aya-security-consulting/Yara-Rule

# YARA 规则库 一个精选的 **YARA 检测规则**库，旨在支持**恶意软件分析、威胁狩猎、文件分类、事件响应和取证调查**。 ## 概述 该存储库汇集了 YARA 规则，旨在帮助防御者识别端点、服务器、存储系统、恶意软件沙箱和取证集合中的恶意文件、可疑痕迹、恶意软件家族、攻击性工具和异常文件模式。 目标是提供一个结构化且可重用的检测库，可在恶意软件分类、DFIR 调查、回溯狩猎和验证活动中加以利用。 ## 内容说明 该存储库包含涵盖各种防御用例的 YARA 规则，包括： - 恶意软件家族识别 - Webshell 检测 - 攻击性工具检测 - 加壳和混淆文件狩猎 - 可疑脚本检测 - 文档型威胁检测 - 勒索软件相关痕迹 - 凭证窃取工具 - 持久化相关文件 - 威胁组织工具模式 - 通用可疑指标 - 沙箱和验证规则 ## 目的 该项目的目标是使 YARA 内容更容易访问、审查、维护和运营。 每条规则都旨在帮助安全团队： - 检测恶意或可疑文件 - 支持恶意软件分类 - 加速取证分析 - 提升回溯狩猎能力 - 丰富检测工程实践 - 验证基于文件的监控覆盖范围 ## 目标受众 该存储库适用于： - SOC 分析师 - 威胁猎人 - DFIR 分析师 - 事件响应人员 - 恶意软件分析师 - 检测工程师 - 蓝队实践者 ## 存储库结构 内容可按恶意软件家族、文件类型、用例或检测目标进行组织。 示例结构： ``` yara_rules/ ├── Malware/ ├── Webshells/ ├── Ransomware/ ├── Loaders/ ├── Credential_Access/ ├── Scripts/ ├── Documents/ ├── Packers_Obfuscation/ ├── Offensive_Tools/ ├── Persistence/ ├── Generic_Suspicious/ ├── Threat_Actor_Tools/ ├── Sandbox_Validation/ └── Deprecated/ ```

标签：CIDR输入, DAST, Webshell检测, YARA, 云资产可视化, 云资产清单, 加载器检测, 勒索软件检测, 后门检测, 威胁情报, 安全运营, 开发者工具, 恶意脚本检测, 恶意软件分析, 恶意软件家族识别, 扫描框架, 持久化检测, 数字取证, 文件分析, 文件分类, 沙箱检测, 混淆文件检测, 渗透测试工具检测, 终端检测, 自动化脚本, 自定义DNS解析器, 逆向工程