____        _     _       _____     _                 
                 | __ )  ___ | | __| |     |  ___|_ _| | ___ ___  _ __  
                 |  _ \ / _ \| |/ _` |_____| |_ / _` | |/ __/ _ \| '_ \ 
                 | |_) | (_) | | (_| |_____|  _| (_| | | (_| (_) | | | |
                 |____/ \___/|_|\__,_|     |_|  \__,_|_|\___\___/|_| |_|

毕方智能云沙箱

毕方智能云沙箱(Bold-Falcon)是一个开源的自动化恶意软件分析系统。它用于自动运行和分析文件，并收集全面的分析结果，概述恶意软件在独立操作系统中运行时所做的工作。我们的工作是二次开发开源cuckoo沙箱，包括更新项目结构，重写整个前端的用户交互和添加基于机器学习的检测模块， 使恶意软件分析系统可以思考。

说明文档 https://powerlzy.github.io/Bold-Falcon/

开发文档 https://boldfalcon.readthedocs.io

下载源码

$ git clone https://github.com/PowerLZY/Bold-Falcon

开源资料

• cuckoo Cuckoo Sandbox is an automated dynamic malware analysis system
• cuckoo-modified Modified edition of cuckoo
• cuckooDroid CuckooDroid - Automated Android Malware Analysis with Cuckoo Sandbox.
• docker-cuckoo Cuckoo Sandbox Dockerfile
• cuckooautoinstall Auto Installer Script for Cuckoo Sandbox
• cuckooML CuckooML: Machine Learning for Cuckoo Sandbox
• Panda-Sandbox Cuckoo python3 (Unfinished)
• HaboMalHunter HaboMalHunter is a sub-project of Habo Malware Analysis System
• cuckoosegg

源码分析

• cuckoo技术分析全景图
• cuckoo沙箱源码分析上
• cuckoo沙箱源码分析中
• cuckoo沙箱源码分析后
• 腾讯哈勃Linux沙箱源码分析上
• 腾讯哈勃Linux沙箱源码分析下

开源样本

如果你想要获取更多的恶意样本请访问查询：

推荐：

• Blue Hexagon Open Dataset for Malware AnalysiS (BODMAS)
• EMBER - Endgame Malware BEnchmark for Research
• Malware Training Sets: A machine learning dataset for everyone (data)
• SoReL-20M - Sophos-ReversingLabs 20 Million dataset.
• Virusshare

其他：

• Samples of Security Related Dats
• DARPA Intrusion Detection Data Sets
• Stratosphere IPS Data Sets
• Open Data Sets
• Data Capture from National Security Agency
• The ADFA Intrusion Detection Data Sets
• NSL-KDD Data Sets
• Malicious URLs Data Sets
• Multi-Source Cyber-Security Events
• Malware Training Sets: A machine learning dataset for everyone

如果你想要获取更多的良性样本请在如下等网络自行爬取：

• portablefreeware
• onlyfreewares
• snapfiles
• downloadcrew
• chocolatey

项目结构更新

• 整理工程目录打包lib：（common，core），Modules（辅助功能、虚拟机、处理、签名、机器学习模型检测）
• 省略\CWD目录：添加 analyzer、db、examples、Mal_sample、sample_data、storage、log等目录

最近更新

• 学习内容

  • 预训练TF-IDF模型加载优化 100s -> 2s
  • Linux沙箱及检测方案
  • ATT&CK Navigator layer for Cuckoo's TTPs.pyattack
  • 添加 《Dynamic Malware Analysis with Feature Engineering and Feature Learning》 动态分析检测模型
  • 添加 MaliciousMacroBot（mmbot）office宏病毒检测方案

• 设计文档

  • 参考文献记录（设计依据）
  • 国内沙箱深度调研
  • 图标+起名

• 家族签名模块

  • cuckoo 社区签名库
  • cuckoo的行为签名
  • 添加挖矿+使用自定义签名

• 机器学习模块

  • 数据集：kaggle microsoft 10000个软件、挖矿软件 6000个；
  • 报告显示内容：模型检测图展示、使用特征展示、预测威胁得分；
  • 静态检测引擎：string、malconv；
  • 动态检测引擎：API调用序列；
  • 定义基类Dectection、Instance等；
  • 添加Smaple——malware，200个json report样本；
  • 添加 《Dynamic Malware Analysis with Feature Engineering and Feature Learning》 动态分析检测模型

• 后期需求

  • 环境打包，Docker\shells安装
  • blog解析文档编写
  • 虚拟机管理：libvirt+高并发虚拟机
  • 沙箱内存管理：MemScrimper: Time- and Space-Efficient Storage of Malware Sandbox Memory Dumps （2018 DIVMA）
  • 3.3.5 REST API(Cuckoo docs) wsgi应用程序

常见问题

• Machine * status gurumeditation
  • 找到虚拟机安装目录下VBox.log日志文件
  • 在日志文件中找到ProcessID, kill - 9 ProcessID
• python 2/3 joblib.dump() 和 joblib.load()
  • 不同python版本的pickle.dump()和pickle.load()是可以相互转换和支持的
  • 在python3中，您应该使用较低的协议号来编写pickle数据 pickle.dump(your_object, your_file, protocol=2)
• Pytorch Cpu 导入 Gpu 训练的模型
  • model.load(model_path, map_location='cpu')
• Sphinx-readthedocs 开发文档自动生成
  • sphinx-quickstart
  • sphinx-apidoc -o ./source ../Bold-Falcon
  • python -m sphinx -T -E -b html -d _build/doctrees -D language=en . _build/html