הכלי Odysseus הוא סביבת עבודה self-hosted שנועדה לספק חוויה דומה ל-ChatGPT ו-Claude, אבל על החומרה שלך. הגישה היא local-first ו-privacy-first, כלומר הנתונים לא עוזבים את המכונה שלך. הפרויקט מכסה מגוון רחב של פונקציות בממשק אחד, מה שהופך אותו לפתרון מרכזי למי שרוצה לעבוד עם מודלי AI מבלי להסתמך על שירותי ענן.

יכולות הכלי

מודול הצ'אט תומך במגוון backends: vLLM, llama.cpp, Ollama, OpenRouter, OpenAI ו-GitHub Copilot. הוספת ספקים חדשים נעשית דרך ממשק ההגדרות. מודול הסוכן האוטונומי בנוי על opencode עם תמיכה ב-MCP, גישה לרשת, קבצים, shell, כישורים וזיכרון מתמיד, ומסוגל להריץ משימות מרובות שלבים באופן עצמאי.

מודול ה-Cookbook סורק את החומרה וממליץ על מודלים מותאמים ל-VRAM הזמין, עם תמיכה בפורמטים GGUF, FP8 ו-AWQ ומערכת fit scoring. הוא בנוי על llmfit ומסוגל להגיש מודלים ישירות דרך vLLM או llama.cpp. מודול המחקר המעמיק אוסף ומסנתז מקורות לדו"ח מובנה, מבוסס על Tongyi DeepResearch של Alibaba.

יכולת ההשוואה מאפשרת בחינה עיוורת של מודלים במקביל ללא bias. עורך המסמכים שם את המשתמש במרכז, עם סיוע AI כעזר בלבד. תמיכה ב-markdown, HTML, CSV עם הדגשת תחביר. הזיכרון המתמיד מבוסס על ChromaDB עם fastembed (ONNX) לשליטה וקטורית ומילולית. ניהול האימייל כולל תיבת IMAP/SMTP עם מיון אוטומטי, תזכורות דחיפות, סימון ספאם וטיוטות תגובה. לוח השנה מסנכרן דרך CalDAV עם Radicale, Nextcloud, Apple ו-Fastmail.

מקרי שימוש

צוותי אבטחה שצריכים להריץ משימות AI מקומית בלי חשיפת נתונים לענן. סביבות עם דרישות פרטיות מחמירות. חוקרים שרוצים להשוות ביצועי מודלים בצורה עיוורת. כל מי שרוצה לרכז צ'אט, מחקר, אימייל וניהול משימות בפריסה אחת על חומרה מקומית.

מגבלות

הפרויקט בגרסה 1.0 ומתואר על ידי המפתחים כבעל jank, כלומר לא מלוטש לגמרי. טרם נבדק על ידי מקור עצמאי. היקף הפיצ'רים שאפתני לפרויקט בגרסה ראשונית, מה שעלול להשפיע על איכות האינטגרציה בין המודולים השונים.

מקור: https://github.com/pewdiepie-archdaemon/odysseus

שרת REMnux MCP הוא רכיב תשתית שמחבר סוכני AI ליותר מ-200 כלי ניתוח תוכנות זדוניות על גבי הפצת REMnux. הערך המרכזי שלו אינו רק גישה לכלים, אלא הידע המקצועי המובנה. מודלי AI גנריים יודעים לתכנן חקירה ולפרש פלט, אבל חסרים להם שני דברים קריטיים: ידע מקצועי (אילו כלים רלוונטיים לכל סוג קובץ, אילו דגלים חשובים, איך לקרוא פלט) וגישה פיזית לכלי הניתוח. השרת מספק את שניהם. בלי הידע הזה, סוכני AI נוטים לפרש אינדיקטורים דו-משמעיים כזדוניים.

