A StaticDocLab a mindennapos beérkező fájlok gyors, automatizált statikus elemzésére készült – egy extra védelmi vonalat jelent, amellyel minden beérkező dokumentum, archívum vagy melléklet kockázatossági szint szerint kerül besorolásra, mielőtt bárki megnyitná. Django-alapú, helyi üzemeltetésű platform PE binárisok, PDF dokumentumok, Office fájlok (Word, Excel, PowerPoint), email mellékletek (.eml, .msg) és archívumok (ZIP, RAR, 7z, TAR) mélyreható vizsgálatához – sandbox futtatás nélkül. A YARA szabálymotor, entrópia-analízis, VBA makróemuláció (ViperMonkey), CAPA és FLOSS deep scan kombinációja automatikusan MITRE ATT&CK keretrendszerbe helyezi a találatokat, és Safe/Low/Medium/High/Critical kockázati besorolással látja el minden elemzett fájlt. Az eredmények PDF, JSON és CSV formátumban exportálhatók, REST API-n keresztül integrálhatók más rendszerekbe.

Főbb funkciók

• PE/EXE/DLL/SYS mélyelemzés – szekció analízis, import/export táblák, entrópia, gyanús API hívások, UPX packer detektálás, digitális aláírás hitelesítés; deep scan: CAPA képességdetektálás + FLOSS obfuszkált string dekódolás MITRE ATT&CK leképezéssel
• PDF mélyelemzés – JavaScript és OpenAction detektálás (pdfid + pypdf), beágyazott fájlok extrakciója, URL kinyerés annotációkból, malicious pattern keresés (Base64, shell parancsok, obfuszkált URL-ek), entrópia elemzés
• Office / OLE / RTF elemzés – VBA makró teljes emulációja ViperMonkey-val (shell parancsok, fájlírás detektálása), XLM makró (Excel 4.0) azonosítás, VBA Stomping detektálás (forráskód vs. p-code eltérés), RTF objektumok kinyerése
• Email elemzés (.eml, .msg) – fejléc és metaadat analízis, csatolmányok rekurzív vizsgálata, IOC-k (IP, domain, URL) automatikus kinyerése a levéltörzsből
• YARA szabálymotor – egy kattintásos frissítés 10+ GitHub forrásból (Neo23x0, Yara-Rules projekt), egyéni .yar/.yara szabályok feltöltése, Safe / Low / Medium / High / Critical súlyozott kockázati besorolás
• Threat Intelligence – AlienVault OTX + AbuseIPDB IOC reputáció ellenőrzés, VirusTotal API v3 hash-alapú online ellenőrzés, felhasználói API kulcskezelés a webfelületen
• Linux ELF elemzés + archívum kezelés – szekciók, szimbólumok, dinamikus függőségek; ZIP/RAR/7z/TAR rekurzív bontás jelszópróbálgatással (infected, virus, password…), Zip Bomb védelem (max 100 MB / 50 fájl)
• Export és REST API – PDF riport (Executive Summary + Technical Details), JSON és CSV export, token-alapú REST API Swagger dokumentációval, elemzési előzmények SQLite adatbázisban, duplikált SHA256 hash felismerés

# Clone config
git clone https://repo.webrolix.hu/staticdoclab.git
cd staticdoclab

# Configure environment
cp .env.example .env
nano .env   # set your LICENSE_KEY

# Launch
docker compose up -d

✓ StaticDocLab running on http://localhost:8080