t4d/PhishingKit-Yara-Rules

PhishingKit-Yara-Rules 是 [StalkPhish 项目](https://stalkphish.com) ## 针对钓鱼工具包 (Phishing Kits) zip 文件的 YARA 规则库 该仓库专门用于存放针对钓鱼工具包 zip 文件的 YARA 规则，基于 zip 原始格式分析来查找目录和文件名，因此你不需要使用 yara-extend。 本仓库欢迎所有规则贡献，随时欢迎创建包含你自有规则集的 Pull Request。分享知识是提升我们对钓鱼威胁检测和防御能力的最佳途径。 第一组规则是为 [PhishingKit-Yara-Search](https://github.com/t4d/PhishingKit-Yara-Search) 项目创建的。 要编写你自己的规则，你可以参考 [YARA 文档](https://yara.readthedocs.org/)或者下面的示例。 ## 钓鱼工具包 YARA 规则示例 此规则用于检测名为 H3ATSTR0K3 的 PayPal 钓鱼工具包，它会检测某些特定文件和目录是否存在： ``` rule PK_PayPal_H3ATSTR0K3 : PayPal { meta: description = "Phishing Kit impersonating PayPal" licence = "GPL-3.0" author = "Thomas 'tAd' Damonneville" reference = "" date = "2019-11-28" comment = "Phishing Kit - PayPal - H3ATSTR0K3" strings: // the zipfile working on $zip_file = { 50 4b 03 04 } // specific directory found in PhishingKit $spec_dir = "prevents" // specific file found in PhishingKit $spec_file = "mine.php" nocase $spec_file2 = "bcce592108d8ec029aa75f951662de2e.jpeg" $spec_file3 = "captured.txt" $spec_file4 = "H3ATSTR0K3.txt" condition: // look for the ZIP header uint32(0) == 0x04034b50 and // make sure we have a local file header $zip_file and // check for file $spec_file and $spec_file2 and $spec_file3 and $spec_file4 and // check for directory $spec_dir } ``` ## 需求 这些规则大多需要 Yara 才能工作。最好的方式是使用 [PhishingKit-Yara-Search](https://github.com/t4d/PhishingKit-Yara-Search) 项目，该项目专门用于分析钓鱼工具包 zip 文件。 不需要 yara-extend，因为 YARA 只会检查 zip 原始文件格式中的目录和文件名。 ## 贡献 欢迎提交 Pull Request 和带有建议的 Issues！ 请参阅 [CONTRIBUTING.md](CONTRIBUTING.md)。 ## 支持 如果你喜欢这个项目，可以请我喝杯咖啡！

标签：AMSI绕过, DAST, DNS信息、DNS暴力破解, DNS解析, ESC8, Object Callbacks, StalkPhish, YARA规则, ZIP文件分析, 威胁情报, 威胁检测, 开发者工具, 开源项目, 恶意软件分析, 样本识别, 欺诈检测, 社会工程学, 网络安全, 网络钓鱼, 钓鱼工具包, 隐私保护