יכולות הכלי

השרת ממפה תהליכי עבודה מקצועיים מקצה לקצה. הוא יודע אילו כלים מתאימים לכל סוג קובץ, אילו דגלי שורת פקודה להשתמש בכל מצב, ואיך לפרש פלט מובנה מתוך כל כלי. נקודה משמעותית היא הטיפול בהטיית אישוש. כש-capa מזהה GetProcAddress כיכולת, השרת מזכיר ל-AI שה-API הזה מופיע ברוב תוכנות Windows ולא רק בתוכנות זדוניות. ההקשר הניטרלי דוחף את סוכן ה-AI לשקול הסברים שפירים לפני הסקת מסקנות על כוונה זדונית. בנוסף, השרת יכול לייצר טיוטת דוח ניתוח מובנה עם תבנית והנחיות כתיבה. סוכן ה-AI יכול לכתוב קוד מותאם כשכלים סטנדרטיים לא מספיקים, כמו סקריפט Python לשחזור PE משברי קבצים. כשגישה ראשונית נכשלת, הוא עובר לחלופות.

מקרי שימוש

הכלי הודגם על ארבעה תרחישי ניתוח: Cobalt Strike beacon, steganographic loader, IoT botnet binary, ו-stealer מוסווה. הליכי עבודה מפורטים כוללים ניתוח info-stealer מבוסס AutoIt עם אובפוסקציה כבדה. התהליך כלל פריקת IExpress, דה-אובפוסקציה של סקריפט batch עם יותר מ-50 החלפות משתנים, שחזור PE וזיהוי יכולות info-stealer. הניתוח דרש יותר מ-30 קריאות כלים ונמשך בערך 8 דקות. מקרה שני הוא ניתוח מתקין Chrome מזויף, שכלל הנדסה הפוכה של פורמט ארכיון קנייני, זיהוי ערוץ C2 דרך Cloudflare tunnel, וניתוח VBScript orchestrator. 27 קריאות כלים, בערך 10 דקות.

מגבלות

המחבר מדגיש שמסקנות AI הן השערות לאימות, לא אמת מוחלטת. סוכן AI יכול להיות מותקף בהזרקת prompt ולהריץ פקודות לא מתוכננות, אבל הקונטיינר החד-פעמי של REMnux מגביל את הנזק. הכלי מרחיב את ארגז הכלים של האנליסט אבל לא מחליף את שיקול הדעת שלו. טרם נבדק על ידי מקור עצמאי. הגרסה האחרונה של REMnux מגיעה עם השרת מותקן מראש לצד OpenCode ו-GhidrAssistMCP.

מקור: https://zeltser.com/ai-malware-analysis-remnux

מיקרוסופט שחררה פיצול קוד פתוח של Windows Terminal בשם Intelligent Terminal. הכלי משלב סוכני AI ישירות בתוך הטרמינל, ומאפשר הסבר שגיאות, ניסוח פקודות ותיקון בעיות מבלי לעזוב את הטרמינל. הסוכן מודע למתרחש בטרמינל ומגיב כשפקודה נכשלת. בנוסף, הוא זוכר סשנים פעילים וקודמים כדי שאפשר לחזור לעבודה קודמת בלי לאבד מקום.

יכולות הכלי

בהפעלה הראשונה, המשתמש בוחר את סוכן ה-AI לחלונית הטרמינל. הרשימה כוללת את GitHub Copilot (מסומן כ-"will be installed"), Claude, Codex ו-Gemini. שירותים שכבר מותקנים מופיעים ישר, ו-Copilot מותקן אוטומטית בבחירה.

יש שני טוגלים נפרדים לשליטה על התנהגות ה-AI: זיהוי שגיאות אוטומטי, שמזהה פקודות שנכשלו, והצעת תיקון אוטומטית, ששולחת את השגיאה לסוכן ה-AI הנבחר לצורך הצעת פתרון. ההפרדה בין השניים מאפשרת שליטה על מה נשלח לשירותי AI חיצוניים.

חלונית ה-AI נפתחת מתחת ל-shell הרגיל. בצד שמאל יש אייקונים להצגה או הסתרה של חלונית הסוכן ולכיבוי או הדלקה של זיהוי שגיאות. בצד ימין יש אייקון ניהול סוכנים שפותח את לוח ניהול הסשנים ואת שורת המצב. כשמשתמשים ב-Claude Code כסוכן, הוא יכול לתכנן משימות קוד ולהציע אפשרויות: אישור אוטומטי של עריכות, אישור ידני, או המשך תכנון.

