🦀 Malchela

Модульный набор инструментов для анализа YARA и вредоносного ПО, написанный на Rust. Предназначен для специалистов по цифровой криминалистике, исследователей вредоносного ПО и специалистов по анализу угроз. Он предоставляет как интерфейс командной строки (CLI), так и графический интерфейс пользователя (GUI) для запуска инструментов анализа в единой среде.

🦀 Основные инструменты
🔸Combine YARA - объединяет все файлы .yara/.yar в директории в один файл правил;
🔸Extract Samples - рекурсивно извлекает защищённые паролем архивы с вредоносным ПО (ZIP/RAR), используя распространённые пароли;
🔸File Analyzer - анализирует файл: вычисляет хэши, энтропию, структуру PE, нечёткие хэши, совпадения YARA, проверяет по базе NSRL и статус на VirusTotal;
🔸File Miner - cканирует папку на предмет несоответствия типов файлов и извлекает метаданные;
🔸Hash It - генерирует хэши MD5, SHA1 и SHA256 для одного файла;
🔸Hash Check - проверяет, существует ли указанный хэш в предоставленном файле с набором хэшей;
🔸mStrings - извлекает строки из файла, применяет регулярные выражения и правила Sigma, сопоставляет с MITRE ATT&CK, выявляет индикаторы компрометации (IOC) и включает встроенный поиск техник MITRE;
🔸mzhash - рекурсивно вычисляет MD5-хэши файлов с заголовком MZ;
🔸mzcount - рекурсивно подсчитывает файлы по форматам (MZ, ZIP, PDF и др.) с помощью анализа заголовков/YARA;
🔸nsrlquery - запрашивает MD5-хэш в базе данных NSRL для определения, является ли файл доверенным;
🔸strings_to_yara - запрашивает метаданные и список строк для генерации YARA-правила;
🔸xmzhash - рекурсивно вычисляет хэши файлов, которые не являются MZ, ZIP или PDF.

Для поиска хэша вредоносного ПО требуется ключ API для Virus Total и Malware Bazaar. Если ключ не указан, MalChela предложит вам создать его при первом запуске функции поиска вредоносного ПО.

🔴 Установка
Для установки инструмента для начала потребуется установка зависимостей и rust. Далее клонируем репозиторий и собираем.

sudo apt install openssl libssl-dev clang yara libyara-dev pkg-config build-essential libglib2.0-dev libgtk-3-dev
 curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh
git clone https://github.com/dwmetz/MalChela.git
cd MalChela
chmod +x release.sh
./release.sh

❗️Рекомендуется собирать и запускать MalChela в режиме --release, чтобы обеспечить оптимальную работу графического интерфейса и вспомогательных инструментов.

🔧 Добавление пользовательских инструментов
Можно расширить возможности MalChela, отредактировав файл tools.yaml и добавив в графический интерфейс сторонние или пользовательские инструменты. Эта гибкая конфигурация поддерживает двоичные файлы, скрипты на Python и программы на Rust.

В каждой записи указывается название инструмента, категория, тип выполнения, способ передачи входных данных (файл, папка или хэш) и любые необязательные аргументы, например:


#Malchela #DFIR #CyberSecurity

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

🌐 MESH — P2P-сеть для удалённой криминалистика Android в любой точке мира

MESH — это open source-инструмент для удалённой форензики мобильных устройств и сетевого мониторинга через зашифрованную peer-to-peer сеть. Он позволяет анализировать устройства (Android / iOS), даже если к ним нет прямого доступа.

🧠 Идея инструмента
Вместо VPN и централизованных серверов используется overlay mesh-сеть:
▶️устройства выглядят как будто находятся в одной локальной сети
▶️соединение строится напрямую между узлами
▶️нет единой точки отказа

В основе — модифицированный протокол Tailscale с self-hosted control plane и разделением управления и трафика.

🧿Основные возможности
📉 P2P форензика — анализ устройств через прямые соединения без проброса портов
📉 End-to-end шифрование — WireGuard / AmneziaWG с автоматическим управлением ключами
📉 Обход DPI и цензуры — обфускация трафика + fallback на HTTPS-реле
📉 CGNAT bypass — устройства получают виртуальные адреса и работают как в одной сети
📉 Интеграция с инструментами — MVT, AndroidQF, ADB, libimobiledevice
📉 Kill-switch — изоляция устройства во время анализа
🖱 Ephemeral-сети* — быстрое создание и уничтожение forensic-сессий

*Ephemeral-сети — это временные сети, которые создаются под конкретную задачу

☁️ Как работает MESH

MESH создаёт распределённую сеть из трёх компонентов:

⏺️ Control plane — координация узлов и обмен ключами
⏺️ Analyst node — машина исследователя
⏺️ Endpoint — целевое устройство (Android/iOS)

При этом:
➡️ трафик идёт напрямую между узлами
➡️ control plane не участвует в передаче данных
➡️ при блокировке UDP используется HTTPS relay

Это позволяет:
➡️ обходить NAT
➡️ скрывать активность от DPI
➡️ работать в цензурированных средах

🧾 Базовый сценарий использования

1️⃣ Клонирование репозитория

git clone https://github.com/BARGHEST-ngo/MESH.git
cd mesh/control-plane

2️⃣ Запуск control plane

docker-compose up -d

3️⃣ Доступ к веб-интерфейсу
https://localhost:3000/login

4️⃣ Создание API-ключа

docker exec headscale headscale apikeys create --expiration 90d

После этого можно подключать устройства и начинать форензику.

#mesh #p2p #forensics #mobile #privacy #security #blueteam #dfir #threatintel

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером