BlueTeamCoolTeam/detections

GitHub: BlueTeamCoolTeam/detections

一个基于真实恶意软件分析的开源防御性检测规则集合,提供可追溯的 YARA、Sigma 规则和 IOC 指标,帮助安全团队快速部署检测能力。

Stars: 0 | Forks: 0

# blueteamcoolteam/detections 来自真实恶意软件分析的 Sigma 规则、YARA 规则、IOC 和检测笔记。 每个工件都可以追溯到以下公开文章: [blueteam.cool](https://blueteam.cool)。 ## 这是什么 此仓库包含源自由 [Luke Wilkinson](https://blueteam.cool/about/) 发布在 [blueteam.cool](https://blueteam.cool) 上的恶意软件分析的防御性检测工件。这里的每条规则、IOC 列表和查询都可以追溯到对真实样本的已发布分析。 其目的是为防御者提供一些可以从博客中带走的实质性内容:不仅仅是解释攻击是如何运作的,还有他们可以实际部署或改编的规则和指标。 ## 它与 blueteam.cool 的关系 每个 `campaigns/` 文件夹都对应一篇博客文章。博客解释了分析过程。此仓库提供了相关的工件。 链接是双向的:每个活动(campaign)文件夹都链接到其源文章,而源文章也链接回此文件夹。 ## 如何使用这些检测 **YARA** 与任何兼容 YARA 的扫描程序(yara-python、ClamAV、支持 YARA 的 EDR 等)配合使用。每条规则的 `meta.reference` 字段都指向解释该检测逻辑的博客文章。 ``` yara -r campaigns/finger-lolbin-ironpython/rule.yar /path/to/scan ``` **Sigma** 规则针对 Sysmon 和 Windows Security 事件日志。使用 [sigma-cli](https://github.com/SigmaHQ/sigma-cli) 或 [pySigma](https://github.com/SigmaHQ/pySigma) 转换为你所使用的 SIEM 的查询语言。 ``` sigma convert -t splunk campaigns/finger-lolbin-ironpython/sigma-finger-exe.yml ``` 除非另有说明,所有规则均带有 `status: experimental`。在生产环境中部署前请先进行测试。 **IOC CSV** 导入你的威胁情报平台,或用于构建黑名单。叙述性文本中的网络 IOC 已进行无害化处理(例如 `example[.]com`);而 YARA 规则字符串保持原始格式,以便匹配真实内容。 CSV 表头:`type,value,notes,confidence,post_slug` **KQL / SPL / Devo** 在可用的情况下,特定平台的查询位于每个活动文件夹中的 `kql.md`、`spl.md` 和 `devo.md` 文件内。除非另有说明,否则标记为未经验证可用于生产环境。 ## 置信度级别 | 级别 | 含义 | |---|---| | `high` | 直接观察到的、唯一的工件,在正常企业环境中误报率几乎为零。 | | `medium-high` | 强烈的行为指标,误报有限但仍有可能。请先在你的环境中进行验证。 | | `medium` | 信号有用,但需要进行环境调优,或源自不完整的分析(例如 Pyarmor 加密模块的内部结构)。 | | `research-only` | 尚未达到生产就绪状态。存在部分可见性缺失、运行时加密组件,或未经验证的检测逻辑。 | ## 活动 | 文件夹 | 博客文章 | 摘要 | 置信度 | |---|---|---|---| | [finger-lolbin-ironpython](campaigns/finger-lolbin-ironpython/) | [七层混淆,一个来自 1970 年代的 LOLBIN](https://blueteam.cool/posts/finger-lolbin-ironpython/) | ClickFix 活动:finger.exe LOLBIN + IronPython 交付进程内 x86 shellcode beacon | High | ## 免责声明 此仓库中的检测工件仅供防御使用。在部署之前,请在非生产环境中测试规则。完整条款请参见 [DISCLAIMER.md](DISCLAIMER.md)。 ## 许可证 [MIT](LICENSE) -- 可自由用于防御目的。欢迎署名,但非强制要求。 *作者 [Luke Wilkinson](https://blueteam.cool/about/) -- [@btcoolteam](https://twitter.com/btcoolteam)*
标签:AMSI绕过, DAST, IOC, YARA, 云资产可视化, 威胁检测, 恶意软件分析, 逆向工具