ניהול סשנים עוקב אחרי סשנים פעילים וקודמים של הסוכן. בטרמינל הרגיל, ה-Resume המובנה של קלוד לפי הכתבה פוגע בביצועי המודל. הטרמינל הרגיל יודע לפתוח טאבים סגורים אבל לא משחזר סשנים. Intelligent Terminal פותר את זה.

מקרי שימוש

מפתחים שעובדים עם סוכני AI וצריכים רצף סשנים ימצאו את ניהול הסשנים שימושי. צוותים שרוצים טיפול בשגיאות בתוך הטרמינל בלי לעבור לכלי אחר ירוויחו מהחלונית המובנה. סביבות עבודה עם נתונים רגישים צריכות לשקול היטב את שליחת הפלט לשירותי AI חיצוניים ולוודא שהטוגלים מוגדרים נכון.

מגבלות

הצעת תיקון אוטומטית שולחת פלט טרמינל לשירותי AI חיצוניים, מה שדורש הערכה בסביבות רגישות. היסטוריית סשנים נשמרת, עם השלכות על טיפול בנתונים. הכלי מופץ כאפליקציה נפרדת ולא חלק מהתקנת Windows. טרם נבדק על ידי מקור עצמאי מבחינת יציבות וביצועים.

מקור: https://www-bleepingcomputer-com.cdn.ampproject.org/c/s/www.bleepingcomputer.com/news/microsoft/hands-on-with-intelligent-terminal-an-ai-powered-windows-terminal/amp/

הכלי Pcap2Timeline מציע פתרון פשוט לבעיה יומיומית של אנליסטים בתחום הפורנזיקה: הפיכת קבצי PCAP גדולים למידע שאפשר לעבוד איתו בצורה יעילה. הסקריפט pcap2csv.sh עוטף את המנוע Suricata וממיר את פלט eve.json שלו לקבצי CSV מופרדים לפי סוג אירוע, בנוסף לקובץ טיימליין כרונולוגי מאוחד. מדובר בגישה ממוקדת שלא מנסה להחליף ניתוח מעמיק, אלא לספק אוריינטציה מהירה בתוך קבצי כתובת רשת חדשים.

יכולות הכלי

הכלי מחלץ מגוון סוגי אירועים מקבצי הכתובת רשת: התראות Suricata, שאילתות ותגובות DNS, מטא-דאטה של בקשות ותגובות HTTP, מידע על TLS ו-SNI ותעודות, פקודות והעברות FTP, סטטיסטיקות חיבורים, וגם אירועי SMB, SSH ו-RDP. כל סוג אירוע מקבל קובץ CSV נפרד משלו. בנוסף, נוצר קובץ טיימליין ממוין כרונולוגית המשלב את כל סוגי האירועים לתמונה אחת מאוחדת. ניתן להשתמש בחוקי Suricata מותאמים אישית באמצעות פלאג -R, מה שמאפשר זיהוי ממוקד של איומים ספציפיים כבר בשלב הטריאז'. הסקריפט כתוב ב-POSIX sh ללא bashisms, מה שמבטיח ניידות גבוהה על פני סביבות יוניקס שונות. התלויות מינימליות: suricata ו-jq בלבד, בנוסף לכלי עזר סטנדרטיים של POSIX.

מקרי שימוש

זרימת העבודה המומלצת היא הרצת הסקריפט מ-WSL על תחנת הפורנזיקה, וסקירת קבצי הפלט באמצעות הכלי Timeline Explorer של אריק צימרמן. זה מאפשר סינון מהיר ואפשרות לפיבוט קל בין סוגי אירועים שונים. הכלי מתאים במיוחד לטריאז' ראשוני של קבצי כתובת רשת בחקירות פורנזיות, כשצריך לקבל תמונה כללית מהר לפני שקוללים על ניתוח מעמיק יותר. התמיכה בחוקי Suricata מותאמים מאפשרת גם סריקה ממוקדת לאיומים ספציפיים, למשל חתימות של תוכנות זדוניות או אינדיקציות ספציפיות שרלוונטיות לחקירה.

