mr-dinesh/yaraweave
GitHub: mr-dinesh/yaraweave
一个单文件浏览器工具,将威胁情报与LLM结合以自动化生成并解释生产级YARA规则。
Stars: 0 | Forks: 0
# YaraWeave
一个单文件浏览器工具,用于查询开源威胁情报源并使用 LLM 生成生产级别的 YARA 检测规则——为每个条件提供面向 SOC 分析师的解释。
无需服务器。无需安装。打开 HTML 文件即可使用。
## 功能
1. **输入** — 输入 SHA256 哈希值或恶意软件家族名称(例如 `Emotet`、`QakBot`)
2. **查询** — 并行查询最多 5 个威胁情报源
3. **生成** — LLM 从聚合的情报中综合生成 YARA 规则
4. **解释** — 第二次 LLM 遍历生成可直接部署的分析:威胁上下文、规则逻辑理由、字符串注解、部署位置以及置信度评级
## 威胁情报源
| 来源 | 类型 | API 密钥 |
|---|---|---|
| MalwareBazaar (abuse.ch) | 恶意软件样本数据库 | 无 |
| URLhaus (abuse.ch) | 恶意软件分发 URL | 无 |
| ThreatFox (abuse.ch) | IOC 数据库 | 无 |
| VirusTotal | 多引擎 AV 与元数据 | 免费(可选) |
| OTX AlienVault | 开放威胁交换脉冲 | 免费(可选) |
MalwareBazaar、URLhaus 和 ThreatFox 完全免费,无需密钥。VirusTotal 和 OTX 均提供免费的 API 密钥以解锁更丰富的元数据。
## 快速开始
### 1. 获取 API 密钥
**Groq(推荐 —— 免费、快速、可靠)**
访问 [console.groq.com](https://console.groq.com),登录并创建免费 API 密钥。无需信用卡。
**Gemini(备选)**
访问 [aistudio.google.com](https://aistudio.google.com),登录并创建免费 API 密钥。
### 2. 打开工具
```
# 只需在任何浏览器中打开即可 - 无需服务器
open yaraweave.html
# or
xdg-open yaraweave.html
```
### 3. 配置
点击右上角 **⚙ 配置**,选择你的提供商并粘贴 API 密钥。密钥存储在 `localStorage` 中 —— 永不硬编码,也绝不会发送到任何地方,除非直接转发到相应的 API。
可选地添加 VirusTotal 和 OTX 密钥以获取更丰富的情报上下文。
### 4. 运行首个查询
尝试使用 `Emotet` 的 **恶意软件家族** 模式 —— 仅使用免费源即可运行,无需密钥。点击 **编织 YARA 规则**。
## 输出
每次分析会生成三个面板:
**威胁情报** — 源命中/未命中状态、家族名称、文件类型、检测率、首次出现日期、OTX 脉冲计数、标签
**生成的 YARA 规则** — 语法高亮、可复制的规则,包含:
- 以 `detect_` 为前缀的描述性名称
- 丰富的元数据块(描述、日期、哈希、严重性、TLP)
- 基于已知恶意软件行为推导出的有意义字符串模式
- 加权条件(而非简单的“全部命中”)
**规则解释** — 分为五个部分的结构化说明:
- `THREAT_CONTEXT` — 该恶意软件在实际操作中的行为
- `RULE_LOGIC` — 条件如何降低误报
- `STRING_RATIONALE` — 每个字符串模式的注解
- `DEPLOYMENT_NOTES` — 部署位置(EDR、网络、沙箱)以及规避风险
- `CONFIDENCE` — 低 / 中 / 高 及其理由
## API 密钥
| 密钥 | 获取位置 | 成本 |
|---|---|---|
| Groq | [console.groq.com](https://console.groq.com) | 免费,无需信用卡 |
| Gemini | [aistudio.google.com](https://aistudio.google.com) | 免费 |
| VirusTotal | [virustotal.com](https://www.virustotal.com) | 免费(每分钟 4 次请求,每日 500 次) |
| OTX AlienVault | [otx.alienvault.com](https://otx.alienvault.com) | 免费,无限制 |
所有密钥仅存储在浏览器的 `localStorage` 中。它们直接从浏览器传递到各个 API —— 此工具无后端服务。
## LLM 提供商
在 **⚙ 配置 → 提供商** 中选择:
**Groq**(默认)
- 模型:`llama-3.3-70b-versatile`(默认)
- 快速推理,免费层级,无需信用卡
**Gemini**
- `gemini-1.5-flash`(快速,免费)
- `gemini-1.5-pro`(功能更强,提供免费层级)
- `gemini-2.0-flash-exp`(最新,提供免费层级)
## 限制
- YARA 规则由 AI 生成,部署前必须人工审核
- 免费 VirusTotal API 有速率限制(每分钟 4 次查询)
- CORS:MalwareBazaar、URLhaus 和 ThreatFox 支持浏览器直接请求。VirusTotal 和 OTX 在某些浏览器环境中可能需要 CORS 代理
- SHA256 查询在至少一个选定来源已知该哈希时效果最佳
## 所属系列
这是 Vibecoding 系列的一部分。
该系列致力于将安全从业者的经验转化为可演示的工件。核心理念:**做、创造、发布** —— 而非空谈 AI 在安全中的应用。
该系列的其他项目:[mrdee.in](https://mrdee.in)
标签:Ask搜索, DAST, Gemini, LLM, MalwareBazaar, OTX, SEO: YARA生成器, SEO: 威胁情报工具, SEO: 浏览器安全工具, SHA256查询, SOC分析, ThreatFox, Unmanaged PE, URLhaus, VirusTotal, YARA规则生成, 单文件应用, 后端开发, 多模态安全, 威胁情报, 家族名查询, 并行查询, 开发者工具, 恶意软件分析, 数据可视化, 无服务器, 无需安装, 条件解释, 检测规则, 浏览器工具, 生产级规则, 离线工具, 网络资产发现, 置信度评估, 部署分析