BlackSnufkin/LitterBox

A self-hosted sandbox for red teams to test payloads against modern detection before deployment. MCP integration lets an LLM agent drive analysis end to end.

aidocker-composemalware-analysismalware-developmentmcpmcp-serveroffensive-securityredteamsandbox

GAI 中文摘要

LitterBox 是一个专为红队设计的自托管载荷分析沙箱，旨在帮助开发人员在部署前评估恶意代码的隐蔽性。通过对样本进行多维度的检测分析，它能有效识别载荷是否会被现代防御系统拦截，从而降低实战中的暴露风险。

支持对上传的载荷执行静态、动态及 EDR 专项分析，并生成直观的检测评分与触发指标报告。通过集成 EDR 环境的 Windows 虚拟机，可实时捕获并关联真实防御系统的告警数据。深度整合 MCP 协议，允许 LLM 智能体自动化驱动整个分析流程，大幅提升分析效率。提供高度灵活的规则管理机制，支持自定义 YARA 规则与扩展扫描器以适应不同检测需求。内置命令行工具与 Python 库，便于开发者将沙箱功能集成至既有的开发工作流中。

本项目主要适用于进行红队渗透测试的开发人员，用于在实战前优化载荷的规避能力，同时也适合防守方安全分析师在恶意软件研究与流量检测工作中辅助分析。

⭐

1.4k

Stars

🔱

161

Forks

👁

Watchers

📋

Issues

YARAGPL-3.0创建于 2024/12/25更新于 3 天前

在 GitHub 上查看

README

由 Gemini 翻译整理

LitterBox

LitterBox 是一个供红队使用的自托管 Payload 分析沙箱。你可以上传样本，执行静态/动态/EDR 分析，获取检测分数（Detection Score）及触发指标的详细分析报告，从而在 Payload 投入实战前评估其是否已经准备就绪。

LitterBox 还可以将 Payload 分发至独立的、已配置 EDR（Elastic Defend 或 Fibratus）的 Windows 虚拟机中，并将关联的检测告警反馈到结果页面。

虽然 LitterBox 主要为红队设计，但蓝队在处理恶意软件分析工作流时同样可以使用这些工具。

文档

操作员和开发人员文档位于 LitterBox Wiki 中。

主题	Wiki 页面
系统架构概览	Application Architecture
并行运行静态分析及所有可触达的 EDR	All in One Pipeline
将 Payload 分发至真实的 EDR 虚拟机	EDR Integration → Elastic Defend / Fibratus
Whiskers Agent（安装、端点、构建）	Whiskers Agent
所有 HTTP 端点	HTTP API Reference
CLI / Python 库 / LLM 的 MCP	GrumpyCats CLI · GrumpyCats Library · LitterBoxMCP
检测分数的评分依据	Detection Score Explained
配置扫描器 / 路径 / 超时时间	Configuration Reference
添加自定义 YARA 规则 / 扫描器	YARA Rules Management · New Scanner

安装

Windows

git clone https://github.com/BlackSnufkin/LitterBox.git
cd LitterBox
python -m venv venv
.\venv\Scripts\Activate.ps1
pip install -r requirements.txt
python litterbox.py            # 添加 --debug 参数以显示详细日志

在浏览器打开 http://127.0.0.1:1337。需要 Python 3.11+ 以及管理员权限的 Shell。

Linux (Docker)

git clone https://github.com/BlackSnufkin/LitterBox.git
cd LitterBox/Docker
chmod +x setup.sh
./setup.sh

该安装脚本会预配一个带有 KVM 的 Windows 10 容器，并在其中运行 LitterBox。初次构建大约需要 1 小时。

安装监控: http://localhost:8006
RDP: localhost:3389 (凭据请查看 docker compose 文件)
LitterBox UI: 安装完成后访问 http://127.0.0.1:1337

EDR 设置 (可选)

将一个或多个 YAML 配置文件放入 Config/edr_profiles/ 目录，上传页面会在启动时自动加载。完整操作流程请查阅 Wiki：Whiskers Agent → Elastic Defend Setup 或 Fibratus Setup。

扫描器

内置二进制文件位于 Scanners/ 目录下。此处追踪了版本和最后更新日期，以便操作员一眼确认扫描器是否为最新版本。

扫描器	版本	最后更新	来源
PE-Sieve	0.4.1.2 (`f1dc39d`)	2026-05-02	hasherezade/pe-sieve
Hollows-Hunter	0.4.1.2 (`e271f7e`)	2026-04-18	hasherezade/hollows_hunter
Moneta	`5b65395`	2024-03-16	forrest-orr/moneta
Patriot	—	2024-12-29	joe-desimone/patriot
Hunt-Sleeping-Beacons	`84dd3a9`	2026-01-25	thefLink/Hunt-Sleeping-Beacons
RedEdr	`3bd6b97` (仅 EXE 构建)	2026-05-03	dobin/RedEdr
YARA (引擎 `yara64.exe`)	—	2024-12-29	VirusTotal/yara
Elastic YARA 规则 (`Scanners/Yara/rules/elastic-yara/`)	`d131ea8`	2026-04-30	elastic/protections-artifacts
YARA-Forge Extended (`Scanners/Yara/rules/YARAForge/`)	0.9.1 (发布版 `20260503`)	2026-05-03	YARAHQ/yara-forge
CheckPlz	—	2024	-