CGFixIT/Veeam-PS1-Scanner-Yara-Rule-Detection-Onion-Links

# 安全恢复！ - Powershell + YARA 规则：为 VBR/VDPA 增强带有主机名的输出路径 洋葱链接与勒索软件检测 [](LICENSE)  基于 Veeam (SecureResore/SureBackup) 设计并测试，但由于 yara 是一个免费的框架，因此适用于许多用例。 一个综合性的恶意软件检测系统，结合了 YARA 规则与 PowerShell 自动化，用于检测 Veeam 备份环境中的 Tor `.onion` 链接、勒索软件支付门户以及 C2 配置。 **全新：** 原生 PowerShell 扫描器，为 Veeam Secure Restore 和 SureBackup 工作流提供详细的洋葱链接提取和文件路径报告。 ## 📋 目录 - [新功能](#whats-new) - [包含的规则](#rules-included) - [PowerShell 集成](#powershell-integration) - [用法](#usage) - [规则详情](#rule-details) - [兼容性](#compatibility) - [部署指南](#deployment-guide) - [输出示例](#output-examples) - [反馈与建议](#feedback--recommendations) - [测试建议](#testing-recommendations) - [故障排除](#troubleshooting) - [免责声明](#disclaimer) ## 新功能 ### PowerShell 扫描器 (`Veeam-YARA-SecureRestore.ps1`) 原生的 Windows 扫描器提供： - **自动发现 VM 卷** - 检测来自 Secure Restore 或 SureBackup 挂载的 VM - **洋葱链接提取** - 从匹配的文件中提取实际的 `.onion` URL（不仅仅是检测） - **Windows 路径映射** - 将挂载点 (E:\) 转换为原始 VM 路径 (C:\) - **详细的 JSON 报告** - 用于 SIEM/自动化的机器可读输出 - **Veeam 作业集成** - 自动阻止不安全恢复的退出代码 - **快速扫描模式** - 针对高风险位置（勒索软件热点区域） ## 包含的规则 - **comprehensive_onion_detection** - 检测带有勒索软件上下文（勒索说明、付款说明）的 Tor `.onion` 链接 - **onion_links_simple** - 广泛检测任何 Tor `.onion` 链接 - **ransomware_payment_portal** - 识别带有紧急指标的 `.onion` 支付门户 - **tor_c2_configuration** - 检测引用 Tor 隐藏服务的 C2 配置模式 ## PowerShell 集成 ### 架构 ``` ┌─────────────────────────────────────────────────────────────────┐ │ Veeam Backup & Replication Console │ │ ├─ Secure Restore Job (Pre-Restore Script) │ │ └─ SureBackup Job (Application Group Verification) │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ Mount Server / SureBackup Proxy (Windows) │ │ ├─ C:\Program Files\YARA\yara64.exe (v4.4+) │ │ ├─ C:\ProgramData\YARA\Rules\yara-malware-detection.yara │ │ └─ Veeam-YARA-SecureRestore.ps1 │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ Mounted VM Volumes (Auto-Detected) │ │ ├─ E:\ → Instant Recovery VM #1 │ │ ├─ F:\ → SureBackup Verified VM #2 │ │ └─ G:\ → Secure Restore Staged VM │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ Output Locations │ │ ├─ Console: Job logs in VBR UI │ │ ├─ Log File: C:\ProgramData\Veeam\Logs\YARA-SecureRestore\ │ │ │ scan_[JobID][Timestamp].log │ │ └─ JSON Report: C:\ProgramData\Veeam\Logs\YARA-SecureRestore\ │ │ results[JobID]_[Timestamp].json │ └─────────────────────────────────────────────────────────────────┘ ``` ### 工作原理 1. **VM 挂载检测** - 脚本发现所有挂载的 Windows 卷 (Secure Restore/SureBackup) 2. **YARA 扫描执行** - 运行 YARA 并加上 `-s` 标志以提取匹配的字符串（洋葱链接） 3. **路径转换** - 将挂载的驱动器号 (E:\) 映射到原始 VM 路径 (C:\) 4. **结果汇总** - 将包含所有匹配洋葱链接的发现结果按文件分组 5. **退出代码控制** - 向 Veeam 返回代码： - `0` = 