LitterBox：专为红队恶意软件开发而设计的自动化分析沙箱

在真实的黑客攻击活动当中，专业的安全分析人员需要给客户提供样本的更详细分析报告，里面包含：样本的攻击技术、免杀技术、感染加载传播技术、漏洞利用详情、样本家族及黑客组织关联信息等，同时还需要提供样本的清除、检测、防御解决方案等，这就需要专业的安全分析人员进行详细分析了。

沙箱不是什么高深莫测的东西，更不是什么新鲜的玩意，都十几年前的东西了，记得笔者十几年前在某杀毒安全公司工作的时候，就已经有专门的团队在研发沙箱，然而几年之后就没有专业的人去维护了，逐渐也就消失了，国外很多专业的安全公司都有自己的沙箱，这些沙箱有些可能已经持续运营了十几年了。

其中比较有名的沙箱JOE、Intezer、Hybrid-Analysis等，还有最近几年发展速度非常快的Any.Run沙箱，国内一些安全公司也都在研发自己的自动化沙箱，虽然任何安全公司和安全分析团队都可以搭建自己的分析沙箱，然而目前国内能做好沙箱的公司和团队并不多，主要的原因就是因为没有专业的安全分析人员去分析改进，也没有真正懂安全的人去持续运营，搭建一个沙箱很容易，然而能持续运营好又是一回事了，就跟现在安全行业出现的各种各样的概念、平台和框架一样，这些新概念说起来很容易，平台和框架要搭起来也很容易了，难的是怎么样持续赋能给这些平台和框架，并让这些平台和框架能帮助客户解决实际问题，很多团队做不成其中一个主要的原因就是对安全的认知和理解不够深，又不愿去花时间去深入学习和研究，没有透过表层现象去研究事物的本质，仅仅停留在很表层的东西上面，没有去深入理解安全的核心到底是什么。

今天笔者给大家分享一款专为红队恶意软件开发而设计的自动化分析沙箱，该沙箱主要用于给红队开发恶意软件进行测试使用，是一款非常不错的开源沙箱，还集成了很多工具，也可以用于恶意软件分析人员，提升一些分析效率。

使用多种哈希算法(MD5、SHA256)进行文件识别

用于加密检测的香农熵计算

高级文件类型检测和MIME分析

保留原始文件名

上传时间戳追踪

PE文件分析

对于 Windows 可执行文件 (.exe、.dll、.sys)：

· PE 文件类型检测（PE32/PE32+）

· 机器架构识别

· 编译时间戳分析

· 子系统分类

· 入口点检测

· 区块枚举和分析

· 导入DLL依赖关系映射

办公文件分析

对于 Microsoft Office 文件 (.docx、.xlsx、.doc、.xls、.xlsm、.docm)：

· 宏检测与提取

· VBA代码分析

· 隐藏内容识别

分析能力

静态分析引擎

· 使用行业标准规则集进行基于签名的检测

· 二元熵分析

· 字符串提取与分析

· 可疑指标的模式匹配

动态分析引擎

有两种模式可供选择：

· 文件分析模式

· 进程ID（PID）分析模式

其特点包括：

· 行为监控

· 内存区域检查

· 进程镂空检测

· 注入技术分析

· 睡眠模式监测

· 通过ETW收集Windows遥测数据

· PE完整性验证

集成工具

静态分析套件

· YARA - 模式匹配和签名检测

· CheckPlz - AV 检测测试

动态分析套件

· YARA（内存扫描）——运行时模式检测

· PE-Sieve - 检测和转储内存中的恶意软件植入和高级进程注入技术

· Moneta - 用于检测恶意软件 IOC 的用户模式内存分析工具

· Patriot - 检测各种内存隐身技术

· RedEdr - 通过 ETW 提供程序收集 Windows 遥测数据

· Hunt-Sleeping-Beacons - 信标行为分析

Web 端点参考

文件管理

POST   /upload                    # Upload files for analysis

GET    /files                     # Get list of processed files

分析操作

GET    /analyze/static/    # Static file analysis

POST   /analyze/dynamic/   # Dynamic file analysis

POST   /analyze/dynamic/    # Process analysis

API 结果 (JSON)

GET    /api/results//info   # Get Json file info

GET    /api/results//static # Get Json results for file static analysis

GET    /api/results//dynamic # Get Json results for file dynamic analysis

GET    /api/results//dynamic # Get Json results for pid analysis

网络结果

GET    /results//info      # Get file info

GET    /results//static    # Get results for file static analysis

GET    /results//dynamic   # Get results for file dynamic analysis

GET    /results//dynamic    # Get results for pid analysis

系统管理

GET  /health                 # System health and tool status check

POST /cleanup                # Clean analysis artifacts and uploads

POST /validate/        # Validate process accessibility

DELETE /file/         # Delete single analysis

安装

克隆存储库：

git clone https://github.com/BlackSnufkin/LitterBox.git

cd LitterBox

安装所需的依赖项：

pip install -r requirements.txt

然后在浏览器中访问

http://127.0.0.1:1337