7Bharanidaran/YARA-Rules-Lab

# YARA 规则实验室 用于恶意软件检测、威胁狩猎和检测工程的自定义 YARA 规则。 ## 概述 YARA 规则实验室是一系列自定义 YARA 规则的集合，旨在识别在恶意软件分析和威胁狩猎活动中常遇到的可疑模式和恶意制品。 该仓库展示了使用 YARA 检测与恶意 PowerShell 活动、下载器、编码 payload、Web Shell、勒索软件及其他对手技术相关指标的实战应用。它作为检测工程和蓝队行动不断增长的知识库。 ## 目标 * 开发可重用的 YARA 规则。 * 理解 YARA 语法和规则结构。 * 检测可疑模式和恶意制品。 * 探索恶意软件分析技术。 * 培养实用的威胁狩猎技能。 * 支持检测工程和事件响应活动。 ## 环境 | 组件 | 详细信息 | | ---------------- | ------------------------------------ | | 操作系统 | Kali Linux | | YARA 版本 | 4.5.5 | | 用途 | 恶意软件检测和威胁狩猎 | ## 仓库结构 ``` YARA-Rules-Lab │ ├── docs/ │ ├── rules/ │ ├── powershell.yar │ ├── downloader.yar │ ├── base64_detection.yar │ ├── webshell.yar │ └── ransomware.yar │ ├── samples/ │ ├── benign.txt │ └── malicious.txt │ ├── screenshots/ │ └── README.md ``` ## 已实现的规则 ### 可疑 PowerShell 检测 检测在恶意脚本中经常观察到的可疑 PowerShell 命令。 #### 指标 * Invoke-Expression * DownloadString #### 示例 ``` rule Suspicious_PowerShell { meta: description = "Detect suspicious PowerShell commands" severity = "medium" category = "PowerShell" strings: $a = "Invoke-Expression" $b = "DownloadString" condition: all of them } ``` ## 用法 运行以下命令来扫描文件： ``` yara rules/powershell.yar samples/malicious.txt ``` ### 预期输出 ``` Suspicious_PowerShell samples/malicious.txt ``` ## 应用场景 本仓库中展示的技术可应用于： * 恶意软件分析 * 威胁狩猎 * 检测工程 * 事件响应 * 安全运营中心 (SOC) 运营 * 数字取证 * 文件分类 ## 计划中的规则类别 本仓库将继续扩展，涵盖以下额外的规则集： * 下载器检测 * Base64 编码 Payload 检测 * Web Shell 检测 * PE Module 规则 * 勒索软件检测 * Office 文档恶意软件 * 凭据窃取指标 * Living-Off-the-Land Binaries (LOLBins) * 持久化机制 * 内存扫描 * Python 与 YARA 集成 * 高级威胁狩猎规则 ## 展示的技能 * YARA 规则开发 * 恶意软件分析 * 威胁狩猎 * 检测工程 * 蓝队运营 * 事件响应 * 网络安全文档编写 ## 参考 * YARA 文档 https://virustotal.github.io/yara/ * YARA GitHub 仓库 https://github.com/VirusTotal/yara 本仓库仅供教育和研究目的使用。其中包含的规则和示例文件旨在演示 YARA 功能，使用时应负责任，并遵守适用的法律法规和组织政策。

标签：AMSI绕过, DAST, DNS 反向解析, YARA, 云资产可视化, 威胁检测, 安全, 恶意软件分析, 管理员页面发现, 网络信息收集, 自定义DNS解析器, 超时处理