מגבלות

הכלי מוגבל למה ש-Suricata מסוגל לחלץ ולתעד מקבצי הכתובת רשת. פרוטוקולים או התנהגויות שלא מכוסים על ידי חוקי Suricata הטעונים לא יופיעו בפלט. הסקריפט לא מבצע ניתוח מעמיק, קורלציה אוטומטית בין אירועים או חישוב ממצאים. הוא רק ממיר וממיין את הנתונים ש-Suricata מפיק. האנליסט עדיין צריך לפרש את התוצאות בעצמו, אבל הארגון המקדים חוסך זמן משמעותי בשלב האוריינטציה.

מקור: https://github.com/mf1d3l/Pcap2Timeline

סקירה כללית

המאגר נועד לגשר על פער משמעותי: מרבית מסגרות האיום בתחום ה-AI מתארות קטגוריות תיאורטיות, אבל קשה לדעת אילו מהן מופיעות באמת בשטח. המידע מסווג לפי חומרה (Critical, High, Medium, Low, Info), וניתן לסנן לפי שנה, ווקטור תקיפה, וונדור, מוצר, CVE, וקורפוס. המאגר משמש כנקודת התחלה מוצקה למי שרוצה לראות את נוף האיומים האמיתי בתחום.

מטרות האתר

המטרה המרכזית היא לאפשר הצלבה בין מודלים תיאורטיים של איומי AI לבין דיווחי תקריות בפועל. המאגר מחולק לשלוש רמות איכות נתונים: רשומות curated עם האמינות הגבוהה ביותר, רשומות reviewed עם אמינות בינונית, ורשומות auto שנאספו באופן אוטומטי עם אמינות נמוכה יותר. ההבחנה הזו חשובה כי הפער בין הרמות משמעותי.

שימושים אפשריים

צוותי אבטחה יכולים להשתמש במאגר להעשרת מודלינג איומים עם נתוני אירועים אמיתיים במקום תרחישים תיאורטיים בלבד. הערכת סיכונים של וונדורים ומוצרי AI ספציפיים מתאפשרת דרך חיפוש באירועים שדווחו עליהם. מעקב אחרי מגמות חומרה ווקטורי תקיפה לאורך זמן עוזר לכייל את תנוחת הסיכון. זיהוי קטגוריות OWASP שנצפות הכי הרבה באירועים בפועל עוזר לקבוע עדיפויות הגנה. הגרפים האינטראקטיביים מאפשרים לחצות על כל עמודה ולקבל סינון ישיר של הטבלה, כולל תקריות לפי שנה, חלוקת חומרה לאורך זמן, ווקטורים מובילים, והוונדורים המותקפים ביותר.

שיקולים והגבלות

הפער בין רשומות curated ל-auto משמעותי, ויש להתייחס לרשומות auto בזהירות ולאמת מול מקורות ראשוניים. שיטת סיווג החומרה אינה מתועדת באופן גלוי, דבר שמקשה על השוואה בין תקריות. אין פירוט על טיפול בכפילויות או חפיפות בין רשומות, כך שייתכן ניפוח של מספרים. רוב הרשומות אינן כוללות פירוט TTP מלא או ייחוס תוקפים, מה שמגביל את השימושיות לצרכי מודיעין מבצעי. למרות ההגבלות, המאגר מספק ערך ממשי כנקודת מוצא למחקר נוף איומי AI.

מקור: https://github.com/0xsp-SRD/aether

הכלי Aether (גרסה 0.8, בטא ציבורי) סורק זיכרון חי של תהליכים ב-Windows לאיתור דפוסים זדוניים, טכניקות הזרקה, חתימות implant, ואסמבליות .NET שנטענו רפלקטיבית. הכלי משתמש במודל ביטחון רב-שכבתי שמצמצם חיוביים שקריים באופן משמעותי. Aether מצטיין בזיהוי Hollowing, APC, ו-thread hijacking.

