sylus-squared/skidX
GitHub: sylus-squared/skidX
专门用于恶意 Minecraft 模组的自托管沙箱分析环境,解决了传统沙箱无法运行游戏模组依赖的问题。
Stars: 0 | Forks: 0
# skidX
# 它是什么?
skidX 是一个用于恶意 Minecraft 模组的自托管恶意软件分析环境。虽然有许多用于分析传统恶意软件的在线沙箱,但由于执行模组需要 Minecraft(以及 Forge/Fabric)作为前提条件,它们都无法处理 Minecraft 模组 :(
一些进行静态代码分析的沙箱可以识别某些 Minecraft 远控木马是否具有恶意(对我来说,[hybird analysis](https://www.hybrid-analysis.com/) 一直是最稳定的选择),然而,如果样本被混淆,它们的效果就不太好。 虽然有一些方案可以判断模组是否恶意(参见 [ratterscanner](https://ratterscanner.com)),但仅通过分析代码来提取 C2 地址可能很困难(尤其是当它被混淆时)。Ratterscanner 可以引爆样本,并通过 mitm 代理收集数据,但它只收集网络数据(通常甚至不显示完整的 C2 地址)。 本项目旨在改变这一现状。
skidX 在沙箱 VM 上引爆样本,使用 inetsim 收集网络数据,然后以清晰易读的格式展示这些数据。用户只需上传文件,等待几分钟,然后查看日志即可。在后续版本中,skidX 将收集有关样本如何与系统交互以及样本可能下载的任何额外阶段的数据。
skidX 目前使用修改版的 headlessmc,这是一个很棒的项目,请点击[这里](https://github.com/3arthqu4ke/headlessmc)查看。
# 文档 文档可在 [docs.sylus.dev](https://docs.sylus.dev) 找到
# 路线图 ### 概念验证 仅支持 Forge,因为 Fabric 1.8.9 太糟糕了
最初仅支持 1.8.9 版本,这将在后续版本中改变
#### 整个项目目前正在重写中
### V1 - [ ] 用于识别不同类型信息窃取器的 YARA 规则
- [ ] 将 Web 服务器从 flask 迁移到 waitress 结合 nginx 之类的方案
- [ ] 满分 100 的恶意评分
- [ ] 支持 KVM 和嵌套虚拟化(可能)
- [ ] 更美观的 Web 服务器界面
- [ ] API(基于 JSON)
- [ ] 支持同时运行多个 VM
- [ ] 使用 polar proxy 进行 HTTPS 解密
### V2 - [ ] 集成 Virus Total 用于评论等功能
- [ ] 自动编写 mediafire 报告(仅描述,不实际提交)
- [ ] 请求的地理位置定位
- [ ] 自动查找和下载样本的脚本
- [ ] 支持通过 TOR、VPN 或代理让 VM 访问互联网
*可能还有更多我忘记添加的内容,此列表将会有所变动*
一些进行静态代码分析的沙箱可以识别某些 Minecraft 远控木马是否具有恶意(对我来说,[hybird analysis](https://www.hybrid-analysis.com/) 一直是最稳定的选择),然而,如果样本被混淆,它们的效果就不太好。 虽然有一些方案可以判断模组是否恶意(参见 [ratterscanner](https://ratterscanner.com)),但仅通过分析代码来提取 C2 地址可能很困难(尤其是当它被混淆时)。Ratterscanner 可以引爆样本,并通过 mitm 代理收集数据,但它只收集网络数据(通常甚至不显示完整的 C2 地址)。 本项目旨在改变这一现状。
skidX 在沙箱 VM 上引爆样本,使用 inetsim 收集网络数据,然后以清晰易读的格式展示这些数据。用户只需上传文件,等待几分钟,然后查看日志即可。在后续版本中,skidX 将收集有关样本如何与系统交互以及样本可能下载的任何额外阶段的数据。
skidX 目前使用修改版的 headlessmc,这是一个很棒的项目,请点击[这里](https://github.com/3arthqu4ke/headlessmc)查看。
# 文档 文档可在 [docs.sylus.dev](https://docs.sylus.dev) 找到
# 路线图 ### 概念验证 仅支持 Forge,因为 Fabric 1.8.9 太糟糕了
最初仅支持 1.8.9 版本,这将在后续版本中改变
#### 整个项目目前正在重写中
### V1 - [ ] 用于识别不同类型信息窃取器的 YARA 规则
- [ ] 将 Web 服务器从 flask 迁移到 waitress 结合 nginx 之类的方案
- [ ] 满分 100 的恶意评分
- [ ] 支持 KVM 和嵌套虚拟化(可能)
- [ ] 更美观的 Web 服务器界面
- [ ] API(基于 JSON)
- [ ] 支持同时运行多个 VM
- [ ] 使用 polar proxy 进行 HTTPS 解密
### V2 - [ ] 集成 Virus Total 用于评论等功能
- [ ] 自动编写 mediafire 报告(仅描述,不实际提交)
- [ ] 请求的地理位置定位
- [ ] 自动查找和下载样本的脚本
- [ ] 支持通过 TOR、VPN 或代理让 VM 访问互联网
*可能还有更多我忘记添加的内容,此列表将会有所变动*
标签:C2 提取, DAST, DNS 反向解析, Fabric, Flask, Forge, HTTP工具, INetSim, IP 地址批量处理, RAT, YARA 规则, 云安全监控, 信息窃取, 命令控制, 威胁情报, 开发者工具, 恶意软件分析, 我的世界, 数据采集, 样本引爆, 模组, 沙箱, 混淆检测, 游戏安全, 网络安全, 网络流量捕获, 自托管, 远控木马, 逆向工具, 通知系统, 隐私保护, 静态分析