干净（允许恢复） - `1` = 已感染（阻止恢复） - `2` = 脚本错误（需人工审查） ## 用法 ### 前置条件 **在 Veeam Mount Server 或 SureBackup Proxy (Windows) 上：** 1. **安装 YARA for Windows (v4.4+)** ``` # 从 https://github.com/VirusTotal/yara/releases 下载 # 解压到 C:\Program Files\YARA\ # 验证安装 & "C:\Program Files\YARA\yara64.exe" --version ``` 2. **创建 YARA 规则目录** ``` New-Item -ItemType Directory -Path "C:\ProgramData\YARA\Rules" -Force ``` 3. **下载 YARA 规则文件** ``` Invoke-WebRequest -Uri "https://raw.githubusercontent.com/lostSail0r/Veeam-Yara-Detection-Onion-/main/yara-malware-detection.yara" ` -OutFile "C:\ProgramData\YARA\Rules\yara-malware-detection.yara" ``` 4. **下载 PowerShell 扫描器** ``` Invoke-WebRequest -Uri "https://raw.githubusercontent.com/lostSail0r/Veeam-Yara-Detection-Onion-/main/Veeam-YARA-SecureRestore.ps1" ` -OutFile "C:\Scripts\Veeam-YARA-SecureRestore.ps1" ``` ## 部署选项 ### 选项 1：Veeam Secure Restore（恢复前脚本） **用例：** 在生产恢复之前扫描 VM 以防止再次感染 **配置：** 1. 打开 Veeam Backup & Replication 控制台 2. 导航至：`Backup Infrastructure → Backup Repositories → [Your Repository] → Properties` 3. 转到 `Secure Restore` 选项卡 → `Advanced` → `Script` 4. 配置脚本： - **Script Path:** `C:\Scripts\Veeam-YARA-SecureRestore.ps1` - **Parameters:** `-QuickScan`（可选，用于更快的扫描） 5. 设置 **Failure Action:** 使作业失败（这对于阻止受感染的恢复至关重要） **行为：** - 在 Instant Recovery 或 Full Restore 期间自动运行脚本 - 在挂载的 VM 卷上线之前对其进行扫描 - 如果检测到洋葱链接则阻止恢复（退出代码 1） - 日志可在恢复作业详情中查看 ### 选项 2：SureBackup 验证扫描 **用例：** 带有恶意软件扫描的自动化备份验证 **配置：** 1. 打开 Veeam Backup & Replication 控制台 2. 导航至：`Jobs → SureBackup` 3. 创建/编辑 Application Group → `Linked Jobs → Settings` 4. 添加 Test Script： - **Test Name:** `YARA Onion Detection` - **Script Path:** `C:\Scripts\Veeam-YARA-SecureRestore.ps1` - **Script Arguments:** `-QuickScan -SessionId "%job_id%"` 5. 设置 **Test Timeout:** 3600 秒（1 小时） 6. 启用 **Fail job on test failure:** 是 **行为：** - 在 VM 启动/心跳测试完成后运行 - 在隔离的网络中扫描挂载的 VM 卷 - 如果发生检测，则将备份标记为已感染 - 结果记录在 SureBackup 会话详情中 ### 手动执行（测试） ``` # 扫描所有已挂载的卷 .\Veeam-YARA-SecureRestore.ps1 # 快速扫描（仅限常见恶意软件位置） .\Veeam-YARA-SecureRestore.ps1 -QuickScan # 自定义 YARA 路径 .\Veeam-YARA-SecureRestore.ps1 -YaraPath "D:\Tools\yara64.exe" ` -YaraRulesPath "D:\Rules" ` -LogPath "D:\Logs" # 使用自定义 session ID（用于跟踪） .\Veeam-YARA-SecureRestore.ps1 -SessionId "Restore_PROD-DC01_20241223" ``` ## 输出示例 ### 控制台输出（感染检测） ``` [2024-12-23 14:32:54] [WARNING] ⚠️⚠️⚠️ ONION LINKS DETECTED - INFECTED FILES ⚠️⚠️⚠️ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ VM: PROD-DC01 Windows Path: C:\Users\Administrator\Documents\README_DECRYPT.txt Matched Rules: Ransomware_Onion_Link 🔴 Onion Links: http://darknetpay7x3k2.onion/recover | tor2doorabcdef123.onion Other Matches: Your files have been