יכולות הכלי

סריקת החתימות מבוססת על אינדקס בייט ראשון שמספק האצה של פי 50-100 על סריקה נאיבית. תמיכה בקידוד כפול ASCII ו-UTF-16LE לוכדת מחרוזות שנשמרות על ידי ה-CLR, כמו msxsl:script שהופך ל-6D 00 73 00 78 00…. חוקים נטענים דינמית מקבצי JSON בתיקיית rules/ בלי צורך בהדילוג. זיהוי PE headers באזורי MEM_PRIVATE מסמן אסמבליות .NET רפלקטיביות על בסיס צירוף MZ + PE + BSJB.

מודל 5 השכבות לסינון חיוביים שקריים כולל: L1 מסנן לאזורי IMAGE ברי-הרצה בלבד. L2 מדרג לפי private_pages ו-private_ratio. L3 דורש איתות עצמאי נוסף על אותו allocation base. L4 מטפל ב-ngen, R2R, ו-tiered-JIT לפי מודול בנפרד במקום לדלג על ה-CLR באופן גורף. L5 משווה 16 בייטים ראשונים של כל עמוד קוד פרטי מול ה-RVA על הדיסק דרך CreateFileMappingW.

בדיקות מבניות נוספות: cross-reference של PEB לזיהוי DLL hollowing ו-module stomping. סריקת working-set עם K32QueryWorkingSetEx שמבצעת קריאה אחת לאזור במקום אחת לעמוד 4KB. זיהוי RWX פרטיי (מייצר חיוביים שקריים). גילוי hook prologues קלאסיים: JMP rel32, JMP [rip+disp32], PUSH imm32; RET, MOV RAX,imm64; JMP RAX, ו-Detours-style. זיהוי CLR דרך section-object probe ל-Cor_Private_IPCBlock. אימות כתובות התחלה של threads (TSAV/L8) דרך NtQueryInformationThread ו-GetThreadContext.

מקרי שימוש

תגובה לאירועים חיה על תחנות עבודה. ציד איומים בתהליכים חשודים. צילום snapshot של אזורי זיכרון לניתוח אופליין. זיהוי reflective .NET loading בסביבות מנוהלות.

מגבלות

גרסת בטא ציבורית. זיהוי RWX פרטיי מייצר חיוביים שקריים במפורש. טרם נבדק על ידי מקור עצמאי. השוואה מול הדיסק (L5) דורשת גישה לקובץ שעלולה להיכשל על מודולים נעולים או בזיכרון בלבד.

מקור: https://github.com/0xsp-SRD/aether

מחקר שפורסם על ידי SafeBreach חושף וקטור התקפה שמאפשר השתלטות על Google Gemini ב-Android באמצעות התראות מורעלות מאפליקציות מסרים. החוקר Or Yair מצא שפיצ'ר ה-Utilities של Gemini, שקורא ומשיב להתראות, מתייחס לטקסט ההתראות כפקודות שניתן לפעול לפיהן. זה אומר שכל אפליקציה שיכולה לדחוף התראה, כולל WhatsApp, Slack, SMS, Signal, Instagram ו-Messenger, הופכת לוקטור פוטנציאלי להתקפה. Yair תיאר את משטח ההתקפה כ-"effectively infinite".

פרטים טכניים

ההתקפה מנצלת את האופן שבו Gemini על Android מעבד התראות. לא נדרשת אפליקציה זדונית על הטלפון. מספיק שה-assistant יתייחס להתראה עוינת כהקשר שימושי. ההתקפה מוגבלת ל-Android כי פיצ'ר ה-Utilities לא זמין ב-iOS או ב-web. ברמה הבסיסית, תוקף יכול לשכתב מה ש-Gemini אומר, כולל זיוף הודעה מאיש קשר מזוהה. הנזק חמור יותר כשמדובר בשימוש ללא ידיים, כשהמשתמש נוהג ולא רואה את המסך. בגרסה ה"עיוורת", ה-payload מופעל אחרי ש-Gemini טוען התראות אמיתיות, ויכול לקחת את שם השולח האמיתי הראשון ולייחס לו הודעה מזויפת. מעבר לזיוף פלט, ההתקפה יכולה לגרום ל-Gemini לפתוח חלונית דפדפן, להפעיל שיחת Zoom, או להרעיל את הזיכרון ארוך הטווח שלו כך שמידע שקרי יישאר גם בשיחות עתידיות.

