Skip to content

Latest commit

 

History

History
493 lines (464 loc) · 34.5 KB

README_CN.md

File metadata and controls

493 lines (464 loc) · 34.5 KB

Awesome YARA

Awesome YARA

精选的 Yara 规则、工具和相关资源的清单。本清单受到 awesome-pythonawesome-php 的启发创建。

YARA 是 YARA: Another Recursive Ancronym 或者 Yet Another Ridiculous Acronym 的首字母缩写,怎么解释都可以。

-- Victor M. Alvarez (@plusvic)

YARA 是为恶意软件研究人员/所有人准备的模式匹配瑞士军刀,由 @plusvic@VirusTotal 开发,可在 GitHub 的仓库 中查看。

目录

图例

  • 👀 - 维护积极,值得一看
  • 💎 - 创新且富有教育意义
  • ✨ - 过去半年新兴的好东西
  • 🏆 - 绝对不能错过

100 Days of YARA (#100DaysofYARA)

受到 #100DaysOfCode 活动的启发,Greg Lesnewich 在 2022 年发起了名为 #100DaysofYARA 的季度 Yara 挑战活动。活动旨在推动社区进行规则创建、源码贡献或者相关知识的教学。重要贡献者包括 Wesley ShieldsSteve Miller。所有参与者可以参见 Twitter List。该活动所有相关的规则,全都整理在 100 Days of YARA

