cccs/assemblyline-service-metapeek

Sponsored OSS

By Canadian Centre for Cyber Security

Updated 22 days ago

Assemblyline 4 Metadata anomaly detection service

Image
Security

5M+

DiscordStatic BadgeStatic BadgeGitHub Issues or Pull Requests by labelLicense

MetaPeek Service

This Assemblyline service checks the metadata of the submitted file to look for anomalies (name, extension, etc).

Service Details

This service checks for dubious techniques spam writers employ to trick people into clicking on embedded files.

This includes:

  • Double file extension
  • Empty file names
  • Excessive use of whitespace
  • Bi-directional unicode control characters

Image variants and tags

Assemblyline services are built from the Assemblyline service base image, which is based on Debian 11 with Python 3.11.

Assemblyline services use the following tag definitions:

Tag TypeDescriptionExample Tag
latestThe most recent build (can be unstable).latest
build_typeThe type of build used. dev is the latest unstable build. stable is the latest stable build.stable or dev
seriesComplete build details, including version and build type: version.buildType.4.5.stable, 4.5.1.dev3

Running this service

This is an Assemblyline service. It is designed to run as part of the Assemblyline framework.

If you would like to test this service locally, you can run the Docker image directly from the a shell:

docker run \
    --name Metapeek \
    --env SERVICE_API_HOST=http://`ip addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"`:5003 \
    --network=host \
    cccs/assemblyline-service-metapeek

To add this service to your Assemblyline deployment, follow this guide.

Documentation

General Assemblyline documentation can be found at: https://cybercentrecanada.github.io/assemblyline4_docs/

Service MetaPeek

Ce service d'Assemblyline vérifie les métadonnées du fichier soumis à la recherche d'anomalies (nom, extension, etc.).

Détails du service

Ce service vérifie les techniques douteuses utilisées par les auteurs de spams pour inciter les internautes à cliquer sur des fichiers intégrés.

Cela inclut :

  • Double extension de fichier
  • Noms de fichiers vides
  • Utilisation excessive d'espaces blancs
  • Caractères de contrôle unicode bidirectionnels

Variantes et étiquettes d'image

Les services d'Assemblyline sont construits à partir de l'image de base Assemblyline service, qui est basée sur Debian 11 avec Python 3.11.

Les services d'Assemblyline utilisent les définitions d'étiquettes suivantes:

Type d'étiquetteDescriptionExemple d'étiquette
dernière versionLa version la plus récente (peut être instable).latest
build_typeType de construction utilisé. dev est la dernière version instable. stable est la dernière version stable.stable ou dev
sérieDétails de construction complets, comprenant la version et le type de build: version.buildType.4.5.stable, 4.5.1.dev3

Exécution de ce service

Ce service est spécialement optimisé pour fonctionner dans le cadre d'un déploiement d'Assemblyline.

Si vous souhaitez tester ce service localement, vous pouvez exécuter l'image Docker directement à partir d'un terminal:

docker run \
    --name Metapeek \
    --env SERVICE_API_HOST=http://`ip addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"`:5003 \
    --network=host \
    cccs/assemblyline-service-metapeek

Pour ajouter ce service à votre déploiement d'Assemblyline, suivez ceci guide.

Documentation

La documentation générale sur Assemblyline peut être consultée à l'adresse suivante: https://cybercentrecanada.github.io/assemblyline4_docs/

Docker Pull Command

docker pull cccs/assemblyline-service-metapeek