hexmortem/detection-rules

# Hexmortem 检测规则 由 Hexmortem Labs 分析并提供维护的 YARA 和 Sigma 规则，涵盖恶意软件家族、漏洞利用行为以及事件取证痕迹。 ## 范围 - **包含内容：** 与 hexmortem.com/research/ 上已发布的分析报告和 CVE 简报相关的规则。每条规则都包含一个参考 URL，指向其原始分析报告。 - **不包含内容：** 临时的 IOC（失陷标示）数据、从第三方信息源提取的通用恶意软件家族规则，以及缺乏出处的规则。 ## 质量标准 - 每条规则都包含元数据：作者、日期、版本、参考 URL、样本哈希值和许可证。拒绝匿名规则。 - 每条规则都会注明其来源的分析报告或简报。 - 当良性软件与恶意模式相似时，会包含误报说明。 ## 目录布局 - `yara/` — YARA 规则（已针对 `yara` >= 4.5 验证） - `sigma/` — Sigma 规则（已针对 `sigma-cli` >= 1.0 验证） ## 报告误报 请提交一个 GitHub issue 并包含以下信息：规则名称、良性样本/进程、匹配条件以及环境上下文。我们会在 1 个工作周内回复。 ## 内容审核策略 欢迎通过 PR 进行外部贡献，但我们将根据上述质量标准进行评估。我们严格审核，而非简单聚合——每条规则都必须基于严密的防御分析，而非主观推测。 ## 许可证 Apache-2.0。可自由用于商业和非商业检测工具，包括 MDR/MSSP 集成。请注明出处。 ## 关于 Hexmortem Labs 是一家专注于痕迹优先调查的专业网络安全实验室。https://hexmortem.com/

标签：AMSI绕过, CVE, DNS信息、DNS暴力破解, DNS 反向解析, Go语言工具, Hexmortem Labs, IP 地址批量处理, MDR, MSSP, PB级数据处理, Reconnaissance, Sigma规则, YARA, YARA规则, 云资产可视化, 威胁检测, 安全运维, 工件分析, 库, 应急响应, 恶意软件家族, 数字取证, 数字签名, 数据展示, 狩猎, 目标导入, 端点检测, 紫队, 红队, 网络信息收集, 网络安全, 自动化脚本, 自定义DNS解析器, 误报管理, 隐私保护