grimbinary/mal-parse

# mal-parse 由 @grimbinary 制作的一款实用的恶意软件分析工具包。只需安装依赖项，使用您的特定偏好设置更新 preferences.conf，然后运行 'python3 mal-parse.py -h' 即可。 # 概述： 这个 Python 脚本是一个综合工具，旨在自动化对 100 个基于 Windows 的恶意软件样本进行实时威胁分析的过程（也可以修改为摄取和处理 Linux 恶意软件）。它与多个平台和 API 集成，包括 VirusTotal、YARAify、ThreatFox 和 Elasticsearch，以全面了解潜伏在样本中的威胁。请务必查看我的另一个名为 'quickcrowd' 的代码库，以便更快地上手运行！ # 功能： -> VirusTotal API 集成（必需）：该脚本使用 VirusTotal API 来获取给定哈希值的威胁分析数据。这包括利用其 MITRE ATT&CK 框架数据，为您提供威胁所使用的策略、技术和程序（TTPs）的详细视图。您可以免费获取此 API 密钥，但除非您购买高级版，否则请求限制将会受到额度上限约束。 -> yarGen 集成：由 Florian Roth (@Neo23x0) 开发的 yarGen 是网络安全领域的一款开源工具，旨在协助生成用于恶意软件检测的 YARA 规则。它擅长创建专门用于识别恶意软件家族或类别的规则，使其成为恶意软件分析中的宝贵资产。yarGen 的优势在于它能够根据从一组恶意软件样本中提取的字符串来生成 YARA 规则。然后可以使用这些规则来识别野外环境中的相似恶意软件。通过将 yarGen 集成到此脚本中，它增强了我们检测和分析恶意软件的能力，为威胁狩猎提供了更全面有效的方法。 -> YARAify 集成：此脚本利用 YARAify 来增强对可疑文件的分析，并通过使用 YaraHub 促进协作式的威胁检测方法。 -> ThreatFox 集成：ThreatFox 是一个免费的威胁情报平台，提供有关危害指标（IOCs）的信息。该脚本从 ThreatFox 获取与分析样本相关的 IOCs，为威胁分析提供额外的上下文。 -> Elasticsearch 传输：Elasticsearch 是一个搜索和分析引擎，而 Kibana 是一个用于直观解释上述分析结果的数据可视化工具。该脚本会将威胁分析数据发送到您的 Elasticsearch IP 和端口，从而更容易使用 Kibana 理解和解释数据。 -> 自动生成报告：该脚本为每个分析的哈希值生成详细的报告，并将其保存为文本文件。这便于轻松审查和归档威胁数据。 -> 平台集成：该脚本支持将生成的报告发送到 Slack 或 Discord。此功能支持与您的团队实时共享威胁情报。 -> 交互和非交互模式：该脚本同时支持交互和非交互模式。在交互模式下，脚本会提示用户进行输入。在非交互模式下，脚本使用配置文件进行输入，使其能够用于自动化工作流中。 -> 内置管理仪表板：该脚本将启动一个轻量级的 Python Django 仪表板，允许进行可视化分析和 ATT&CK 映射。如果您想使用它，请参阅 README-Dashboard.md。 # 动机： 这个脚本诞生的动机在于需要一种更用户友好、高效且自动化的方法来进行威胁分析。通过利用 API 并与流行的通信平台集成，该脚本旨在使威胁分析更加易于访问和协作。与 YARAify、ThreatFox 和 Elasticsearch 的集成进一步增强了其功能，为开源威胁分析提供了一个综合工具。配置文件以及交互/非交互模式增加了灵活性，使脚本能够适应不同的用例和工作流，因此请根据您的需求进行调整。 # 免责声明： 请注意，与此脚本关联的 'samples' 目录包含实时的、已解压的、exe 文件格式的基于 Windows 的恶意软件（这就是为什么它是在运行 Ubuntu 22.10 - x86_64 - bash 5.2.2 的云实例上制作和测试的原因）。这些是用于威胁分析目的的明显有害文件。即使您具备必要的恶意软件分析专业知识，也请极其谨慎地处理这些文件。请务必注意，每次执行此脚本都会清除 samples 目录中的内容。这是一项安全措施，旨在防止有害文件的无意积累和潜在滥用。在运行脚本之前，请始终确保将任何有价值的数据从 samples 目录备份或移出。此脚本专供受过培训的专业人员在受控环境中使用。对于因滥用 samples 目录中的文件或脚本本身而造成的任何损害或损失，本脚本作者不承担任何责任。使用此程序即表示您承认自己正在承担暴露于危险软件的风险。

标签：DAST, Elasticsearch, Python, YARA, 云资产可视化, 威胁情报, 开发者工具, 恶意软件分析, 无后门, 越狱测试, 逆向工具