הגנות ותיקונים

המחקר הזה ממשיך עבודה קודמת של SafeBreach בשם "Invitation Is All You Need", שניצלה הזמנות Google Calendar למטרות דומות. אחרי המחקר ההוא, גוגל חיזקה את Gemini נגד indirect prompt injection. המנגנון שגוגל הוסיפה בדק גם את תגובת המשתמש וגם את הפלט האחרון של Gemini כשאישור "כן" מאשר פעולה רגישה. Yair מצא דרך לעקוף את ההגנות החדשות האלו. גוגל תיקנה את הפגיעות. אין מספר CVE, ואין עדות לניצול בשטח.

הבעיה המהותית היא שעוזרי AI שצורכים input לא מהימן כהקשר יוצרים גבולות אמון שמודלים מסורתיים של אבטחת מידע לא נדרשו להתמודד איתם.

מקור: https://thehackernews.com/2026/06/whatsapp-slack-notifications-could.html?m=1

נושא הדיון בקהילת LessWrong הוא השאלה עד כמה מודלי שפה פתוחים מפגרים אחרי המודלים הקנייניים. זו שאלה שחוזרת על עצמה בקהילת ה-AI, והיא רלוונטית גם לחוקרי אבטחה שצריכים גישה למודלים לצורך red-teaming ובדיקות adversarial.

תוכן הדיון

המקור מכיל בעיקר תגובות קהילתיות. אין בו נתוני בנצ'מרק קונקרטיים, השוואות כמותיות בין מודלים ספציפיים, או ניתוח שיטתי של הפער. המשתתפים כוללים את StanislavKrym ו-Håvard Tveit Ihle, אבל התגובות לא מספקות מסקנות ודאיות.

הפער בין מודלים פתוחים לסגורים הוא נושא מורכב. מודלים קנייניים מהמעבדות הגדולות עדיין מובילים ברוב הבנצ'מרקים, אבל מודלים פתוחים כמו Llama, Mistral ו-Qwen מצמצמים את הפער בתחומים מסוימים. הפער משתנה בין תחום לתחום ובין דור מודלים אחד לשני.

מגבלות

המקור לא מאמת טענות ספציפיות על גודל הפער. אין כאן מתודולוגיה מוגדרת, ואין הערכה שיטתית של יכולות. מי שמחפש השוואות מבוססות עדיף לפנות ל-Open LLM Leaderboard או לכלי ההערכה של EleutherAI. מדובר בדיון קהילתי ראשוני, לא במחקר עמיתי.

מקור: https://www.lesswrong.com/posts/rJcCrXyEsJKmmDpWG/how-far-behind-are-open-models?utm_source=tldrai

טכניקות התקפה וכלים

הטכניקה המרכזית בקמפיין היא DLL sideloading. התוקפים השתמשו בשני זוגות של בינאריים חתומים לגיטימית: Fortemedia fmapp.exe עם fmapp.dll זדוני, ו-SentinelOne sentinelmemoryscanner.exe עם sentinelagentcore.dll זדוני. זוג ה-Fortemedia תועד כבר בדיווחים קודמים של Group-IB. השימוש בבינארי של מוצר אבטחה (SentinelOne) הוא בחירה מכוונת שנועדה לעקוף זיהוי מבוסס נתיב וחתימה ולבלבל צוותי triage. שני ה-DLLs הזדוניים מכילים את ChromElevator, כלי post-exploitation ציבורי הגונב סיסמאות, עוגיות ונתוני תשלום מדפדפני Chromium.

