列表扫描命令_Spyre:一款基于YARA规则的入侵威胁指标IoC扫描工具

最新推荐文章于 2024-01-25 15:31:34 发布
最新推荐文章于 2024-01-25 15:31:34 发布
阅读量351 收藏
点赞数
文章标签: 列表扫描命令
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39925413/article/details/112741610
版权

dbc619606f405fb3d54ec19d6ba41fc9.png

Spyre

Spyre是一款功能强大的基于主机的IoC扫描工具,该工具基于YARA模式匹配引擎和其他扫描模块构建。其主要功能是简化YARA规则的操作,并帮助广大研究人员更好地实现入侵威胁指标IoC的扫描。

在使用Spyre时,我们需要提供自己的YARA规则集,关于YARA规则,广大研究人员可以参考awesome-yara库所提供的免费YARA规则集。

广大研究人员可以将Spyre当作一款事件响应与调查工具来使用,不过该工具并不能给终端设备提供任何的保护服务。

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/spyre-project/spyre.git

代码构建

Spyre支持在32位和64位的Linux以及Windows平台上运行。

Debian Buster(10.x)及更新版本

在Debian/Buster系统上,首先需要安装和配置好下列工具组件包:

makegccgcc-multilib</
最低0.47元/天 解锁文章
weixin_39925413
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
eYARA:使用YARA规则扫描入站电子邮件
05-18
雅拉 eYARA是用于根据YARA规则扫描传入电子邮件以在电子邮件及其附件中查找恶意软件和其他可疑内容的应用程序。 功能性 作为后台进程运行,以按照YARA规则扫描所有入站电子邮件规则是内置的,但您也可以提供自定义规则 仅针对电子邮件正文或其附件匹配YARA规则 (可选)存储恶意工件以进行进一步分析 从匹配的电子邮件中提取危害指标IOC) IPv4 / IPv4地址 域 档名 散列(MD5,SHA1,SHA256,SHA512) 网址 潜在的ZIP文件密码 针对单个电子邮件或电子邮件文件夹运行CLI工具,以快速分析已传递的消息 在进行匹配时,在YARA规则中设置各种meta选项以执行不同的操作。 大多数选项接受“ true”或“ false”作为其值,而“ move”则需要一个“收件箱”文件夹名称 如果规则匹配,则从收件箱中删除电子邮件discard_msg = "true" 保
攻击信标(IOA)与攻陷信标(IOC
云上笛暮
04-28 3727
了解 IoA 和 IoC我们先来简单看看这两个指标的定义。
yara配置简介
weixin_33795833的博客
01-03 573
Yara是一个规则匹配的工具,由于其可以进行文本、二进制文件的匹配,被用在基于特征值的恶意代码检测中,其官方网站在这里。在国内还没见到有太多人使用,在这里先简单介绍一下相关的配置,并列出了其需要的相关工具。1. gccgcc has not been installed on CentOS, you should issue the command: $ sudo yu...
【建瓯最坏】APT的YARA规则
JiangBuLiu的博客
02-05 449
@TOC 地区 亚洲 【】 复现过程 启动环境 https://blog.csdn.net/JiangBuLiu/article/details/93853056 进入路径为 cd /root/vulhub/【】 搭建及运行漏洞环境: docker-compose build && docker-compose up -d 用时:分钟 环境启动后,访问http://your-ip:8080和http://your-ip:4848即可查看web页面。其中,8080端口是网站内容,4848端
使用python调用yara进行文件检测
zhizhi120的博客
01-25 1066
使用python实现对yara的调用
scrape_indeed:数据分析项目,可从Indeed.com抓取职位发布
04-13
Spyre Web应用程序框架 情节可视化 入门 克隆存储库并运行main.py。 先决条件 如果您有兴趣克隆存储库并进一步探索数据,则需要确保安装了多个软件包。 执照 根据MIT许可证分发。 有关更多信息,请参见LICENSE 。...
yara语法简介
u013156691的博客
06-20 7081
yara是一旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具yara规则基于字符串或者二进制模式信息创建恶意软件家族描述信息,yara的每一条描述和规则都是通过一系列字符串和一个布尔表达式构成,并阐述其逻辑。yara规则可以提交给文件或者在运行进程,以帮助研究人员识别其是否属于某个已知运行规则描述的恶意软件家族。     下面是一个yara规则简单的例子:
网安学习——什么是IOC
xyx112的博客
05-15 3919
不属于系统目录的文件或可疑 IP 地址。IOC 是“确凿证据”,即已遭受损害的事后指标。网络安全专业人员利用 IoC 来调查事件造成的影响,并训练他们的工具和技术,以更好地检测和隔离日后可能出现的威胁入侵指标 (IOC, Indicators of Compromise)[1],指的是在网络或设备上发现的数据物件,可作为系统疑遭入侵的证据。
IoC真的重要吗?细节决定成败
weixin_34337265的博客
07-04 243
安全行业已经从仅专注特征码,转变到了将IoC入侵指标)也纳入进来。因为各方面看来,IoC都更加便捷,也兼容各种不同检测平台。是时候重视IoC并更加有效地使用它们了。 然而,这个转变过程中,IoC遭到了不公正的责难。个中原因很容易理解:指标有时候可能只是缺乏上下文的一些数据片段。安全人员在努力保护公司环境的时候,往往苦于从数据中提炼出有意义的东西,不知道...
