Praveen050-tech/ApexPlanet-Cybersecurity-Task5
GitHub: Praveen050-tech/ApexPlanet-Cybersecurity-Task5
该项目记录了恶意二进制样本的IoC哈希提取与YARA签名检测规则构建流程,用于演示端点威胁发现与防御告警的工程化实践。
Stars: 0 | Forks: 0
# ApexPlanet 网络安全实习 — 任务 5:网络威胁情报记录本
## 🔬 1. 攻击指标 (IoC) 生成
* **分析的威胁资产:** `malicious_sample.exe`
* **提取的哈希签名 (SHA-256):** 通过 `sha256sum` 生成,以建立静态跟踪基础设施指标。
* **技术目的:** 创建不可变的加密标识符,使全球安全运营中心 (SOC) 能够跨网段即时拦截或隔离相同的恶意二进制文件。
## ✍️ 2. 结构化 YARA 签名规则
* **实现的规则逻辑:** `apex_backdoor_detector.yar`
* **检测标准:** 匹配未加密的原始二进制 payload 层中的文本字符串序列变量。
* **规则语法布局:**
* `meta`:跟踪情报上下文数据(作者、日期、规则意图)。
* `strings`:声明要查找的特定唯一字符 payload 序列。
* `condition`:定义触发告警所需的布尔阈值。
## 🛡️ 3. 主动威胁缓解扫描
* **执行命令:** `yara apex_backdoor_detector.yar ./`
* **操作结果:** 成功在环境 pipeline 中标记出 `malicious_sample.exe`,且未产生误报,验证了终端检测能力。
标签:DAST, DNS 反向解析, YARA, 云资产可视化, 入侵指标, 威胁情报, 应用安全, 开发者工具, 恶意软件分析, 搜索语句(dork), 网络信息收集, 防御工程