idaholab/cape2stix
GitHub: idaholab/cape2stix
将CAPEv2恶意软件沙箱报告转换为STIX 2.1标准格式并导入Neo4j图数据库的威胁情报数据转换工具。
Stars: 6 | Forks: 3
# CAPE2STIX
本项目的目的是自动分析 CAPE 中的恶意软件,然后将 CAPE 数据转换为 STIX 2.1 数据。
CAPE (Config And Payload Extraction) 是一个恶意软件沙箱。它派生自 Cuckoo,其目标是添加自动化的恶意软件解包和配置提取功能。自动解包允许基于 Yara 签名进行分类,以补充网络 (Suricata) 和行为 (API) 签名。 有一个任何人都可以免费使用的在线社区实例:[CAPE Sandbox](https://capesandbox.com) 在使用 CAPE2STIX 仓库时,需要注意以下几点。
**首先**,文档列出了从开始到结束的设置和使用说明。本 README 包含指向其他 markdown 文件的链接,所有这些文件最好在 markdown 显示器中阅读,例如 Github 的网页视图或 VSCode 的 markdown 预览。
**其次**,本项目包含 git 子模块。使用以下命令以确保所有子模块可用 ``` git clone --recursive cd cape2stix/ git submodule update --init --recursive ```
一旦通过子模块克隆了仓库,用户就可以设置 AMA/CAPE2STIX 环境的 pipeline。部署 pipeline 如下: - [自动化恶意软件分析部署](./README.md#automated-malware-analysis-deployment):创建一个 CAPE 沙箱系统,包含 N 个用于分析恶意软件样本的虚拟机 - [CAPE-Web](./ama_deploy.md#cape-web):在 CAPE 中运行恶意软件样本 - [导出 CAPE 报告](./ama_deploy.md#cape-web) - [cape2stix](./README.md#cape2stix-1):将 CAPE 报告转换为 STIX - [Neo4j](./README.md#neo4j):将转换后的 STIX 报告提交到 neo4j 数据库 ## 自动化恶意软件分析部署 [ama_deploy/](../ama_deploy/) 是包含使用虚拟机镜像从零开始构建 CAPE 的所有设置的目录。除了部署 CAPE 之外,它还包含设置 cape2stix 和 neo4j docker 容器的功能。有关更多说明,请参阅 [ama_deploy 文档](ama_deploy.md#command-description)。用户从 [CAPE-Web](./ama_deploy.md#cape-web) 导出恶意软件报告后可以返回此页面;然后用户就可以使用 [cape2stix 转换器](./README.md#cape2stix-1)了。
**假设的部署目标是 ubuntu 22LTS 或类似系统。** ## cape2stix cape2stix 可以将 CAPE 报告转换为 STIX 2.1 并将其提交到 neo4j 数据库。可以通过**手动**或**自动**方式进行安装。
**假设的部署目标是 ubuntu 22LTS 或类似系统。** ### 手动安装 对于不需要提交到数据库的小规模转换,首选手动设置。用户需要安装并运行 poetry ``` python3 -m pip install poetry # install poetry poetry install # install dependencies under poetry environment poetry shell # enter the poetry environment ``` 此时将创建一个虚拟环境,可以通过运行 `poetry shell` 来访问。这应该用于运行所有的 Python 脚本 ### 自动安装 [ama_deploy/run.py](../ama_deploy/run.py) 可以构建和部署 cape2stix 和 neo4j 数据库所需的 docker 容器。有关如何使用此工具的更多信息,请参阅 [ama_deploy 文档](ama_deploy.md#command-description) ### 使用说明 [convert.py](../cape2stix/scripts/convert.py) 是一个脚本,它将把 CAPEv2 生成的 JSON 报告转换为 STIX bundle 该脚本的用法如下所示。 ``` usage: convert.py [-h] [--log_level {warn,debug,info}] [--disallow_custom] [--small] (-u | -f FILE) CAPE json conversion to STIX. Using mainly the report.json output optional arguments: -h, --help show this help message and exit --log_level {warn,debug,info} --disallow_custom --small -u run tests with base file -f FILE, --file FILE path to file ie: ./report.json ``` 示例用法: ``` python3 cape2stix/scripts/convert.py -f input/test.json --log_level info ``` 生成的 STIX JSON 文件将放置在 [output](../output/) 中。
注意:这需要在仓库的顶层目录中运行 ## Neo4j 转换后的 STIX 应存储在 Neo4j 数据库中。有关数据库设置的更多信息,请参阅我们的 [Neo4j 文档](neo4j_readme/Neo4j_README.md) ## 注意事项 - 运行 `poetry install` 时,poetry 可能会产生错误。除非它们导致命令完全失败,否则请忽略这些错误
