copyleftdev/wana

# wana **海胆 —— 具备 MITRE ATT&CK 映射的无头可执行文件分析器。** Wana 是一个仅 2.5MB 的静态恶意软件分析引擎。输入 PE 或 ELF 二进制文件，它将返回基于导入表情报、熵值分析、壳检测、字符串取证和行为模式匹配的威胁判定 —— 全部映射到 MITRE ATT&CK 技术。 无需沙箱。无需虚拟机 (VM)。无需更新签名。仅二进制层面的结构分析。 ``` wana suspicious.exe wana --json malware_sample.dll leviathan -d target.com -s | mano -s | xargs -I{} wget {} -O sample && wana sample ``` ## 它的功能 **输入一个二进制文件。输出威胁判定。** ``` $ wana dropper.exe Threat Score: 87/100 | Category: MALICIOUS | Confidence: High Top Findings: 1. [!!] Process injection pattern (VirtualAllocEx + WriteProcessMemory + CreateRemoteThread) 2. [!!] Packer detected: UPX (modified) 3. [!!] Known mutex: "d4rkc0met_mtx" → DarkComet RAT 4. [!] Anti-debug APIs (IsDebuggerPresent, NtQueryInformationProcess) 5. [!] File download capability (URLDownloadToFileA, InternetOpenA) ``` ## 能力 ### PE 分析 - **导入表情报** —— 每个导入的 API 均映射到 MITRE ATT&CK 技术、战术和严重程度 - **行为模式检测** —— DLL 注入、进程镂空、键盘记录、屏幕截图、勒索软件、凭证窃取、权限提升、横向移动、服务操控 - **节区分析** —— 逐节区熵值、RWX 检测、大小比例异常 - **Rich 头解析** —— 通过 XOR 解密的 Rich 头进行编译器/工具链指纹识别 - **TLS 回调检测** —— 在 main() 之前运行的代码 - **资源提取** —— 嵌入数据清单 - **Imphash** —— 用于恶意软件家族聚类的导入哈希 - **壳检测** —— 24 个签名（UPX, Themida, VMProtect, MPRESS, Enigma, ASPack 等） ### ELF 分析 - **动态符号分析** —— 导入、导出、所需库 - **安全属性** —— PIE, RELRO, 可执行栈, BIND_NOW - **节区熵** —— 加壳/加密节区检测 - **可疑函数检测** —— ptrace, memfd_create, mprotect, dlopen 模式 ###字符串情报 - **ASCII + UTF-16LE 提取** 及自动分类 - **类别：** URL、IP、注册表路径、文件路径、电子邮件、互斥体候选、PDB 路径、加密货币钱包地址 - **C2 指标匹配** —— gate.php、Cobalt Strike 信标、动态 DNS、PowerShell 加载器、可疑 user-agent - **可疑互斥体匹配** —— 45+ 个已知恶意软件家族互斥体（Emotet, Trickbot, DarkComet, njRAT, Remcos, WannaCry, Formbook, Agent Tesla 等） - **注册表持久化路径** —— Run 键、AppInit_DLLs、IFEO、COM 劫持、安全策略篡改 ### API 哈希解析 - **ROR13 哈希表** —— 120+ 个带有预计算哈希的常见 API - 通过哈希值检测 Shellcode 风格的 API 解析 - 覆盖 kernel32, ntdll, user32, advapi32, ws2_32, wininet, urlmon ### 评分引擎 - **0-100 威胁评分** 及置信度（低/中/高） - **20 条评分规则** 按严重程度加权 - **类别：** 干净 (<25)、可疑 (25-49)、可能恶意 (50-74)、恶意 (75+) - **前 5 个原因** 按影响排序 ### MITRE ATT&CK 覆盖范围 | 战术 | 技术 | |--------|-----------| | **执行** | T1059 (命令执行), T1106 (原生 API) | | **持久化** | T1547 (注册表 Run 键), T1543 (服务), T1053 (计划任务), T1574 (DLL 侧加载) | | **权限提升** | T1134 (令牌操控) | | **防御规避** | T1055 (进程注入), T1497 (反调试/沙箱), T1070 (指标移除), T1027 (混淆), T1140 (去混淆) | | **凭证访问** | T1003 (凭证转储) | | **发现** | T1082 (系统信息), T1033 (用户发现), T1057 (进程发现), T1083 (文件发现), T1012 (注册表查询), T1135 (网络共享) | | **收集** | T1056 (键盘记录), T1113 (屏幕截图), T1115 (剪贴板) | | **命令与控制 (C2)** | T1071 (Web/套接字协议), T1105 (工具传输), T1048 (DNS 数据渗出) | | **横向移动** | T1021 (SMB/管理共享) | | **影响** | T1486 (勒索软件加密), T1490 (系统恢复抑制) | ## 用法 ``` # 基本分析 wana sample.exe # JSON 输出（通过管道传输至 jq，发送至 SIEM） wana --json sample.exe | jq '.verdict' # 仅显示判定结果 wana --verdict-only sample.exe sample2.dll sample3.sys # 分析多个文件 wana *.exe # 显示所有提取的字符串 wana --all-strings sample.exe # 自定义最小字符串长度 wana --min-string-len 8 sample.exe # 安静模式（无 banner） wana -q --json sample.exe ``` ## 数据表（内置，无外部文件） | 表 | 条目数 | 用途 | |-------|---------|---------| | **API → MITRE ATT&CK** | 160+ 映射 | 按技术/战术/严重程度进行导入分类 | | **API ROR13 哈希** | 120+ 条目 | Shellcode API 哈希解析 | | **壳签名** | 24 个壳 | 节区名称 + 入口点字节模式 | | **可疑注册表路径** | 50+ 路径 | 持久化/策略篡改检测 | | **可疑文件路径** | 30+ 路径 | 常见投放位置检测 | | **恶意软件互斥体** | 45+ 模式 | 通过互斥体名称识别家族 | | **C2 指标** | 80+ 模式 | 信标 URL、user-agent、DNS 模式 | | **加密货币钱包正则** | 7 种货币 | BTC, ETH, XMR, LTC, BCH, DASH, ZEC | 所有数据均作为静态数组编译进二进制文件。无配置文件，无数据库，无网络访问。2.5MB 独立运行。 ## Kai Moana 舰队的一部分 ``` leviathan → puhi → mano → wana find map probe analyze subdomains DNS HTTP binaries ``` ## 安装 ``` git clone https://github.com/copyleftdev/wana.git cd wana cargo build --release cp target/release/wana /usr/local/bin/ ``` 需要 Rust 1.70+。无运行时依赖。 ## 许可证 MIT

标签：API 解析, asyncio, ATT&CK 框架, CMS检测, DAST, DNS 反向解析, ELF分析, HTTP工具, IP 地址批量处理, Linux 安全, MITRE ATT&CK 映射, PE分析, PE 加载器, Python3.6, RFI远程文件包含, Rust, SSH蜜罐, Windows 安全, 二进制分析, 云安全监控, 云安全运维, 云资产清单, 互斥体检测, 免杀检测, 加壳识别, 可视化界面, 壳检测, 威胁情报, 威胁评分, 字符串取证, 开发者工具, 恶意软件分析, 数据包嗅探, 无头分析器, 无线安全, 流量嗅探, 熵分析, 网络安全审计, 网络流量审计, 行为检测, 进程注入, 逆向工程, 通知系统, 静态分析