卡顿服务提取器

执行已知归档类型和电子邮件附件的提取。生成“原始”工件以供进一步分类。

作者: CERT.pl

维护者: psrok1, nazywam

消耗

{
    "type":  "sample",
    "stage": "recognized",
    "kind":  "archive"
    "payload": {
        "sample": <Resource>,
        "extraction_level": <int, default: 0>,
        "password": <archive password>,
    }
}

生成

{
    "type": "sample",
    "kind": "raw",
    "payload": {
        "sample": <Resource>,
        "parent": <Resource>,
        "extraction_level": <int++>
    }
}

用法

首先，请确保您已设置好核心系统： https://github.com/CERT-Polska/karton

为了解压所有可用格式，您还需要一些sflock依赖的本地依赖项，sflock推荐的安装方法是

RUN sed -i 's/ main/ main non-free/' /etc/apt/sources.list \
    && apt-get update && apt-get install -y \
    p7zip-full \
    rar \
    unace \
    cabextract \
    lzip

然后从PyPi安装卡顿归档提取器

$ pip install karton-archive-extractor

$ karton-archive-extractor

配置

您可以根据自己的喜好调整几个配置选项。

[archive-extractor]
# Maximum levels of nested extraction
max_depth = 5
# Maximum unpacked child filesize, larger files are not reported
max_size = 26214400
# Maximum number of children files for further analysis
max_children = 1000

要了解更多关于配置您的卡顿服务的信息，请参阅 卡顿配置文档

在Docker中运行

Sflock使用ZipJail作为用户态syscall过滤机制。因此，根据我们的经验，运行卡顿服务的容器必须具有SYS_PTRACE功能，以便ptrace可以正确执行。如果您在提取某些归档类型时遇到问题，请确保它已启用。

支持的归档/压缩格式*

.7z
.ace
.bup
.cab
.daa
.eml
.gz
.gzip
.iso
.lha
.lz
.lzh
.msg
.mso
.pdf
.rar
.tar
.tar.bz2
.tar.gz
.udf
.vhd
.vhdx
.xz
.zip

* 假设您正在运行Linux，请参阅sflock的readme获取更多信息

PE文件去肥

一些恶意PE文件故意添加了垃圾数据，使其变得过大而无法处理。从v1.4.0版本开始，归档提取器支持可选的去肥这些文件，使用Squiblydoo制作的去肥工具。

certpl/karton-archive-extractor Docker镜像默认去肥PE文件。要启用从PyPI安装的卡顿归档提取器的去肥功能，您需要安装额外的额外依赖项

pip install karton-archive-extractor[debloat]