arindam0singh/MALSIS-CVE
GitHub: arindam0singh/MALSIS-CVE
一个将 Cuckoo 沙箱恶意软件行为自动映射到 MITRE ATT&CK 技术及相关 CVE 并生成 HTML 报告的 Python 分析流水线。
Stars: 12 | Forks: 2
# MALSIS-CVE
MALSIS-CVE 是一个 Python 流水线,用于将沙箱恶意软件行为关联到 MITRE ATT&CK 技术及可能的 CVE,随后生成 HTML 报告。
## 功能简介
给定一个恶意软件样本,该脚本会:
1. 将文件提交到 Cuckoo Sandbox API
2. 等待分析完成
3. 下载 Cuckoo JSON 报告
4. 提取并清理行为指标
5. 将指标映射到 MITRE ATT&CK 技术
6. 使用 TF-IDF 相似度将指标/技术映射到最相关的 CVE
7. 生成 `final_report.html`
## 仓库内容
```
MALSIS-CVE-main/
MALSIS-CVE.py # Main CLI pipeline
README.md # Project documentation
```
## 环境要求
- Python 3.8+
- 一个可通过 API 访问且正在运行的 Cuckoo Sandbox 实例
- 本地 MITRE ATT&CK 企业数据集文件:`enterprise-attack.json`
- 本地 CVE 数据集文件(默认预期名称为:`nvd_cves.json`)
Python 包:
- `requests`
- `scikit-learn`
- `jinja2`
## 安装依赖
```
pip install requests scikit-learn jinja2
```
## 输入数据文件
将这些文件放置在项目目录中(或在支持的情况下传递自定义路径):
- `enterprise-attack.json`(MITRE ATT&CK 企业数据集)
- `nvd_cves.json`(用于相似度映射的 CVE 记录列表)
预期的 CVE 条目结构包含:
- `id`
- `description`
## 配置
环境变量:
- `CUCKOO_API`(默认值:`http://localhost:8090`)
- `CUCKOO_TOKEN`(代码中的默认值是一个占位符;请设置您自己的 token)
示例:
```
export CUCKOO_API="http://127.0.0.1:8090"
export CUCKOO_TOKEN="your-real-token"
```
在 Windows PowerShell 中:
```
$env:CUCKOO_API="http://127.0.0.1:8090"
$env:CUCKOO_TOKEN="your-real-token"
```
## 使用方法
基本用法:
```
python MALSIS-CVE.py --file /path/to/sample.exe
```
使用自定义 CVE 数据库并指定返回的前 N 个结果:
```
python MALSIS-CVE.py --file /path/to/sample.exe --cves /path/to/nvd_cves.json --top 20
```
### CLI 选项
- `--file`(必填):恶意软件样本路径
- `--cves`(可选):CVE JSON 路径(默认值:`nvd_cves.json`)
- `--top`(可选):报告中显示的 CVE 数量(默认值:`10`)
## 输出
生成的文件:
- `report.json` - 下载的原始 Cuckoo 分析报告
- `final_report.html` - 渲染后的报告,包含:
- 已映射的指标和 MITRE ATT&CK 技术
- 带有估算分数/风险标签的前 N 个 CVE
## 注意事项与局限性
- 该脚本严重依赖于 Cuckoo 报告的质量和可用的指标。
- MITRE 映射使用与技术名称的模糊字符串相似度;结果为启发式得出。
- CVE 排名使用 TF-IDF 相似度加上简单的基于关键词的风险估算,而非官方的 CVSS 评分。
- 脚本会尝试通过 `firefox` 打开报告;如果您的环境使用不同的浏览器,请修改最后一行代码。
## 安全与防护
仅在隔离的实验环境中运行恶意软件分析。切勿在生产端点或不受管理的系统上执行样本。
## 法律免责声明
仅对您被授权分析的系统和样本使用。您需对遵守所有当地法律和政策负责。
标签:Apex, API集成, Beacon Object File, Cloudflare, Cuckoo, CVE映射, DAST, GPT, HTML报告生成, Jinja2, MITRE ATT&CK, NLP, NVD, Python, TF-IDF, 可观测性, 威胁情报, 开发者工具, 恶意软件分析, 插件系统, 搜索语句(dork), 数据包嗅探, 文本相似度, 无后门, 无线安全, 机器学习, 沙箱, 流量嗅探, 漏洞关联, 漏洞管理, 网络安全, 网络安全审计, 自动化分析, 跨站脚本, 逆向工具, 隐私保护