CAPE (Config And Payload Extraction) 是一个恶意软件沙箱。它派生自 Cuckoo,其目标是添加自动化的恶意软件解包和配置提取功能。自动解包允许基于 Yara 签名进行分类,以补充网络 (Suricata) 和行为 (API) 签名。 有一个任何人都可以免费使用的在线社区实例:[CAPE Sandbox](https://capesandbox.com) 在使用 CAPE2STIX 仓库时,需要注意以下几点。
**首先**,文档列出了从开始到结束的设置和使用说明。本 README 包含指向其他 markdown 文件的链接,所有这些文件最好在 markdown 显示器中阅读,例如 Github 的网页视图或 VSCode 的 markdown 预览。
**其次**,本项目包含 git 子模块。使用以下命令以确保所有子模块可用 ``` git clone --recursive cd cape2stix/ git submodule update --init --recursive ```
一旦通过子模块克隆了仓库,用户就可以设置 AMA/CAPE2STIX 环境的 pipeline。部署 pipeline 如下: - [自动化恶意软件分析部署](./README.md#automated-malware-analysis-deployment):创建一个 CAPE 沙箱系统,包含 N 个用于分析恶意软件样本的虚拟机 - [CAPE-Web](./ama_deploy.md#cape-web):在 CAPE 中运行恶意软件样本 - [导出 CAPE 报告](./ama_deploy.md#cape-web) - [cape2stix](./README.md#cape2stix-1):将 CAPE 报告转换为 STIX - [Neo4j](./README.md#neo4j):将转换后的 STIX 报告提交到 neo4j 数据库 ## 自动化恶意软件分析部署 [ama_deploy/](../ama_deploy/) 是包含使用虚拟机镜像从零开始构建 CAPE 的所有设置的目录。除了部署 CAPE 之外,它还包含设置 cape2stix 和 neo4j docker 容器的功能。有关更多说明,请参阅 [ama_deploy 文档](ama_deploy.md#command-description)。用户从 [CAPE-Web](./ama_deploy.md#cape-web) 导出恶意软件报告后可以返回此页面;然后用户就可以使用 [cape2stix 转换器](./README.md#cape2stix-1)了。
**假设的部署目标是 ubuntu 22LTS 或类似系统。** ## cape2stix cape2stix 可以将 CAPE 报告转换为 STIX 2.1 并将其提交到 neo4j 数据库。可以通过**手动**或**自动**方式进行安装。
**假设的部署目标是 ubuntu 22LTS 或类似系统。** ### 手动安装 对于不需要提交到数据库的小规模转换,首选手动设置。用户需要安装并运行 poetry ``` python3 -m pip install poetry # install poetry poetry install # install dependencies under poetry environment poetry shell # enter the poetry environment ``` 此时将创建一个虚拟环境,可以通过运行 `poetry shell` 来访问。这应该用于运行所有的 Python 脚本 ### 自动安装 [ama_deploy/run.py](../ama_deploy/run.py) 可以构建和部署 cape2stix 和 neo4j 数据库所需的 docker 容器。有关如何使用此工具的更多信息,请参阅 [ama_deploy 文档](ama_deploy.md#command-description) ### 使用说明 [convert.py](../cape2stix/scripts/convert.py) 是一个脚本,它将把 CAPEv2 生成的 JSON 报告转换为 STIX bundle 该脚本的用法如下所示。 ``` usage: convert.py [-h] [--log_level {warn,debug,info}] [--disallow_custom] [--small] (-u | -f FILE) CAPE json conversion to STIX. Using mainly the report.json output optional arguments: -h, --help show this help message and exit --log_level {warn,debug,info} --disallow_custom --small -u run tests with base file -f FILE, --file FILE path to file ie: ./report.json ``` 示例用法: ``` python3 cape2stix/scripts/convert.py -f input/test.json --log_level info ``` 生成的 STIX JSON 文件将放置在 [output](../output/) 中。
注意:这需要在仓库的顶层目录中运行 ## Neo4j 转换后的 STIX 应存储在 Neo4j 数据库中。有关数据库设置的更多信息,请参阅我们的 [Neo4j 文档](neo4j_readme/Neo4j_README.md) ## 注意事项 - 运行 `poetry install` 时,poetry 可能会产生错误。除非它们导致命令完全失败,否则请忽略这些错误
标签:Burp项目解析, DAST, DNS 反向解析, STIX, 威胁情报, 开发者工具, 恶意软件分析, 数据转换, 沙箱, 特权提升, 网络信息收集, 自动化部署, 请求拦截, 逆向工具