B
BlackSnufkin/LitterBox
A secure sandbox environment for malware developers and red teamers to test payloads against detection mechanisms before deployment. Integrates with LLM agents via MCP for enhanced analysis capabilities.
aidocker-composemalware-analysismalware-developmentmcpmcp-serveroffensive-securityredteamsandbox
YARAGPL-3.0创建于 2024/12/25更新于 今天
README
由 Gemini 翻译整理
LitterBox
目录
概述
LitterBox 为安全专业人员提供了一个受控的沙箱环境,用于开发和测试 Payload。该平台支持红队执行以下操作:
- 测试针对现代检测技术的规避手段
- 在部署到现场前验证检测特征码
- 在隔离环境中分析恶意软件行为
- 将 Payload 保留在本地,避免暴露给外部安全厂商
- 在不触发生产环境安全控制的情况下,确保 Payload 功能的有效性
该平台通过 LitterBoxMCP 服务器集成了由 LLM 辅助的分析能力,利用自然语言处理技术提供深度分析见解。
注意:尽管 LitterBox 主要为红队设计,但通过转换视角,蓝队同样可以利用这些工具进行恶意软件分析工作流。
文档
LitterBox Wiki - 高级配置与技术指南
主要章节:
- 扫描器配置 - HolyGrail、Blender 和 FuzzyHash 设置
- YARA 规则管理 - 自定义规则与管理
- 配置参考 - 完整的 config.yml 选项说明
- 架构与开发 - 系统设计与自定义扫描器
分析能力
初始处理
| 特性 | 描述 |
|---|---|
| 文件识别 | 多种哈希算法(MD5, SHA256) |
| 熵值分析 | 检测加密和混淆 |
| 类型分类 | 高级 MIME 和文件类型分析 |
| 元数据保留 | 原始文件名和时间戳追踪 |
| 运行时检测 | 已编译二进制文件的识别 |
可执行文件分析
针对 Windows PE 文件 (.exe, .dll, .sys):
- 架构识别 (PE32/PE32+)
- 编译时间戳校验
- 子系统分类
- 入口点分析
- 区段枚举与特征描述
- 导入/导出表映射
- 针对 Go 和 Rust 二进制文件的运行时检测,包含专门的导入分析
文档分析
针对 Microsoft Office 文件:
- 宏检测与提取
- VBA 代码安全性分析
- 隐藏内容识别
- 混淆技术检测
LNK 分析
针对 Windows 快捷方式文件 (.lnk):
- 目标执行路径与参数
- 机器追踪标识符
- 时间戳与文件属性
- 网络共享信息
- 卷与驱动器详细信息
- 环境变量与元数据
分析引擎
静态分析
- 工业标准特征码检测
- 二进制熵值分析
- 字符串提取与分类
- 已知指标(Indicators)的模式匹配
动态分析
支持两种运行模式:
- 文件分析:专注于已提交的样本
- 进程分析:针对指定 PID 的运行进程
功能包括:
- 运行时行为监控
- 内存区域检查与分类
- 进程镂空(Process Hollowing)检测
- 代码注入技术识别
- 睡眠模式分析
- 通过 ETW 进行 Windows 遥测数据采集
HolyGrail BYOVD 分析
寻找未被检测到的合法驱动程序用于 BYOVD(自带漏洞驱动)攻击:
- LOLDrivers 数据库:对比已知易受攻击的驱动程序
- Windows 拦截策略:根据微软建议的 Windows 10/11 驱动拦截规则进行验证
- 危险导入分析:检测 BYOVD 攻击中常见的特权函数调用
- BYOVD 评分计算:基于漏洞利用潜力和防御控制措施进行风险评估
Doppelganger 分析
(此处原文内容未完整,建议根据实际项目需求补充)