Module hors ligne — Données en lecture seule
Le Malware Lab est actuellement inactif. Les données affichées proviennent des sources intégrées (HoneyPot, Wazuh, OpenCTI, n8n). Le sandboxing dynamique est indisponible.
Métriques globales — Toutes sources
Payloads capturés
47
Via HoneyPot T-Pot
Malwares détectés
12
Wazuh — 7 jours
IOC liés
89
OpenCTI enrichi
Analyses auto
34
n8n workflows
Familles uniques
8
Classifiées par IA
Payloads HoneyPot — Derniers capturés
47 TOTAL
| Fichier | Type | SHA256 | Taille | Statut |
|---|---|---|---|---|
| svchost.exe | PE32 | a3f2c1d9e4b78f20ac31... | 142 KB | Malveillant |
| updater.sh | Shell | b91dc443e7f12a88bc5... | 4 KB | Suspect |
| miner.elf | ELF64 | c04f9a221d63f7b91ee... | 2.1 MB | Malveillant |
| invoice.pdf.exe | PE32 | d75b3cc0e5f8a12047f... | 88 KB | Malveillant |
| scan.py | Python | e23a0dd4b1c69e34802... | 12 KB | Suspect |
| rdp_exploit.exe | PE32 | f88c2e731d0ab21955c... | 320 KB | Malveillant |
| config.bat | Batch | a1b2c3d4e5f678901234... | 1 KB | Bénin |
Pipeline d'analyse auto
PARTIEL
🍯
HoneyPot
Capture
Capture
⚙️
n8n
Trigger
Trigger
🔍
OpenCTI
IOC Check
IOC Check
🤖
Claude AI
Classify
Classify
🧪
Sandbox
Analyse
Analyse
Étape 5 (Sandbox) suspendue — module offline.
Les étapes 1–4 sont automatisées via n8n.
Les étapes 1–4 sont automatisées via n8n.
Familles détectées
Wazuh — Détections malware (7j)
WAZUH SIEM
| Horodatage | Agent | Règle | Sévérité | Action |
|---|---|---|---|---|
| 2025-01-09 09:22 | SRV-PROD-01 | Trojan dropper détecté | Critique | Bloqué |
| 2025-01-09 07:14 | DC-MAIN | Mimikatz pattern (LSASS) | Critique | Alerte |
| 2025-01-08 22:03 | SRV-PROD-01 | Crypto-miner process | Élevé | Tué |
| 2025-01-08 15:47 | DC-MAIN | Suspicious PowerShell exec | Élevé | Enquête |
| 2025-01-07 11:09 | SRV-PROD-01 | Rootkit detection (chkrootkit) | Critique | Nettoyé |
OpenCTI — IOC Malware liés
OPENCTI
| Indicateur | Type | Confiance | Famille |
|---|---|---|---|
| a3f2c1d9e4b78f20ac31 | MD5 | 95% | Mirai |
| 185.220.101.47 | IP | 87% | C2 Botnet |
| malware-c2.ru | Domain | 92% | XMRig |
| c04f9a221d63f7b91ee | SHA256 | 78% | Miner ELF |
| 91.108.4.72 | IP | 99% | RDP Exploit |
| d75b3cc0e5f8a12047f | MD5 | 73% | Phishing |
Claude AI — Dernier rapport d'analyse
VIA n8n
80
/100
svchost.exe (faux)
Exécutable PE32 imitant un processus système Windows légitime. Comportement de dropper détecté : téléchargement d'un second binaire depuis 185.220.101.47:4444. Famille probable : Mirai variant.
Comportements identifiés
Process injection
C2 outbound
Persistance registry
Anti-debug
Obfuscation strings
Packed UPX
Généré le 2025-01-09 09:41 — Modèle : claude-sonnet-4 — Confiance : 87%
Flux événements — Toutes sources
LIVE
09:41:32
HoneyPot — Payload svchost.exe capturé et envoyé en analyse
HONEYPOT
09:38:11
n8n — Workflow Malware_Auto_Classify terminé (34/34 OK)
n8n SOAR
09:35:04
Wazuh — Pattern Mimikatz détecté sur DC-MAIN
WAZUH
09:22:50
OpenCTI — IOC 185.220.101.47 corrélé à famille Mirai
OPENCTI
09:15:18
Claude AI — Rapport miner.elf généré (score menace : 91/100)
VIA n8n
08:57:03
HoneyPot — Tentative exploitation RDP — payload rdp_exploit.exe
HONEYPOT