LitterBox — Self-Hosted Payload Sandbox (MCP)

简介

LitterBox 是自建的 payload 分析沙箱：上传样本后可跑静态/动态/EDR 分析，输出 Detection Score 与触发指标，支持用 profile 接入 EDR，用于出手前的实验室验证。

• 适合谁： 红蓝对抗团队：想在实验室先量化检测风险，再决定是否进入真实环境
• 可搭配： Python 3.11+；Windows 与 Docker（Linux）；可选 EDR profiles；README 链接到 MCP 集成说明（Wiki）
• 准备时间： 30–90 分钟（Docker 初次构建约 1 小时）

实战建议

• GitHub：1,416 stars · 161 forks；最近更新 2026-05-05（GitHub API 验证）。
• README 表示 Docker 安装会拉起带 KVM 的 Windows 10 容器，完成后 UI 在 http://127.0.0.1:1337。
• README 给出内置扫描器版本与日期（例如 PE-Sieve 0.4.1.2 更新至 2026-05-02；Elastic YARA 规则 commit d131ea8）。

主要内容

把 LitterBox 用成“可落地的门禁”：

1. 作为 出手前的关卡：每个样本都走同一套 pipeline，别靠拍脑袋放行。
2. EDR profiles 与扫描器版本做变更管理；README 的 scanner 表让漂移一眼可见。
3. 用结果推动决策：是 重写/降噪、还是 换环境，还是 直接放弃。
4. 一定要隔离运行。README 的安全提示强调只在隔离 VM/专用测试环境中使用。

即便不走 MCP，单靠 “Detection Score + 触发指标拆解” 也足以把评审讨论标准化。

FAQ

能在日常工作机上跑吗？ 答：建议只在隔离环境跑。README 提示不要用于生产，推荐隔离 VM/实验室环境。

EDR profiles 放哪？ 答：README 说把 YAML profile 放到 Config/edr_profiles/，启动时会自动加载。

支持 MCP 吗？ 答：README 的文档表格链接到 LitterBoxMCP（Wiki 页面）。