nayo/suricata-malware-rules

# Suricata 恶意软件规则 Suricata IDS 规则的协作存储库，按恶意软件家族和类型进行组织。 所有规则存储在 `rules/` 目录下，按恶意软件类型（例如 ransomware、trojan）然后按家族分组。 一个自动化工作流将所有 `.rules` 文件收集到一个单独的 `latest.rules` 文件中，以便于部署。 非常适合希望为 Suricata IDS 共享、维护和改进恶意软件检测规则的安全团队、研究人员和爱好者。 ## 结构 ``` suricata-malware-rules/ ├── README.md ├── LICENSE ├── generate_latest.sh ├── latest.rules # auto-generated ├── .gitignore ├── .github/ │ └── workflows/ │ └── combine-rules.yml └───rules ├───c2 ├───defacement ├───exploit │ └───cve-2025 ├───malware │ ├───interlock │ └───shai-hulud ├───phishing ├───policy ├───scanning └───test ``` ## 如何添加规则 1. 进入 `rules/` 目录。 2. 如果不存在适当的类型和家族文件夹，请创建它们（例如 `malware/locky/`）。 3. 将您的 Suricata `.rules` 文件添加到相应的家族文件夹中。 4. 推送到 `main` 分支。工作流将自动更新 `latest.rules`。 ## 工作流如何运行 - 合并 `rules/` 目录中的所有 `.rules` 文件到 `latest.rules`。 - 如果源规则中有更改，工作流将更新并推送 `latest.rules`。 - **不要手动编辑 `latest.rules`；它将被工作流覆盖。** ## 最佳实践 - 在您的规则文件中使用描述性注释。 - 为文件和文件夹指定清晰的名称。 - 确保您的规则对 Suricata 有效。 - 如有建议或改进，请提交 issue 或 pull request。 ## Suricata 规则示例 ``` alert http any any -> any any (msg:"Example Suricata rule"; content:"malicious"; sid:1000001; rev:1;) ``` ## latest.rules 的自动发布 每当主分支 (`main`) 中的规则更新时，此存储库会自动生成一个更新的 `latest.rules` 文件。 该过程完全通过 [GitHub Actions](https://github.com/features/actions) 自动完成。 - **在哪里下载？** 前往 [Releases](https://github.com/nayo/suricata-malware-rules/releases) 部分并下载最新文件。 - **每个版本包含什么？** - 生成日期和时间。 - 近期更改（提交列表）。 - 作者和自动备注。 - 用于建议和问题的有用链接。 ## 发布工作流是如何工作的？ 1. 当恶意软件规则发生更改时，工作流运行 `generate_latest.sh` 脚本以合并所有规则并生成 `latest.rules` 文件。 2. 如果文件发生更改，工作流将提交并推送更新。 3. 使用基于日期/时间的标签创建新版本。 4. 版本说明自动包含近期更改和有用的链接。 ## 问题、评论或建议？ 请查看现有的 [issues](https://github.com/nayo/suricata-malware-rules/issues) 或提交一个新的 issue，用于任何问题、建议或错误报告。 ## 使用 latest.rules 从最新版本下载文件，并直接在您的 Suricata 配置中使用。 ## 许可证 MIT 许可证（参见 LICENSE 文件）。 ## 贡献 欢迎所有贡献！

标签：AMSI绕过, C2通信, CISA项目, Cutter, GitHub Actions, IDS规则, IP 地址批量处理, Metaprompt, PB级数据处理, PE 加载器, Suricata, Suricata-IDS, 勒索软件, 威胁情报, 威胁检测, 安全运维, 开发者工具, 恶意软件, 木马, 现代安全运营, 签名规则, 网络安全, 网络调试, 自动化, 自动笔记, 自定义DNS解析器, 隐私保护