hvs-consulting/ioc_signatures

# HvS IOC 签名 ## 目的 由于 HvS-Consulting 处理突发事件已有多年的经验，我们会定期收集 IOC 集合——主要是 YARA 规则。有时我们的团队也会因内部研究创建这些集合。为了协助社区进行 **威胁搜寻 (Threat Hunting)** 和 **事件响应**，我们希望在此仓库中不定期分享选定的 IOC 集合。这些 IOC 对威胁搜寻或改进组织内的安全监控具有重要价值。 尽管我们尝试通过人工 QA 来避免误报，但在未进行预先试运行的情况下，不建议将这些规则直接用于生产环境。 ## 结构 由于我们专注于搜寻和特定的威胁行为者，我们决定为每个行为者创建一个目录，其中包含各种常见的 IOC 类型，例如： - YARA 规则*，用于在文件、注册表项、事件日志消息、进程内存等中查找指标 - CSV 文件，包含指标以及一些上下文信息，这应该在匹配时提高可操作性 - 列表，例如恶意 IP 和域名 \* 某些规则可能需要 [THOR](https://www.nextron-systems.com/thor/) 或 [LOKI](https://github.com/Neo23x0/Loki) 的 YARA 扩展才能完全支持。 ## IOC 类型和规则 以下类型和规则适用于相应子文件夹中的 \/HvS_\_\_IOCs.csv 文件。可能会有包含有关 IoC 更多信息的附加文件。 | 类型 | 描述 | | ----------- | ------------------------------------------------------------------------------------------- | | DOMAIN | 完全限定域名：无协议、无端口、无路径 | | URL | 包含协议、FQDN，以及路径（如果有） | | IPV4 | IPv4 地址 | | IPV6 | IPv6 地址 | | FULLPATH | 文件的完整路径，包括文件名本身 | | FILENAME | 仅文件名，不包含任何路径信息 | | REGISTRY | 注册表项包括其配置单元（HKCC、HKCU、HKLM、HKU、HKCR）和该键的完整路径 | | MD5 | MD5 哈希 | | SHA | SHA-1 哈希 | | SHA256 | SHA-256 哈希 | | PROCESSARGS | 进程的完整路径和传递的参数 | | STRING | 任何不属于上述类别的特定字符串 | 包含 IoC 的 CSV 文件遵循以下规则： * CSV 文件包含 3 列：Type、Data、Note * Type 只能是预定义的大写值之一 * Data 包含实际的 IoC * Note 是 IoC 的简短描述。如果需要空格，该描述将用引号括起来 * 如果可能，使用 Windows 环境变量来指定路径（例如 %TEMP% 等） * 依赖环境的变量将被替换为标识符，并用 \< 和 \> 符号括起来（例如 \） ## FAQ ### IOC 是否有计划的更新间隔？ 不，我们只是偶尔发布新的 IOC。 ### 应该如何报告误报？ 您可以直接使用本仓库的 issues 板块。 ### 我想了解更多关于 HvS-Consulting AG 的信息 更多信息可以在我们的网站上找到：[https://www.hvs-consulting.de](https://www.hvs-consulting.de) ## License  本仓库中的所有 IOC 集合、YARA 规则和其他信息（由第三方创建的除外）均根据 [Creative Commons Attribution-NonCommercial 4.0 International License](http://creativecommons.org/licenses/by-nc/4.0/) 获得许可。

标签：APT, DNS信息、DNS暴力破解, IOC, IP检测, LOKI, THOR, URL检测, YARA规则, 入侵指标, 哈希检测, 域名检测, 威胁情报, 安全运营, 库, 应急响应, 开发者工具, 开源安全工具, 扫描框架, 网络安全, 逆向工程平台, 隐私保护