UEBA架构设计之路4:异常、威胁指标威胁
gt9000的博客
02-28 2115
文章内容 上篇引言 UEBA通过机器学习对用户、实体进行分析,不管这种威胁是不是已知,也包括了实时和离线的检测方式,能得到一个直观的风险评级和证据分析,让安全人员能够响应异常和威胁。 到底是怎样的整体架构呢?我就不再介绍了,没看过前面篇章的朋友,可以点击下面链接,去看看: UEBA架构设计之路1:UEBA框架 UEBA架构设计之路2:数据接入和准备 UEBA架构设计之路3:复杂事件处理引擎 已经看...
yara-signator:自动为Malpedia生成YARA规则
05-13
YARA签名人 自动为恶意软件存储库生成YARA规则。 当前用于为Malpedia( )构建YARA签名,并且仅限于Linux,macOS和Windows的x86 / x86-64可执行文件和内存转储。 目标听众 该软件对于公司或CERT等大型组织以及个人而言非常有用。 它只需要一台现代化的个人计算机(建议使用8个内核/线程和16个GiB)和一个精选的恶意软件存储库。 在这种情况下,“策展”意味着所有样本均已排序并聚类到族。 每个家庭可以包含各种样本。 通常,该工具更适合解压缩的恶意软件,因为我们尝试检测可识别给定系列的特殊代码区域或功能。 前提条件 您有一个精选的恶意软件存储库,格式如下: ./malware-repo/<malware>/<sample> 您可以使用smda( )生成反汇编报告,并将其存储为YARA-Signat
malware-ioc:该存储库包含我们在威胁威胁网站(blogintel.blog)上发布的各种调查的危害指标IOC)。
03-31
威胁情报博客 版权所有:copyright:PRODAFT SARL。 2020年 该存储库包含我们各种调查的危害指标IOC)。
bootstrap文件不能被识别_基于 Yara 引擎的二进制文件扫描
weixin_39849762的博客
10-28 282
1. 什么是 Yara 引擎?Yara 是一个开源的恶意代码查杀引擎,用来识别和分类恶意软件样本。Yara 本身不提供杀毒功能,也没有自己的特征库,所以它只是个引擎而已。Yara 引擎需要特征规则库的支持。特征规则是由一系列字符串和一个布尔型表达式构成的描述来阐述其逻辑,支持与或非等多种条件,以此来识别和分类恶意软件或者程序。Yara 引擎是跨平台的,可在 Windows、Linux 和 Mac ...
IOC的一些实际情况谈对其的评价标准
ITSM/ITIL/网络安全/IT运维
12-29 5058
IOC的一些真相谈对其的评价标准 安全运营虎符智库账号2020-09-16 IOC作为威胁情报最基础也是最直接体现效果的类型,我们有必要理清一下其核心特性和现实状况,同时也谈一下对其的评价标准。 IOC与IDS检测的核心区别在于所覆盖的攻击阶段不同,IOC覆盖洛马模型的后三个阶段:安装植入(Installation)、命令控制(C&C)、达成目标(Actions on Objectives),在检测防御链上可以与传统IDS检测形成一定的互补。 IOC主要..
基于YARA 和NESSUS 的威胁探测
TenableSecurity的博客
04-21 2326
在Nessus6.7 发布的时候,其就被公布有文件系统扫描的功能比如可以查找特定的位于某磁盘上的文件残骸。这个功能是继6.7版本可以支持运行过程排查功能的一段时间后的又一新特点。现在,作为Nessus6.8版本的一部分,我们引进了YARA到Windows恶意软件扫描子系统里。结合YARA, Nessus6.8可以提供另外一种方法来定义规则并搜索基于文本或者二进制模式的文件。 什么是 YARA?
Yara规则编写
lisasue的博客
09-07 8441
yara规则编写 YARA规则的标识符类似于C语言结构,其规则声明以rule标识,在规则描述中可以包括字母、数字甚至下划线字符,但字符串第一个字符不能是数字,且单条描述不能超过128个字符。 Yara关键字 YARA规则由字符串区域和条件区域两部分组成,其中条件区域必须存在,字符串区域则可有可无,比如不依赖任何字符串的规则: rule Dummy { condition:
静态扫描Yara第一话--安装及使用Yara
热门推荐
安全杂货铺
01-09 1万+
Yara安装及使用 概述 Yara是一用于识别恶意软件及对其行为进行分类的安全利器。Yara会根据我们自己编写的yara规则,来对可疑软件进行一个模式匹配,若可疑软件中的一些特征与我们的yara规则匹配上了,则可以初步认定可疑软件为恶意软件。 项目地址:https://github.com/VirusTotal/yara 下载及安装 Linux: apt
yara语法
Starr
01-14 2044
yara 文章目录yara1. Strings1.1 Hexadecimal stringswild-cardsjumpalternatives1.2 text stringsxorfull words1.3 regular expressions2. condition2.1 Counting strings2.2 String offsets or virtual addresses2.3 M...
静态扫描Yara第四话--编写yara规则(3)
安全杂货铺
01-09 1548
编写简单高效的yara规则(3) 翻译自:https://www.bsk-consulting.de/2016/04/15/how-to-write-simple-but-sound-yara-rules-part-3/ 距离我写How to Write Simple but Sound Yara Rules – Part2 已经有一段时间了。从那之后,我改进了我的规则创建方法,新方法生成
2024-2025-1学期选课第一轮停开课程.xlsx
最新发布
07-09
2024-2025-1学期选课第一轮停开课程.xlsx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值