שינוי טקטי: Node.js

היבט בולט בקמפיין הזה הוא המעבר להרצת PowerShell דרך Node.js. Seedworm הרבו להשתמש ב-PowerShell גם בעבר, אך הפעם node.exe היה ה-parent process למספר שלבים, וסקריפט Node.js התגלה מוטמע בקובץ XML על המארחים. קמפיין קודם של הקבוצה השתמש ב-Deno. המעבר בין סביבות runtime מעיד על התנסות מתמשכת במטרה לחמוק מזיהוי.

גניבת סיסמאות והסלמת הרשאות

התוקפים פרסו מספר כלי credential theft ו-privilege escalation ואיטרצו עליהם עד שמצאו נתיב לגישה מוגברת. כלי credential harvester (SHA256: d587959841a763669279ad831b8f0379f6a7b037dffc19deab5d41f37f8b5ffc) קורא ל-CredUIPromptForWindowsCredentialsW, פונקציה שמציגה את חלון הכניסה הסטנדרטי של Windows ותופסת את הפרטים שהמשתמש מזין. סקריפטי PowerShell נוספים שימשו לצילום מסך, סריקת רשת, גניבת SAM hive, ו-SOCKS5 reverse-proxy tunneling.

שרשרת ההתקפה

גישה ראשונית: לא מפורט במקור
הרצה: סקריפט Node.js מוטמע ב-XML
הורדה: DLL sideloading עם בינאריים חתומים
הסלמת הרשאות: איטרציה על כלי escalation
הדבקה: ChromElevator לגניבת נתוני דפדפן
אקספילטרציה: SOCKS5 tunneling, צילומי מסך, גניבת SAM hive

מקור: https://www.security.com/threat-intelligence/iran-seedworm-electronics

סקירה כללית

הכלי מספק 9 כלי ניתוח: pcap_summary לסקירה כללית (משך, מספר packets, victim IP, IP מובילים, פילוח פרוטוקולים, דגלים אדומים), extract_iocs לחילוץ אינדיקציות פשרה, c2_beaconing לניתוח תזמון beacon עם jitter ו-confidence, find_downloads לזיהוי הורדות קבצים והעלאות exfil (כולל הערכות HTTPS מעל 1 MB), extract_credentials לחילוץ אישורים ב-clear ו-headerים מותאמים של malware, http_sessions לניתוח sessions מלא עם זיהוי C2 בענן, detect_dns_tunneling לניתוח אנטרופיה ומנהור DNS, capture_packets ו-list_interfaces ללכידה חיה.

יכולות הכלי

כל הכלים רצים באופן אסינכרוני מקבילי עם asyncio.gather. קריאת extract_iocs יחידה מפוצלת ל-6 תהליכי tshark בו-זמנית, כך שניתוח שלוקח דקות רציפות מסתיים בשניות. היוריסטיקות כוונו מול דוגמאות תוכנות זדוניות אמיתיות מ-malware-traffic-analysis.net, לא מקרי בדיקה סינתטיים. רשימת whitelist מותאמת של דומיינים לגיטימיים (CDN, Apple, Google, Microsoft, Windows Update) מפחיתה חיוביים שגויים. כל הוספה ל-whitelist דורשת הצדקה משתי דוגמאות בלתי תלויות לפחות. הכלי כולל זיהוי C2 על פורט 443 ללא TLS, זיהוי C2 לא-נגיש (SYN-only), וניתוח אנטרופיה למנהור DNS.

מקרי שימוש

אנליסטים ב-SOC שצריכים לנתח קבצי pcap של תוכנות זדוניות מבלי לזכור מסנני tshark בעל פה. צוותי IR שצריכים חילוץ IOC מהיר וניתוח beaconing. ציידי איומים שבוחנים שימוש לרעה במנהור DNS או בשירותי ענן כ-C2. צינורות אוטומציה שדורשים נתוני תעבורת malware מובנים.

מגבלות

הכלי דורש tshark מותקן ונגיש. לקוח ה-AI חייב לתמוך ב-MCP. שיעור החיוביים השגויים תלוי באיכות ה-whitelist וההיוריסטיקות לסביבה ספציפית. לא בדקתי את הכלי אישית.

מקור: https://github.com/MohitDabas/malshark