openprx/prx-sd-signatures

# PRX-SD 签名 用于 [PRX-SD](https://github.com/openprx/prx-sd) antivirus engine 的开源威胁情报数据库。 本仓库汇集了来自多个免费开源威胁情报源的恶意软件签名、YARA 检测规则和 IOC 黑名单。它通过 GitHub Actions 每 6 小时自动更新一次。 ## 快速开始 ``` # Clone repository git clone https://github.com/openprx/prx-sd-signatures.git # Sync all sources (downloads latest signatures) cd prx-sd-signatures ./sync.sh # Use with PRX-SD engine sd import prx-sd-signatures/hashes/sha256/malwarebazaar.txt sd scan /path/to/file ``` ## 目录结构 ``` prx-sd-signatures/ ├── hashes/ # Hash-based signatures │ ├── sha256/ # SHA-256 blocklists (one per source) │ └── md5/ # MD5 blocklists (VirusShare, --full mode) │ ├── yara/ # YARA detection rules (38,800+ rules) │ ├── builtin/ # PRX-SD curated rules (MIT licensed) │ ├── signature-base/ # Neo23x0 APT/crime rules │ ├── yara-rules/ # Community rules │ ├── reversinglabs/ # Commercial-grade open-source rules │ ├── elastic/ # Endpoint protection rules │ ├── icewater/ # Archived large rule set │ ├── gcti/ # Google threat intelligence │ ├── eset/ # APT tracking rules │ └── inquest/ # Document malware rules │ ├── ioc/ # Indicators of Compromise │ ├── ip-blocklist.txt # 585K+ malicious IPs (FireHOL + IPsum) │ ├── domain-blocklist.txt # Malicious domains (SANS + abuse.ch) │ └── url-blocklist.txt # Malicious URLs (URLhaus + ET) │ ├── clamav/ # ClamAV signature databases (.cvd) ├── feeds/ # Raw threat intelligence feeds ├── sync.sh # Main synchronization script └── sync.conf # Source configuration ``` ## 来源 ### 哈希签名 | 来源 | 类型 | 更新频率 | 许可证 | |--------|------|-----------------|---------| | abuse.ch MalwareBazaar | SHA-256 | 每 5 分钟 | 免费 | | abuse.ch URLhaus | SHA-256 | 每小时 | 免费 | | abuse.ch Feodo Tracker | SHA-256 | 每 5 分钟 | 免费 | | abuse.ch ThreatFox | SHA-256 | 持续更新 | 免费 | | abuse.ch SSL Blacklist | SHA-1 | 每 5 分钟 | 免费 | | VirusShare | MD5 | 定期 | 免费 | ### YARA 规则 | 来源 | 规则数 | 许可证 | 状态 | |--------|-------|---------|--------| | PRX-SD 内置 | 64 | MIT | 活跃 | | Icewater | 16,432 | 免费 | 已归档 | | Neo23x0/signature-base | ~500 | CC-BY-NC | 活跃 | | Yara-Rules/rules | ~300 | GPL-2.0 | 活跃 | | Elastic protections | ~200 | Elastic 许可证 | 活跃 | | ReversingLabs | ~100 | MIT | 活跃 | | Google GCTI | ~100 | Apache-2.0 | 已归档 | | ESET IOC | ~50 | BSD | 活跃 | | InQuest | ~20 | GPL | 活跃 | ### IOC 源 | 来源 | 类型 | 内容 | 许可证 | |--------|------|---------|---------| | IPsum (聚合) | IP | 58.5万+ IP | 免费 | | FireHOL level1 | IP | 聚合自 400+ 个源 | 免费 | | Emerging Threats | IP | 基于 IDS 规则 | 免费 | | SANS ISC | 域名 | 每日可疑域名 | 免费 | | URLhaus | URL | 恶意 URL 载荷 | 免费 | ### ClamAV | 来源 | 签名数 | 许可证 | |--------|-----------|---------| | ClamAV 官方数据库 | 1100万+ | GPL-2.0 | ## 哈希文件格式 所有哈希黑名单均使用统一的文本格式： ``` # Source: abuse.ch MalwareBazaar # Updated: 2026-03-17T15:12:07Z # Count: 550 275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f EICAR.Test.File ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa Ransom.WannaCry ``` 格式：` `（每行一个）。以 `#` 开头的行是注释。 ## 同步命令 ``` # Sync all sources ./sync.sh # Sync specific category ./sync.sh --category hashes ./sync.sh --category yara ./sync.sh --category clamav ./sync.sh --category ioc # Show statistics ./sync.sh --stats ``` ## 配置 编辑 `sync.conf` 以启用/禁用各个来源： ``` # Example: disable VirusShare (very large) VIRUSSHARE_ENABLED=false # Example: enable ClamAV sync CLAMAV_ENABLED=true ``` ## 自动更新 GitHub Actions 每 6 小时运行一次 `sync.sh` 以保持签名最新。 手动触发：**Actions** 标签页 > **Sync Signatures** > **Run workflow**。 ## 配合 PRX-SD 使用 ### 导入哈希签名 ``` sd import prx-sd-signatures/hashes/sha256/malwarebazaar.txt sd import prx-sd-signatures/hashes/sha256/builtin.txt ``` ### 导入 ClamAV 数据库 ``` sd import-clamav prx-sd-signatures/clamav/main.cvd prx-sd-signatures/clamav/daily.cvd ``` ### 用作数据目录 ``` sd --data-dir ./prx-sd-signatures scan /path/to/file ``` ### 通过 sd CLI 更新 ``` sd update ``` ## 贡献签名 ### YARA 规则 1. 将新规则放在 `yara/builtin/` 中（用于 PRX-SD 精选规则） 2. 遵循标准 YARA 规则格式 3. 包含元数据：`author`、`description`、`date`、`reference` 4. 提交前使用 `yara` 或 `yr` CLI 进行测试 ### 哈希黑名单 1. 使用统一格式：` ` 2. 放置在相应的 `hashes/sha256/` 或 `hashes/md5/` 目录中 3. 在顶部包含来源和日期注释 ## 许可证 各来源均保留其原始许可证。详情请参阅各个目录。 PRX-SD 内置规则（`yara/builtin/`）根据 MIT 许可证授权。 ## 链接 - [PRX-SD 引擎](https://github.com/openprx/prx-sd) — Antivirus 引擎 - [OpenPRX](https://openprx.dev) — 项目主页

标签：APT 检测, ClamAV, Cutter, DAST, ESC4, Github Actions, IOC 失陷指标, IP 黑名单, OSINT, PRX-SD, URL 黑名单, Web 安全测试, YARA 规则, 哈希签名, 域名黑名单, 威胁情报, 开发者工具, 恶意软件分析, 沙箱, 签名库, 网络安全, 防病毒引擎, 隐私保护