Neo23x0/signature-base

GitHub: Neo23x0/signature-base

由 Neo23x0 维护的高质量 YARA 规则和 IOC 数据库,为威胁检测扫描器提供低误报率的特征库支持。

Stars: 2875 | Forks: 660

[![Build Status](https://travis-ci.org/Neo23x0/signature-base.svg?branch=master)](https://travis-ci.org/Neo23x0/signature-base) [![Active Development](https://img.shields.io/badge/Maintenance%20Level-Actively%20Developed-brightgreen.svg)](https://gist.github.com/cheerfulstoic/d107229326a01ff0f333a1d3476e068d) # Signature-Base Signature-Base 是用于我们的扫描器 [LOKI](https://github.com/Neo23x0/Loki) 和 [THOR Lite](https://www.nextron-systems.com/thor-lite/) 的 YARA 特征库和 IOC 数据库。 ## Signature-Base 的重点 1. 高质量的 YARA 规则和 IOC,且误报率极低 2. 清晰的结构 3. 统一的规则格式 ## 目录结构 - iocs - 简单的 IOC 文件 (CSV) - yara - YARA 规则 - threatintel - Threat Intel API 接收器 (MISP, OTX) - misc - 其他输入文件 (非 IOC 或特征) ## YARA 规则中的外部变量 在 [LOKI](https://github.com/Neo23x0/Loki) 或 [THOR Lite](https://www.nextron-systems.com/thor-lite/) 之外的工具中使用这些 YARA 规则会导致 `undefined identifier` 错误。使用了外部变量的规则已被移动到以下文件中: - ./yara/generic_anomalies.yar - ./yara/general_cloaking.yar - ./yara/gen_webshells_ext_vars.yar - ./yara/thor_inverse_matches.yar - ./yara/yara_mixed_ext_vars.yar - ./yara/configured_vulns_ext_vars.yar - ./yara/gen_fake_amsi_dll.yar - ./yara/expl_citrix_netscaler_adc_exploitation_cve_2023_3519.yar - ./yara/yara-rules_vuln_drivers_strict_renamed.yar 如果您看到上述错误信息,只需删除这些文件即可。 ## 高质量 YARA 规则订阅 如果您喜欢我的规则,请查看我们的[商业规则集和规则订阅服务](https://www.nextron-systems.com/2018/12/21/yara-rule-sets-and-rule-feed/),其中包含质量更高且数量多 20 倍的规则。 ## 常见问题解答 ### 如何报告误报? 请使用本仓库的 issues 板块。 ### 如何协助修复规则中的 Bug? 转到本仓库中的文件。点击右上角的“编辑”图标。编辑文件并创建一个 pull request。 ### 如何提供 YARA 规则或 IOC? 我接受 pull request。请参阅此[帖子](https://twitter.com/cyb3rops/status/1320657673742897153)以获取有关如何创建此类请求的帮助。 ### THOR Lite 和 LOKI 有什么区别? 请参阅[此处](https://www.nextron-systems.com/compare-our-scanners/)的对比表。 ## 许可证 2021年8月13日,本仓库将其许可证切换为“Detection Rule License (DRL) 1.1”(URL: [https://raw.githubusercontent.com/Neo23x0/signature-base/master/LICENSE](https://raw.githubusercontent.com/Neo23x0/signature-base/master/LICENSE))。在旧版 CC-BY-NC 下发布的规则集的最后版本可以在[这里](https://github.com/Neo23x0/signature-base/releases/tag/v2.0)找到。 本仓库中的所有特征和 IOC 文件,除非 YARA 规则明确指出了不同的许可证(参见“license”元数据),否则均根据 [Detection Rule License (DRL) 1.1](https://raw.githubusercontent.com/Neo23x0/signature-base/master/LICENSE) 授权。
标签:AMSI绕过, Claude, CVE检测, DAST, EDR, IOC, LOKI, PFX证书, THOR, Webshell检测, YARA, 云资产可视化, 失陷指标, 威胁情报, 威胁检测, 安全扫描, 库, 应急响应, 开发者工具, 恶意软件分析, 攻击检测, 数字取证, 时序注入, 网络安全, 脆弱性评估, 自动化脚本, 自定义DNS解析器, 隐私保护