encrypted ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ VM: PROD-DC01 Windows Path: C:\ProgramData\recovery_instructions.html Matched Rules: Ransomware_Onion_Link 🔴 Onion Links: http://ransomleak5xyz.onion/payment ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ⚠️ ACTION REQUIRED: Review infected files before restoring! Full report: C:\ProgramData\Veeam\Logs\YARA-SecureRestore\results_Secure_Restore_20241223_143215.json ``` ### JSON 报告结构 **位置：** `C:\ProgramData\Veeam\Logs\YARA-SecureRestore\results_[JobID]_[Timestamp].json` ``` { "ScanTimestamp": "2024-12-23T14:32:54.1234567-05:00", "JobId": "Secure_Restore_20241223_143215", "TotalMatches": 4, "UniqueFiles": 3, "YaraVersion": "4.4.0", "Findings": [ { "VMName": "PROD-DC01", "WindowsPath": "C:\\Users\\Administrator\\Documents\\README_DECRYPT.txt", "MountedPath": "E:\\Users\\Administrator\\Documents\\README_DECRYPT.txt", "MatchedRules": "Ransomware_Onion_Link", "OnionLinks": "http://darknetpay7x3k2.onion/recover | tor2doorabcdef123.onion", "MatchedStrings": "http://darknetpay7x3k2.onion/recover | tor2doorabcdef123.onion | Your files have been encrypted", "RuleCount": 1 }, { "VMName": "PROD-DC01", "WindowsPath": "C:\\ProgramData\\recovery_instructions.html", "MountedPath": "E:\\ProgramData\\recovery_instructions.html", "MatchedRules": "Ransomware_Onion_Link", "OnionLinks": "http://ransomleak5xyz.onion/payment", "MatchedStrings": "http://ransomleak5xyz.onion/payment | Bitcoin payment required", "RuleCount": 1 } ] } ``` ### Veeam UI 集成 **Secure Restore 作业日志：** ``` Restore Job: PROD-DC01_Restore_20241223 Status: Failed ❌ Details: Pre-restore script exited with code 1 [View Script Output] → Shows full console output with onion links ``` **SureBackup 会话：** ``` SureBackup Job: Daily_Verification VM: PROD-DC01 ├─ Boot: Success ✓ ├─ Heartbeat: Success ✓ ├─ Ping: Success ✓ └─ YARA Onion Detection: Failed ❌ └─ 3 infected files detected └─ C:\Users\Administrator\Documents\README_DECRYPT.txt └─ C:\ProgramData\recovery_instructions.html └─ C:\Windows\Temp\shadow_backup.dat ``` ## 规则详情 ### 1. comprehensive_onion_detection ``` rule comprehensive_onion_detection { meta: description = "Detects Tor .onion links with ransomware context" author = "CG" severity = "HIGH" category = "TOR_RANSOMWARE" strings: $v2_onion = /[a-z2-7]{16}\.onion[\/\w.\-?=&]*/ $v3_onion = /[a-z2-7]{56}\.onion[\/\w.\-?