指南

规则

  • AlienVault Labs Rules
    • AlienVault Labs 提供的工具、签名和规则的仓库。可通过 .yar 和 .yara 扩展名找到 Yara 规则,包括 APT 检测到通用的沙盒/虚拟机检测。最后更新时间为 2016 年 1 月。
  • Apple OSX
    • 近 40 个检测 macOS 上恶意软件的签名。XProtect.yara 文件位于 /System/Library/CoreServices/XProtect.bundle/Contents/Resources/。
  • bartblaze YARA rules 👀
    • 个人 Yara 签名库。
  • BinaryAlert YARA Rules
    • 为配合 BinaryAlert 工具,AirBnB 提供了数十条规则,在 Linux、Windows 与 OS X 平台上检测恶意软件。
  • Burp YARA Rules
    • 通过 Yara-Scanner 扩展与 Burp Proxy 一起使用的 Yara 规则集合。主要针对通过 HTTP 传输的非 EXE 恶意软件,包含 HTML、Java、Flash、Office、PDF 文件等。最新更新于 2016 年 6 月。
  • BinSequencer
    • 在一组样本文件中找到通用的字节模式,据此生成 Yara 签名。
  • CAPE Rules 👀
    • 与 Cuckoo 沙盒的 Config And Payload Extraction(CAPE)扩展绑定的规则集。
  • CDI Rules
  • Citizen Lab Malware Signatures
    • Citizen Lab 提供的 Yara 签名库。包含许多恶意软件家族的数十个签名,最后更新时间为 2016 年 11 月。
  • ConventionEngine Rules
    • 检测看起来很独特、异常或明显带有恶意关键字的 PDB 路径的 Yara 规则。
  • Deadbits Rules 👀
    • Splunk 的首席威胁情报分析师 Adam Swanda 提供的 Yara 规则库,对外披露对恶意软件的研究进展。
  • Delivr.to Detections
    • 由 delivr.to 团队的检测规则库。
  • Didier Stevens Rules 💎
    • Didier Stevens 提供的规则集合,用于检查 OLE/RTF/PDF 的工具,这些规则通常是为威胁狩猎而写的,新的规则会在 NVISO 的博客中发布。
  • Elastic Security YARA Rules
    • Elastic 在 Elastic 的终端产品中提供基于签名的 Yara 规则,这些规则用于检测 Linux、Windows 和 macOS 系统中出现的威胁。存储库中已经包含 1000 多个 Yara 规则,覆盖木马、勒索软件、挖矿木马、攻击渗透框架等。
  • ESET IOCs 👀
    • ESET 提供的 Yara 签名和 Snort 签名库。可以通过文件扩展名搜索 Yara 规则,仓库每月更新。在 ESET WeLiveSecurity Blog 上也经常披露 IOC 指标。
  • Fidelis Rules
    • Fidelis Cyber 的仓库中有 6 个 Yara 规则,大约每个季度更新一次。
  • FireEye
    • FireEye 红队工具检测签名库。
  • Florian Roth Rules 👀 💎
    • Florian Roth 不断更新 IOC 与 Yara 规则集合。有数十条积极维护的规则,涵盖了多种威胁类型。
  • Florian Roth's IDDQD Rule
    • 展示检测红队和威胁工具的 POC 规则。
  • f0wl yara_rules
  • Franke Boldewin Rules
  • FSF Rules
    • 用于 EmersonElectricCo FSF 的文件类型检测规则。
  • GoDaddy ProcFilter Rules
    • 由 GoDaddy 发布的数十条可与 ProcFilter 一起使用的规则,包括检测壳、mimikatz 和特定的恶意软件。
  • Google Cloud Threat Intelligence(GCTI) Rules
    • 检测 CobaltStrike 与 Sliver 的Yara 规则。
  • h3x2b Rules 💎
    • 由 h3x2b 提供的规则集,可用于辅助逆向工程。例如标识加密代码、高熵值代码(证书发现)、注入\Hook 代码等。
  • HydraDragonAntivirus 🏆
    • 世界上最大的开源 YARA 规则集,没有重复规则、没有无效规则。其中还包含 ClamAV + YARA-X 或 YARA + 机器学习 + IDS 签名以及 SUBLIME + CAPA + SIGMA 签名。此外,该规则集还拥有许多恶意软件样本。
  • Icewater Rules
    • Icewater.io 提供的自动生成的 Yara 规则集合。
  • imp0rtp3's Rules
    • 包含基于浏览器的 Yara 规则库。
  • Intezer Rules
    • Intezer 提供的 Yara 规则。
  • InQuest Rules 👀
    • InQuest 研究员发布的、针对 VirusTotal 的威胁狩猎规则。规则会不断更新,在 InQuest 的博客上也会讨论新的发现。
