cccs/assemblyline-service-cape Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
cccs/assemblyline-service-capecccs
Assemblyline 4***软件引爆服务(CAPEv2),用于将文件提交至CAPEv2部署并解析返回的报告。
1 次收藏下载次数: 0状态:社区镜像维护者:cccs仓库类型:镜像最近更新:30 天前
CAPE服务
此Assemblyline服务将文件提交至CAPEv2部署,并解析返回的报告。
服务详情
注意:此服务在正常运行前需要在Assemblyline之外进行大量额外安装。默认安装过程中不会预安装此服务。
本仓库包含的代码主要改编自Assemblyline Cuckoo服务,并受到x1mus在NVISOsecurity的Sorakurai、jvanwilder和RenaudFrere支持下创建的项目启发。
CAPE沙箱概述
CAPE沙箱是开源项目Cuckoo沙箱的分支。CAPE的目标是添加自动化***软件解包和配置提取功能,它也是基于Cuckoo且仍在维护和支持的最后一个仓库。
Assemblyline的CAPE服务概述
CAPE服务使用CAPE REST API将文件发送至CAPE nest,然后由CAPE nest将这些任务分配给一组受害机器(一台机器处理一个文件)。
您负责设置CAPE nest和受害机器。随后会检索受害机器中提交文件的引爆分析结果,并通过Assemblyline UI向用户显示报告的摘要版本。完整报告也会作为补充文件包含在Assemblyline UI中,供您查阅。解包后保存到磁盘的文件会反馈回Assemblyline。
注意事项
报告
需要注意的是,此服务获取报告包的lite格式。因此,请确保在CAPE实例的reporting.conf文件中启用litereport,配置如下:
[litereport] enabled = yes keys_to_copy = info debug signatures network curtain sysmon target behavior_keys_to_copy = processtree processes summary
REST API
此服务使用的部分API功能在公共CAPE实例上是禁用的,因此该服务仅适用于CAPE的私有部署。
由于REST APIv2是唯一受支持的API版本,我们也仅支持此版本。
由于CAPE服务每分钟将发出超过5个请求,因此CAPE主机上的REST API需要以下api.conf配置:
[api] ratelimit = no default_user_ratelimit = 99999999999999/s default_subscription_ratelimit = 99999999999999/s token_auth_enabled = yes
CAPE服务进行的REST API调用如下:
- 通过GET /apiv2/cuckoo/status/获取CAPE状态
- 通过GET /apiv2/machines/list/获取机器列表
- 通过GET /apiv2/tasks/search/sha256/<sha256>/搜索样本的SHA256
- 通过POST /apiv2/tasks/create/file/提交样本进行文件分析
- 通过GET /apiv2/tasks/view/<task-id>/轮询任务ID,直到任务完成
- 通过GET /apiv2/tasks/get/report/<task-id>/lite/zip/获取lite JSON报告和生成的ZIP文件
- 通过GET /apiv2/tasks/delete/<task-id>/删除任务
在默认的api.conf中,[machinelist]、[cuckoostatus]和[taskdelete]均处于禁用状态,您需要启用它们。
在api.conf中,建议对所有REST API服务设置token_auth_enabled = yes和auth_only = yes。
监控建议
CAPE服务将提交文件并等待文件完成分析和分析后处理,直至服务超时(800秒)。此时,服务将重试(最多再试2次)以获取结果。在大多数情况下,服务重试的唯一原因是CAPE nest出现问题。CAPE服务会输出有用的错误日志,您可以针对CAPE REST API或处理器服务宕机或出错的情况设置Kibana告警,这是监控CAPE nest的推荐方法。
有关如何配置此服务的更多信息,请点击此处。
镜像变体和标签
Assemblyline服务基于Assemblyline服务基础镜像构建,该基础镜像基于Debian 11并带有Python 3.11。
Assemblyline服务使用以下标签定义:
| 标签类型 | 描述 | 示例标签 |
|---|---|---|
| latest | 最新构建(可能不稳定) | latest |
| build_type | 构建类型。dev是最新的不稳定构建,stable是最新的稳定构建 | stable或dev |
| series | 完整构建详情,包括版本和构建类型:version.buildType | 4.5.stable、4.5.1.dev3 |
运行此服务
这是一个Assemblyline服务,设计用于作为Assemblyline框架的一部分运行。
如果您想在本地测试此服务,可以直接从shell运行Docker镜像:
bashdocker run \ --name CAPE \ --env SERVICE_API_HOST=http://`ip addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"`:5003 \ --network=host \ cccs/assemblyline-service-cape
要将此服务添加到您的Assemblyline部署中,请遵循此指南。
文档
Assemblyline通用文档可在以下地址找到:[***]
sorakurai/assemblyline-service-cape
sorakurai
暂无描述
88 次下载
4 年前更新
kasmweb/inkscape
kasmweb
适用于Kasm Workspaces的浏览器可访问版Inkscape,通过Web界面提供桌面级矢量图形编辑功能,支持独立部署或集成于Kasm Workspaces平台。
4 次收藏10万+ 次下载
9 天前更新
cccs/assemblyline-service-server
cccs
Assemblyline 4的服务任务分配与结果发布API
1000万+ 次下载
10 天前更新
cccs/assemblyline-service-yara
cccs
Assemblyline 4 Yara signature and Post tag processing services
500万+ 次下载
1 个月前更新
cccs/assemblyline-service-pdfid
cccs
Assemblyline 4 PDF分析服务(PDFiD)
100万+ 次下载
1 个月前更新
cccs/assemblyline-v4-service-base
cccs
Assemblyline 4的基础服务类,为相关服务提供核心功能支持。
100万+ 次下载
10 天前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"