pablo727/yara_rules

GitHub: pablo727/yara_rules

一套面向威胁狩猎与事件响应场景的自定义 YARA 恶意软件检测规则，目前聚焦 Cerber 勒索软件的多指标高置信度识别。

Stars: 0 | Forks: 0

# YARA 规则 ![YARA](https://img.shields.io/badge/YARA-4.5-blue?style=flat&logo=virustotal&logoColor=white) ![License](https://img.shields.io/badge/License-MIT-green.svg) ![Status](https://img.shields.io/badge/Status-Active-brightgreen) 用于威胁狩猎、事件响应和 DFIR 的自定义恶意软件检测规则。 ## 📋 规则 | 规则 | 类型 | 目标 | 版本 | |------|------|--------|---------| | [MAL_RANSOM_Cerber.yar](MAL_RANSOM_Cerber.yar) | 勒索软件 | Cerber 加密器二进制文件 | 1.0 | ## 🔍 MAL_RANSOM_Cerber 通过以下关联特征检测 Cerber 勒索软件加密器二进制文件： - **勒索指标：** 勒索信、加密文件扩展名 - **持久化机制：** 注册表 Run 键、AutoRun - **C2 基础设施：** 硬编码的 IP 地址和网段 - **恶意软件特征：** 互斥体（Mutex）、C2 标签、加密器标记 **检测逻辑：** - **路径 1：** 勒索指标 + 技术确认 - **路径 2：** 多个 C2 指标 + 持久化机制 **参考：** - [VirusTotal 样本](https://www.virustotal.com/gui/file/c5b70adfa23ae3802e8b51560c64635911869b412cc1e8c1f6e1904334c0abe9/detection) ## 🧪 用法 ``` # 扫描单个文件 yara MAL_RANSOM_Cerber.yar suspicious_file.exe # 递归扫描目录 yara -s -r MAL_RANSOM_Cerber.yar /path/to/samples/ # 验证语法 yara MAL_RANSOM_Cerber.yar /dev/null --- 📄 License MIT © 2026 Pablo ```

标签：C2基础设施, Cerber, DAST, DNS 反向解析, MIT许可, YARA, 云安全监控, 云资产可视化, 勒索软件, 威胁情报, 库, 应急响应, 开发者工具, 恶意软件分析, 持久化机制, 数字取证与应急响应, 文件加密, 注册表启动项, 终端安全, 网络信息收集, 网络安全, 网页爬虫, 自定义DNS解析器, 隐私保护, 静态分析