mangogeeek/YaraRules

# 我希望创建一个类似于以下地址中规则的手动 YARA 规则 # https://github.com/reversinglabs/reversinglabs-yara-rules/blob/develop/yara/ransomware/Linux.Ransomware.GwisinLocker.yara # https://github.com/reversinglabs/reversinglabs-yara-rules/blob/develop/yara/ransomware/Linux.Ransomware.Helldown.yara # **[ReversingLabs](https://github.com/reversinglabs/reversinglabs-yara-rules)** 规则的问题是，它们难以通过简单操作字符串来复现用于测试。 # 我的目标是创建一个自定义 YARA 规则，以复现上述两条规则，并理解如何将这些特征注入文件以便规则能够检测到它们。 ## 从 Ubuntu 仓库安装 YARA `sudo apt update` `sudo apt install yara` `yara --version` ## 注入特征的命令 ### 使用 tee 获取提升的写入权限 #### 针对 GwisinLocker（韩语威胁行为体，基于 Linux 的勒索软件） ``` echo -n "GwisinLocker ransom Www.Gwisin.Co.Kr" | sudo tee vm_agent.bin > /dev/null echo -ne '\x47\x77\x69\x73\x69\x6E\x00\x6C\x6F\x63\x6B' | sudo tee -a vm_agent.bin > /dev/null ``` **使用 Hexdump 验证输出** ``` $ hexdump -C vm_agent.bin 00000000 47 77 69 73 69 6e 4c 6f 63 6b 65 72 20 72 61 6e |GwisinLocker ran| 00000010 73 6f 6d 20 57 77 77 2e 47 77 69 73 69 6e 2e 43 |som Www.Gwisin.C| 00000020 6f 2e 4b 72 47 77 69 73 69 6e 00 6c 6f 63 6b |o.KrGwisin.lock| 0000002f ``` #### 针对 Helldown（同样是韩语主题的勒索软件） ``` echo -n "hell_down korea_ransomware_team ransom" | sudo tee init_exec_lockdown.sh > /dev/null echo -ne '\x48\x65\x6C\x6C\x44\x6F\x77\x6E\x00\x6C\x6F\x63\x6B' | sudo tee -a init_exec_lockdown.sh > /dev/null ``` **使用 Hexdump 验证输出** ``` $ hexdump -C init_exec_lockdown.sh 00000000 68 65 6c 6c 5f 64 6f 77 6e 20 6b 6f 72 65 61 5f |hell_down korea_| 00000010 72 61 6e 73 6f 6d 77 61 72 65 5f 74 65 61 6d 20 |ransomware_team | 00000020 72 61 6e 73 6f 6d 48 65 6c 6c 44 6f 77 6e 00 6c |ransomHellDown.l| 00000030 6f 63 6b |ock| 00000033 ``` ## 更新 `.env` 文件 ``` sudo sed -i.bak 's@^#API-KEY=.*@API-KEY=aTY0YW1lZDZkdXI4c3ZrYmpnY2M2dXV0ajNrYg==@' /r-shield/.env ``` ## 更新 `r-shield-config` 文件 ``` # R-Shield 配置 # 格式：KEY=VALUE # # [必需] HYCU 终端节点（https://:） HYCU_URL=https://10.169.28.55:8443 # # [可选] 通知 Webhook URL WEBHOOK=https://hycuinc.webhook.office.com/webhookb2/97ec80b4-ca0b-4c4d-a138-365bddaa4f46@a2bad164-be70-4a5f-9b9b-cd882b76486c/IncomingWebhook/2ac4217871a4409b91be6a148e932a39/0c58bb82-5185-4260-835d-003e3f0bfe93/V26kL49By0wAVGylZSRivBDI_UBq67gSnHvPSUf8Vr8gQ1 # # [可选] 包含虚拟机名称的文本文件（每行一个） # 文件必须位于 "/r-shield/" 目录内 VM_LIST=vm_list # # [可选] 自定义 YARA 规则目录 # 文件夹必须位于 "/r-shield/" 目录内 #RULES=manual_rules/ # # [可选] 并行扫描（默认=4） #CONCURRENCY=4 # # [可选] 取消注释以执行完整扫描（忽略增量优化） FORCE_FULL_SCAN=True # # [可选] 取消注释以从 Webhook 通知中排除打开文件错误 #SUPPRESS_COULD_NOT_OPEN_FILE_ERROR=True ```

标签：AMSI绕过, APT, Cutter, DAST, DNS信息、DNS暴力破解, GwisinLocker, Helldown, hexdump, Linux勒索软件, tee命令, YARA, YARA规则, 云资产可视化, 云资产清单, 关键字检测, 勒索软件, 取证, 威胁检测, 安全测试, 恶意软件分析, 攻击性安全, 文件注入, 检测规则, 签名注入, 网络资产发现, 规则编写, 逆向工程, 韩国威胁演员