ### 4. 🔍 自动化增强管道 | Tool | Purpose | |------------|--------| | **Suricata** | 网络入侵检测 | | **YARA** | 恶意软件签名检测 | | **CAPA** | 能力分析 | | **MITRE ATT&CK** | 行为映射 | ### 5. 🔀 交互式进程树 - 使用 Sysmon 遥测数据构建 - 父子关系 - MITRE ATT&CK 标记 - 悬停显示详情（PID, 命令, 技术） ### 6. 🌊 网络瀑布流可视化 - 网络活动时间线 - 颜色编码的流量： - 🟢 已解密的 HTTPS - ⚪ 其他流量 - DNS + 证书洞察 ### 7. ⚡ 实时 WebSocket 流 - 实时更新： - VM 状态 - 告警 - 进程 - 网络连接 - ❌ 无轮询 — 仅基于推送的事件 ### 8. 🎨 现代化 UI (Svelte) - 简洁快速的界面 - 面向分析师的仪表板 - 深色模式优化 - 响应式设计 ## 🏗️ 技术架构 ### 📌 高层技术栈 ``` Frontend (Svelte) │ │ REST / WebSocket ▼ Backend (Go) ├── VM Orchestration ├── Network Capture ├── Screen Capture └── Enrichment Engine │ ▼ QEMU/KVM Virtual Machines ``` ### 🧩 组件 | ***Component*** | ***Technology*** | ***Purpose*** | |------------|-----------------|------------| | **VM Hypervisor** | QEMU/KVM + libvirt | 隔离 | | **Backend** | Go (Gorilla, NATS) | API & 编排 | | **Frontend** | Svelte, D3, vis-network | UI | | **Network Capture** | tcpdump, mitmproxy | 数据包 + TLS | | **Screen Recording** | ffmpeg, VNC | 实时流 | | **Detection** | Suricata, YARA, CAPA | 分析 | | **Telemetry** | Sysmon | 系统事件 | | **Database** | PostgreSQL | 存储 | | **Backend** | NATS | 通信 | | **Message Bus** | Docker Compose | 部署 | ### 👨‍💻 分析师体验 #### 🔎 你看到的 - 上传文件 / URL - 实时执行仪表板 - 进程树（交互式） - 网络瀑布流 - 告警面板 ## 📡 实时事件示例 ``` [14:32:01] status: VM ready [14:32:05] process: powershell.exe (PID 2345) [14:32:06] mitre: T1059 - Command Execution [14:32:07] network: 185.x.x.x:443 (HTTPS decrypted) [14:32:08] alert: Suspicious PowerShell activity [14:32:10] status: Completed ``` ## ⚙️ 部署 ### 🖥️ 硬件要求 | Resource | Minimum | ----------|----------| | CPU | 8+ 核心 | | RAM | 32GB+ | | Storage | 200GB SSD | | Network | 隔离 | ## 🧰 软件要求 - Ubuntu 20.04+ / Debian 11+ - Docker + Docker Compose - QEMU/KVM + libvirt - Windows VM 镜像 ## ⚡ 一键设置 ``` git clone https://github.com/yourusername/naga cd naga sudo ./scripts/setup-host.sh docker-compose up -d ``` ## 🎯 使用场景 1. 🛡️ SOC / 事件响应 - 分析钓鱼载荷 - 调查攻击者基础设施 - 生成报告 2. 🧪 威胁研究 - 研究恶意软件家族 - 构建检测规则 - 提取 TTPs 3. 🔴 红队 - 安全地测试载荷 - 验证检测足迹 - 改进 OPSEC 4. 🎓 教育 - 教授恶意软件行为 - 直观演示攻击 - 培训分析师 ## ⚖️ 对比 | Feature | Naga | Cuckoo | CAPE | Commercial | | ---------------- | ---- | --------- | --------- | ---------- | | 实时 UI | ✅ | ❌ | ❌ | ⚠️ 部分 | | TLS 解密 | ✅ | ❌ | ❌ | ✅ | | 进程树 | ✅ | ⚠️ 静态 | ⚠️ 静态 | ✅ | | 屏幕录制 | ✅ | ❌ | ❌ | ✅ | | 部署 | 简单 | 困难 | 困难 | 不适用 | | 成本 | 免费 | 免费 | 免费 | $$$ | ## 🔐 安全与隔离 ### ⚠️ 关键警告 - ❌ 切勿在生产网络上运行 - 🔒 使用隔离环境 / VLAN - 🧹 每次引爆后重置 VM - 🚫 不暴露敏感数据 - ✅ 仅分析授权样本 ## 🗺️ 路线图 | Feature | Status | | --------------- | --------------- | | API Hooking | 🟡 计划中 | | 内存分析 | 🟡 计划中 | | Multi-VM | 🟡 计划中 | | YARA 编辑器 | 🟡 计划中 | | STIX 导出 | 🟡 计划中 | | 云支持 | 🔵 评审中 | ## 📦 项目状态 - 版本: v0.1.0 (Alpha) - 许可证: MIT - 维护者: SunChero - 启动时间: April 1, 2026 ## 🐍 为什么叫 "Naga"？ 以守护宝藏的神话巨蛇命名。 ## 📌 总结 Naga 重新定义了恶意软件沙箱： - ⚡ 实时，而非批量 - 🎨 可视化，而非静态 - 🧠 分析师优先设计 - 🚀 易于部署 ## ⭐ 支持 如果你喜欢这个项目： - 👉 给仓库点 Star - 👉 分享给研究人员 - 👉 为开发做贡献

标签：CAPA, DAST, Docker 部署, EVTX分析, Go 语言, HTTPS 解密, Metaprompt, mitmproxy, MITM 代理, MITRE ATT&CK 映射, QEMU/KVM, SBOM分析, Suricata, Svelte, Sysmon, TLS 解密, VNC 流媒体, WebSocket 实时流, YARA, 下一代沙箱, 云资产可视化, 威胁情报, 安全分析平台, 实时屏幕录制, 开发者工具, 恶意代码 detonation, 恶意软件分析, 日志审计, 沙箱, 测试用例, 现代安全运营, 网络安全, 网络运维, 虚拟化隔离, 请求拦截, 身份验证强制, 进程树可视化, 隐私保护