  • jeFF0Falltrades Rules
    • 各类恶意软件家族的 Yara 规则集。
  • kevthehermit Rules
    • Kevin Breen 个人的数十条规则,自 2016 年 2 月再未更新。
  • Loginsoft Rules
    • 针对 Microsoft Office 格式文件进行检测的 Yara 规则。
  • lw-yara
    • 用于扫描 Linux 服务器中的垃圾邮件、钓鱼网站和其他 Web 恶意程序的规则集。
  • ndaal_YARA_passwords_default
    • 包含 1043 个组织默认凭据的 Yara 规则,其中也包含这些凭据的 base64、MD5、SHA512 等编码/哈希。
  • ndaal_YARA_passwords_weak
    • 包含最常见的弱口令的 Yara 规则,其中也包含这些口令的 base64、MD5、SHA512 等编码/哈希。
  • NCC Group Rules 👀
    • 由 NCC 的网络安全防御团队提供的 Yara 规则集。
  • MalGamy's YARA_Rules
    • 包含一些对信息窃密程序的检测 Yara 规则集。
  • Malice.IO YARA Plugin Rules 👀
    • 多来源、有关 Malice.IO 框架的 Yara 规则集。
  • Malpedia Auto Generated Rules
    • 包含由 Malpedia 的 YARA-Signator 自动创建的规则。
  • Malpedia Auto Generated Rules Repo
    • 请求访问更加容易的、Malpedia 自动生成的、基于代码的 YARA 规则规则库。
  • McAfee Advanced Threat Research IOCs
    • 与 McAfee ATR 的博客和其他公开文章一起发布的 Yara 规则等。
  • McAfee Advanced Threat Research Yara-Rules
    • McAfee ATR Teams 提供的 Yara 规则集。
  • mikesxrs YARA Rules Collection 👀
    • 各种来源的开源 Yara 规则集合,包含超过 100 个类别、1500 个文件、4000 条规则,如果只能下载一个进行分析,那一定是这个。
  • QuickSand Lite Rules
    • 该仓库包含一个用 C 写的框架和一些用于恶意软件分析的独立工具,以及一些相关的 Yara 规则。
  • Rastrea2r
    • 在几分钟内对数千个端点进行 IOC 扫描狩猎。
  • ReversingLabs YARA Rules ✨ 👀
    • 由 ReversingLabs 提供的 Yara 规则集,包含 Exploit、窃密软件、勒索软件、木马与病毒等恶意软件类型。
  • Securitymagic's YARA Rules
    • 应对威胁的 Yara 规则。
  • Sophos AI YaraML Rules
    • 自动创建的 Yara 规则库,每个目录下都包含 Yara 规则和相应的元数据(机器学习训练使用的文件哈希值和 ROC 曲线)。
  • SpiderLabs Rules
    • SpiderLabs 提供的工具与脚本集合。只包含 3 个 Yara 规则,最后一次更新在 2015 年,但仍然值得一看。
  • StrangeRealIntel's Daily IOCs 💎 :sparkes: 👀
    • 针对新兴威胁定期更新的 Yara 规则集合。
  • t4d's PhishingKit-Yara-Rules
    • 用于网络钓鱼工具包的 Yara 规则,基于 zip 压缩文件的原始格式分析发现目录与文件名。
  • Telekom Security Malare Analysis Repository
    • 包含在 telekom.com 博客上发布的脚本、签名和其他 IOC 指标。
  • Tenable Rules
    • Tenable Network Security 提供的小型规则集合。
  • ThreatHunting-Keywords-yara-rules
    • Yara 威胁狩猎会议规则
  • TjadaNel Rules
    • 针对恶意软件的小型规则集合。
  • VectraThreatLab Rules
    • 识别反逆向工程技术的 Yara 规则。
  • Volexity - Threat-Intel ✨ 💎
    • 包含 Volexity 通过博客公开披露的 IOC 信息。
  • x64dbg Signatures 💎
    • 识别加壳、编译器、加密的签名规则。
  • YAIDS 💎 ✨
    • 使用 Yara 的多线程入侵检测系统,YAIDS 支持所有有效的 Yara 规则、模块与任何 PCAP 兼容数据流(网络、USB、蓝牙等)。
  • YARA-FORENSICS
    • 文件类型识别规则集合。
  • YARA Forge 💎 ✨ 👀
    • YARA Forge 专注于提供高准确度的 Yara 规则,以便进行集成。
  • yara4pentesters
    • 识别包含类似用户名、密码等信息文件的规则。
  • YaraRules Project Official Repo 👀
    • 社区不断更新维护的规则集。
  • Yara-Unprotect
    • 为 Unprotect 创建的规则,用于检测恶意软件逃避技术。

