securitymagic/yara

# securitymagic / yara 规则 YARA 规则，用于实时和回溯性威胁狩猎，主要关注： - 信息窃取程序 (e.g., Jupyter / SolarMarker) - 恶意文档加载器与植入程序 - 可疑的 PowerShell 和基于脚本的威胁 - DLL 劫持与自定义加载器 - VBS 下载器及其他商品化恶意软件 - 伪装的 PDF/文件转换器 这些规则由 **Luke Acha** 创建和维护。 ## 博客文章与分析 这些规则中的大部分都有我博客上的完整恶意软件分析文章作为支撑： **恶意软件分析与 YARA 规则文章:** https://blog.lukeacha.com 您将找到涵盖以下内容的文章： - 每个样本是如何被发现的 - 行为分析 (网络、持久化、LOLBin 等) - 用于 YARA 规则的字符串和模式选择 - 威胁狩猎技巧与示例用法 重点页面： https://blog.lukeacha.com/2025/11/fake-pdf-converter-hides-dark-secret.html https://blog.lukeacha.com/2025/10/systemshock-loader-look-at-malware.html https://blog.lukeacha.com/2025/06/suspicious-recipe-app.html https://blog.lukeacha.com/2023/10/interesting-customloader-observed-in.html https://blog.lukeacha.com/2020/12/tracking-jupyter-malware.html 更早的文章和遗留内容也在此处镜像： - https://security5magics.blogspot.com ## 仓库结构 每个文件夹按家族或主题对规则进行分组： - `Jupyter Malware/` – 与 Jupyter / SolarMarker 相关的规则 - `hydraseven/` – HydraSeven 加载器及相关制品 - `maldocs/` – 恶意 Office 文档、加载器和植入程序 - `pws/` – 可疑的 PowerShell 模式 - `rats/` – 远程访问木马检测 - `vbs/` – VBS 下载器和基于脚本的威胁 - `obfuscation/` – 通用混淆/加壳指示器 - 独立的 `.yar` 文件 – 用于特定活动或加载器的一次性规则

标签：DLL劫持, DNS信息、DNS暴力破解, OpenCanary, PowerShell威胁, VBS脚本, YARA规则, 信息窃取器, 回溯分析, 威胁情报, 实时分析, 开发者工具, 恶意文档, 恶意软件家族, 样本检测, 欺骗性软件, 网络威胁, 脚本病毒, 规则编写