Services d'Assemblyline¶
Les Services installé sur un système peuvent être trouvé sous: Help > Service Listing.
Cette liste contient tous les services inclus et maintenue avec Assemblyline:
| Service Name | Speciality | Description |
|---|---|---|
| APIVector | Windows binaries | Extrait les imports de fichiers PE files ou mémoire pour générer un vecteur de classification. |
| APKaye | Android APK | Les APK sont décompilés et inspectés. Les indicateurs de réseau et les informations trouvées dans le fichier manifeste APK sont affichés |
| AntiVirus | Anti-virus | Client ICAP générique utilisant plusieurs solution d'Anti-virus commerciales |
| Batchdeobfuscator | Deobfuscation | Résolution de variables locales et globales d'un fichier batch |
| CAPA | Windows binaries | Intégration de l'outil public CAPA |
| Characterize | Analyze d'entropy | Calcule l'entropy des fichiers et extrait les meta-donnée Exif. |
| ConfigExtractor | Extraction | Extrait la configuration de malware connu, pour trouvé des liste de C2s, cle d'encryption etc. |
| CAPE | Sandbox | Fournit une analyse dynamique des logiciels malveillants via le sandboxing. |
| DeobfuScripter | Deobfuscation | Déobfuscation de script statique. |
| ELF | Linux binaries | Analyze de fichier ELF (sections, segments, ...) avec Python library LIEF |
| ELFPARSER | Linux binaries | Intégration de l'outil public ELFParser |
| EmlParser | Analyze de fichier email avec GOVCERT-LU eml_parser library comme les attachements, URL etc | |
| Espresso | Java | Extrait les classes Java, décompile et analyze pour comportement malicieux |
| Extract | Compressed file | Extrait la plus part des type de compression (like ZIP, RAR, 7z, ...) |
| Floss | IoC extraction | Extrait des chaîne de charracters obfusqué avec FireEye Labs Obfuscated String Solver |
| FrankenStrings | IoC extraction | Ce service effectue des extractions de fichiers et d'IOC à l'aide de la correspondance de modèles, d'un décodeur d'encodage simple et de désobfuscateurs de script |
| Intezer | File genome identification | Interface entre Intezer Analyze API 2.0, soumet le fichier pour analyse si le hachage n'est pas présent dans la base de données Intezer |
| IPArse | Apple IOS | Analyze de fichier Apple IOS |
| JsJaws | Javascript | Analyze de fichier Javascript |
| MetaPeek | Meta data analysis | Détect les signe malicieux dans les meta-données et les noms de fichier (double extension etc) |
| Oletools | Office documents | Ce service analyze les fichiers Office et extrait des indicateurs de compromis avec Python library py-oletools by Philippe Lagadec |
| Overpower | PowerShell | Déobfusque les fichier powershell |
| PDFId | Analyze de fichier PDF avec Didier Stevens PDFId & PDFParse | |
| PE | Windows binaries | Analyze de fichier Windows (imports, exports, sections, ...) avec LIEF |
| PeePDF | Ce service utilise Python PeePDF library pour extraire de l'information de fichier PDF | |
| PixAxe | Images | Extrait du text des images |
| Safelist | Safelisting | Permet de "safelister" des indicateur dans le système comme des domaines, hash etc NSRL |
| Sigma | Eventlog signatures | Analyze de "Windows Event logs" avec les règles Sigma |
| Suricata | Network signatures | Analyze les captures réseaux (pcap) avec Suricata |
| Swiffer | Adobe Shockwave | Analyze de fichier Shockwave (.swf) |
| TagCheck | Tag signatures | Signatures YARA sur les tags d'Assemblyline Tags |
| TorrentSlicer | Torrent files | Analyze de fichier torrent |
| Unpacker | UPX Unpacker | Extrait des executable a partir de fichier "packer" avec UPX |
| Unpac.me | Unpacker | Intégration avec unpac.me |
| URLCreator | Création de fichiers d'URL | Crée des fichiers URI à partir des tags URI apparemment malveillantes |
| URLDownloader | URL Fetching | Récupère les URL des fichiers URI |
| ViperMonkey | Office documents | ViperMonkey est un programme d'emulation pour VBA par https://linktr.ee/decalage |
| VirusTotal | Anti-virus | Ce service vérifie (et soumet éventuellement) les fichiers/URL à VirusTotal pour analyse. |
| XLMMacroDeobfuscator | Office documents | Analyse de Macro Excel 4.0 |
| YARA | File signatures | Signatures de fichier |
En fin de vie, ne sont plus activement pris en charge:
| Service Name | Speciality | Description |
|---|---|---|
| Cuckoo | Sandbox | Intégration avec la platform d'analyze dynamic Cuckoo |
| MetaDefender | Anti-virus | Integration avec MetaDefender (multi-engine anti-virus) |
| PEFile | Windows binaries | Analyze de fichier Windows (imports, exports, section names, ...) avec Python library pefile |
| VirusTotalDynamic | Anti-virus | Vérifie et envoie activement les fichiers à VirusTotal pour analyse. |
| VirusTotalStatic | Anti-virus | Vérifie VirusTotal pour une analyse existante sur le fichier soumis. |