=&]*/ $http_onion = /https?:\/\/[a-z2-7]{16,56}\.onion/ $tor_protocol = /tor:\/\/[a-z2-7]{16,56}\.onion/ $ransom1 = "ransom" ascii wide nocase $ransom2 = "encrypted" ascii wide nocase $ransom3 = "decrypt" ascii wide nocase $payment = "payment" ascii wide nocase $bitcoin = /(bitcoin|btc)/i $note1 = "READ" fullword ascii nocase $note2 = "HOW_TO" nocase $note3 = "DECRYPT" ascii wide nocase condition: 1 of ($v2_onion,$v3_onion,$http_onion,$tor_protocol) and filesize < 26214400 and ( any of ($ransom*) or $payment or $bitcoin or 2 of ($note*) ) } ``` **目的：** 将 .onion 地址与勒索相关关键字结合的上下文丰富的勒索软件检测。 **触发条件：** - v2/v3 .onion 地址（16 或 56 个字符） - HTTP(S) 和 tor:// 协议 - 勒索软件关键字："ransom"、"encrypted"、"decrypt"、"payment"、"bitcoin" - 勒索信指标："READ"、"HOW_TO"、"DECRYPT" ### 2. onion_links_simple ``` rule onion_links_simple { meta: description = "Detects any Tor .onion links (broad detection)" author = "CG" severity = "MEDIUM" category = "TOR_INDICATOR" strings: $onion2 = /[a-z2-7]{16}\.onion/ $onion3 = /[a-z2-7]{56}\.onion/ condition: any of them and filesize < 52428800 } ``` **目的：** 对任何 .onion 地址进行广泛的 IOC 扫描。 **触发条件：** - 任何 v2 或 v3 .onion 地址 - **警告：** 在隐私指南、Tor 文档或学术论文上可能会产生误报。 ### 3. ransomware_payment_portal ``` rule ransomware_payment_portal { meta: description = "Detects ransomware payment portals with onion links" author = "CG" severity = "CRITICAL" category = "RANSOMWARE_C2" strings: $onion = /[a-z2-7]{16,56}\.onion/ $pay1 = /\bpay\b/i $pay2 = "payment" nocase $pay3 = "bitcoin wallet" nocase $pay4 = /btc/i $pay5 = /bc1[qpzry9x8gf2tvdw0s3jn54khce6mua7l]{38,59}/ $dec1 = "decrypt" nocase $dec2 = "decryption key" nocase $dec3 = "unlock" nocase $urg1 = "deadline" nocase $urg2 = "hours" nocase $urg3 = "days left" nocase condition: filesize < 18612019 and $onion and ( 2 of ($pay*) or 2 of ($dec*) ) and any of ($urg*) } ``` **目的：** 识别带有紧急指标的勒索软件支付门户。 **触发条件：** - 存在 .onion 地址 - 付款/解密上下文（需要 2 个及以上匹配项） - 紧急指标（"deadline"、"hours"、"days left"） - 比特币地址（Bech32 格式） ### 4. tor_c2_configuration ``` rule tor_c2_configuration { meta: description = "Detects C2 configs with Tor hidden service endpoints" author = "CG" severity = "CRITICAL" category = "C2_COMMUNICATION" strings: $onion = /[a-z2-7]{16,56}\.onion/ $c2_1 = /c2[_-]?server/i $c2_2 = /command[_-]?server/i $c2_3 = /control[_-]?server/i $c2_4 = "callback" nocase $c2_5 = "beacon" nocase $c2_6 = "endpoint" nocase $cfg1 = /"url"\s*:/ $cfg2 = /"endpoint"\s*:/ $cfg3 = /"server"\s*:/ condition: filesize < 52428800 and $onion and any of ($c2_*) and any of ($cfg*) } ``` **目的：** 检测使用 Tor 隐藏服务的 C2 配置文件。 **触发条件：** - 存在 .onion 地址 - C2 相关关键字（"c2_server"、"callback"、"beacon" 等） - 配置文件指标（JSON 键模式） ## 兼容性 - **YARA 版本：** v4.4+（已通过 4.4.0 测试） - **Veeam 版本：** Backup & Replication v12.x / v13.x - **操作系统：** Windows Server 2016+（适用于 PowerShell 扫描器） - **PowerShell：** v5.1+（对于 Linux 挂载服务器上的 Veeam v13，需要 v7+） - **Mount Servers：** 基于 Windows 的挂载服务器或 SureBackup 代理 **注意：** 在 YARA 规则中使用 `//` 的注释在某些 Veeam 上下文中可能会导致错误 - 如果出现问题，请使用 `/* */` 样式。 ## 部署指南 ### 快速入门（15 分钟） ``` # 1. 安装 YARA # 从 https://github.com/VirusTotal/yara/releases 下载 # 解压到 C:\Program Files\YARA\ # 2. 创建目录 New-Item -ItemType Directory -Path "C:\ProgramData\YARA\Rules" -Force New-Item -ItemType Directory -Path "C:\Scripts" -Force New-Item -ItemType Directory -Path "C:\ProgramData\Veeam\Logs\YARA-SecureRestore" -Force # 3. 下载文件 $baseUrl = "https://raw.githubusercontent.com/lostSail0r/Veeam-Yara-Detection-Onion-/main" Invoke-WebRequest -Uri "$baseUrl/yara-malware-detection.yara" ` -OutFile "C:\ProgramData\YARA\Rules\yara-malware-detection.yara" Invoke-WebRequest -Uri "$baseUrl/Veeam-YARA-SecureRestore.ps1" ` -OutFile "C:\Scripts\Veeam-YARA-SecureRestore.ps1" # 4. 测试安装 & "C:\Program Files\YARA\yara64.exe" --version & "C:\Scripts\Veeam-YARA-SecureRestore.ps1" -WhatIf # 5. 在 Veeam 中配置（参见上方的部署选项） ``` ### 安全加固 ``` # 将脚本执行限制为 Veeam 服务账户 $acl = Get-Acl "C:\Scripts\Veeam-YARA-SecureRestore.ps1" $acl.SetAccessRuleProtection($true, $false) $acl.Access | ForEach-Object { $acl.RemoveAccessRule($_) } # 添加 Veeam 服务账户（调整用户名） $rule = New-Object System.Security.AccessControl.FileSystemAccessRule( "DOMAIN\VeeamService", "ReadAndExecute", "Allow" ) $acl.SetAccessRule($rule) Set-Acl "C:\Scripts\Veeam-YARA-SecureRestore.ps1" $acl ``` ## 反馈与建议 ### 为什么使用此工具？ - **零日勒索软件检测** - 通过 IoC 模式（洋葱链接）而不是特征码捕获新变种 - **防止再次感染** - 在受感染的备份进入生产环境之前阻止其恢复 - **自动化验证** - 与现有的 Veeam 工作流集成（无需手动扫描） - **取证证据** - JSON 报告为 IR 团队提供确切的文件路径和洋葱链接 - **性价比高** - 除了 Veeam VDP Advanced 之外无需额外的许可 ### 已实施的改进 #### 1. 文件大小语法一致性 将 MB 后缀替换为明确的字节值，以实现通用的 YARA 兼容性： - 25 MB = 26214400 字节 - 50 MB = 52428800 字节 - 17.75 MB = 18612019 字节（为性能进行了优化） #### 2. 性能优化 - 将文件大小检查移至条件的开头，以实现更快的短路求值 - 快速扫描模式针对常见的勒索软件位置： - `Users\*\Documents` - `Users\*\Desktop` - `Users\*\Downloads` - `Users\*\AppData\Local\Temp` - `Windows\Temp` - `ProgramData` #### 3. 增强的字符串提取 - PowerShell 解析器提取实际的 .onion URL（不仅仅是检测） - 支持 v2（16 个字符）和 v3（56 个字符）洋葱地址 - 处理 HTTP(S) 和 tor:// 协议 ### 附加建议 #### 比特币地址增强 添加传统的比特币地址格式以进行更广泛的加密货币检测： ``` $btc_legacy = /\b[13][a-km-zA-HJ-NP-Z1-9]{25,34}\b/ $btc_segwit = /\bbc1[qpzry9x8gf2tvdw0s3jn54khce6mua7l]{38,87}\b/ ``` #### Monero (XMR) 地址 许多勒索软件团伙现在更喜欢 Monero 以实现匿名性： ``` $xmr_addr = /\b4[0-9AB][1-9A-HJ-NP-Za-km-z]{93}\b/ ``` #### SIEM 集成 将 JSON 报告提取到您的 SIEM 中以进行集中监控： ``` $jsonContent = Get-Content "C:\ProgramData\Veeam\Logs\YARA-SecureRestore\results_*.json" | ConvertFrom-Json Invoke-RestMethod -Uri "https://splunk.company.com:8088/services/collector" ` -Method Post ` -Headers @{"Authorization"="Splunk YOUR_HEC_TOKEN"} ` -Body ($jsonContent | ConvertTo-Json -Depth 10) ``` ## 测试建议 ### 误报测试 针对以下内容运行： - Tor 项目文档 - 注重隐私的网站（EFF、PrivacyGuides） - 关于匿名网络的学术论文 - 讨论 Tor/暗网的安全博客 ### 真阳性验证 针对以下内容测试： - 来自 [MalwareBazaar](https://bazaar.abuse.ch/) 的已知勒索软件样本 - 勒索信模板（Conti、LockBit、BlackCat、REvil、ALPHV） - 来自公开恶意软件分析报告的 C2 配置文件 #### 创建合成测试文件 ``` # 测试包含 onion link 和 ransomware 上下文的文件 @" Your files have been encrypted! To decrypt your data, visit our payment portal: http://darknetpay7x3k2.onion/recover Bitcoin wallet: bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh Deadline: 48 hours "@ | Out-File "C:\Test\README_DECRYPT.txt" # 运行扫描器 .\Veeam-YARA-SecureRestore.ps1 -QuickScan ``` ### 性能基准测试 ``` # 测量扫描时间 Measure-Command { .\Veeam-YARA-SecureRestore.ps1 -QuickScan } # 分析 YARA 性能 & "C:\Program Files\YARA\yara64.exe" -p -r -s ` "C:\ProgramData\YARA\Rules\yara-malware-detection.yara" ` "E:\" ``` ## 故障排除 ### 常见问题 #### 1. "在 C:\Program Files\YARA\yara64.exe 未找到 YARA" ``` # 验证 YARA 安装 Test-Path "C:\Program Files\YARA\yara64.exe" # 如果为 false，请从 https://github.com/VirusTotal/yara/releases 重新安装 ``` #### 2. "在 C:\ProgramData\YARA\Rules 中未找到 YARA 规则" ``` # 验证规则文件是否存在 Get-ChildItem "C:\ProgramData\YARA\Rules" -Filter "*.yar*" # 如果缺失，请重新下载 Invoke-WebRequest -Uri "https://raw.githubusercontent.com/lostSail0r/Veeam-Yara-Detection-Onion-/main/yara-malware-detection.yara" ` -OutFile "C:\ProgramData\YARA\Rules\yara-malware-detection.yara" ``` #### 3. "未找到已挂载的 Windows 卷" ``` # 验证 VM 是否已通过 Instant Recovery/SureBackup 挂载 Get-Volume | Where-Object { $_.DriveLetter -and $_.FileSystemType -in @('NTFS','ReFS') } # 检查已挂载的卷上是否存在 Windows 目录 Get-Volume | ForEach-Object { Test-Path "$($_.DriveLetter):\Windows" } ``` #### 4. 脚本在 SureBackup 中超时 ``` # 使用 QuickScan 模式以减少扫描时间 -QuickScan # 或者在 SureBackup 作业设置中增加 timeout： # Application Group → Test Script → Timeout: 7200（2小时） ``` ## 免责声明 这些规则和脚本按“原样”提供，仅用于教育、研究和防御性安全目的。在生产环境中部署之前，请务必在安全、受控的环境中进行测试。 **作者不对以下情况负责：** - 影响业务运营的误报/漏报 - 对 Veeam 基础架构造成的性能影响 - 因滥用这些工具而造成的任何误用或损害 **建议：** 在生产部署之前，请在具有已知勒索软件样本的实验室环境中进行彻底的测试。 ## 贡献 欢迎贡献！提交： - 针对新兴勒索软件家族的新 YARA 规则 - 针对 PowerShell 扫描器的性能优化 - 集成示例（SIEM、工单系统等） - 包含已脱敏日志的错误报告 ## 元数据 - **作者：** CG [[@cgfixit]](https://linktr.ee/cgrady92) - **类别：** 勒索软件检测、Tor/Onion IOC、C2 检测 - **许可：** MIT - **最后更新：** 2025 年 12 月 23 日 ## 快速链接 - [YARA 文档](https://yara.readthedocs.io/) - [Veeam Secure Restore 指南](https://helpcenter.veeam.com/docs/vbr/userguide/malware_detection_scan_backup_yara.html) - [GitHub 仓库](https://github.com/lostSail0r/Veeam-Yara-Detection-Onion-) - [报告问题](https://github.com/lostSail0r/Veeam-Yara-Detection-Onion-/issues)

标签：AI合规, DNS信息、DNS暴力破解, IPv6, Libemu, PowerShell, Veeam, YARA规则, 勒索软件