工具

  • AirBnB BinaryAlert
    • 开源 AWS 管道,使用配置好的 Yara 签名扫描上传到 S3 中的所有文件。
  • alterix
    • 将 Yara 规则转换为 CRYPTTECH SIEM 的查询语句。
  • androguard-yara
    • Yara 的 Androguard 模块。
  • a-ray-grass
    • 为 YARA 提供布隆过滤器支持,在hashlookup.io中能够在进一步分析之前快速过滤已知文件。
  • Arya- The Reverse YARA
    • Arya 是用于生成能够触发 Yara 规则的样本文件的工具,即与 Yara 相反的功能,依据规则生成文件。
  • 使用 YARA 规则审计 node_module
    • 针对给定的 node_module 文件夹运行一组给定的 YARA 规则
  • AutoYara
    • 使用 Biclustering 自动生成 Yara 规则。
  • base64_substring
    • 匹配基于 base64 编码数据的 Yara 规则。
  • bincapz
    • 使用片段分析枚举程序功能和恶意行为。
  • CAPE: Config And Payload Extraction 👀
    • 用于从恶意软件中提取 Payload 和配置文件的 Cuckoo 的扩展,首次运行检测恶意软件家族,根据不同的家族在二次执行时提取 Payload 和配置文件。
  • CCCS-Yara
    • Yara 规则元数据规范和验证程序。
  • clara
    • 实时 ClamAV + Yara 扫描 S3 存储桶。
  • Cloudina Security Hawk
    • 基于 CLAMAV 和 YARA 的云杀软扫描 API,适用于 AWS S3、AZURE Blob 和 GCP。
  • CrowdStrike Feed Management System
    • 自动收集、处理来自 VirusTotal 的样本文件,基于 Yara 规则匹配结果进行处理。
  • CSE-CST AssemblyLine
    • 由加拿大通信安全机构(CSE)开源的 AssemblyLine,该工具用于分析恶意文件,也为 Yara 提供了接口。
  • dnYara
    • 用于本地 Yara 库的多平台 .NET 库。
  • ELAT
    • 使用 Yara 规则进行 Windows 事件日志分析。
  • Emerson File Scanning Framework (FSF)
    • 模块化、递归文件扫描工具。
  • ExchangeFilter
    • 使用 YARA 检测电子邮件中恶意软件的 MS Exchange Transport
  • factual-rules-generator
    • 旨在从正在运行的系统中生成有关已安装软件的 Yara 规则的工具。
  • Fadavvi YARA collection script
  • FARA
    • FARA 又名 Faux YARA,其中包含故意写错的 Yara 规则。旨在为新手安全分析人员、刚接触 Yara 的人员、甚至是希望对 Yara 规则编写保持敏感的人提供学习工具。
  • Fastfinder
    • 专为事件响应设计的跨平台(Windows、Linux)可疑文件查找工具,支持 MD5/SHA1/SHA256、字符/通配符、正则表达式和 Yara 规则。
  • findcrypt-yara and FindYara
    • 使用 Yara 规则扫描样本文件文件发现加密常量的 IDA Pro 插件。
  • Fibratus
    • 用于 Windows 内核漏洞利用和观测分析的工具,侧重于安全并支持 Yara 规则。
  • Fnord
    • 用于混淆代码的模式提取工具。
  • GoDaddy ProcFilter 💎
    • ProcFilter 是内置 Yara 的 Windows 进程过滤工具,可以使用自定义的元标记对 Yara 规则进行检测,根据检测结果进行对应的响应处理。工具作为 Windows 服务运行,且与 Windows 的 ETW API 整合在一起,结果在 Windows 事件日志中可见。安装、启动和删除都可以动态完成,无需重新启动计算机。
  • go-yara
    • Yara 的 Go 接口。
  • halogen
    • Halogen 是针对嵌入恶意文档中的图片自动创建 Yara 规则的工具。
  • Hyara
    • 为 IDA Pro、Cutter 以及 BinaryNinja 提供的,为给定起始地址和终止地址之间的 ASCII 和十六进制字符串创建 Yara 规则的插件。
  • IDA_scripts
    • 用于从可执行操作码(包括 .NET 在内)生成 Yara 签名的 IDAPython 脚本。
  • ida_yara
    • 使用 Yara 扫描 IDB 内的数据。
  • ida-yara-processor
    • 用于编译好的 Yara 规则的 IDA Processor。
  • InQuest ThreatKB
    • 基于 Yara 规则和 IOC 指标等知识的工作流管理。
  • iocextract
    • IOC 提取工具,具备 Yara 规则的提取能力。
  • Invoke-Yara
    • 在远程设备中运行 Yara 的 PowerShell 脚本。
  • java2yara
    • 通过 Java 生成 Yara 规则的库。
  • KLara
    • 使用 Python 写的分布式扫描系统,允许研究人员扫描样本库中的样本。
  • Laika BOSS
  • libyara.NET
    • libyara 的 .NET 接口,基于 C++ CLI 构建。
  • Malcat
    • 用于恶意软件分析领域的十六进制编辑工具、反汇编工具、反编译工具,其中内置了 Yara 扫描工具与 Yara 规则编辑器。工具有免费与付费两个版本。
  • MalConfScan
    • 提取已知恶意软件配置的 Volatility 插件,该工具在内存中搜索恶意软件并提取配置信息。
  • malscan
    • 使用 Yara 进行进程内存扫描,匹配中即执行 Python 脚本。
  • MISP Threat Sharing
    • 包括 IOC、威胁情报、恶意样本在内的威胁情报平台,包括共享、生成和验证 Yara 规则的支持。
  • MITRE MultiScanner
    • 通过自动为文件执行分析帮助用户评估一组文件。
  • mkYARA
    • 基于二进制代码创建 Yara 规则。
  • mquery
    • 用于在大型数据集上快速进行 Yara 扫描的 Web 前端。
  • ndaal YARA ruleset checker
    • ndaal YARA 规则校验。
  • Nextron Systems OSS and Commercial Tools (Florian Roth: @Neo23x0)
    • Loki Pyton 实现的 IOC 与 Yara 规则扫描工具。(开源、免费)
    • THOR Lite Go 实现的 IOC 与 Yara 规则扫描工具。(闭源、免费但需要注册)
  • node-yara
    • Yara 的 Node.js 接口。
  • ocaml-yara
    • libyara 的 OCaml 接口。
  • OCYara
    • 对图片进行 OCR 再使用 Yara 进行扫描。
  • osquery
    • 基于 osquery 的 Yara 扫描。
  • PasteHunter
    • 使用 Yara 规则扫描 pastebin.com。
  • plast
    • 使用 Yara 构建的检测、处理 IOC 指标的威胁狩猎工具。
  • plyara
    • Python 编写的解析 Yara 规则工具。
  • Polichombr
    • 具有 Yara 规则匹配和其他功能的恶意软件分析框架。
  • PwC Cyber Threat Operations rtfsig
    • 简化对 RTF 文档中可能独特的部分进行签名。
  • VirusTotalTools
    • 利用 VirusTotal 分析样本的工具,包括 VT_RuleMGR。
  • shotgunyara
    • 给定一个字符串,基于该字符串创建 255 个异或后的版本的 Yara 规则。
  • spyre
    • 基于 Yara 的文件 IOC 扫描工具。
  • static_file_analysis
    • 使用 clamscan 和 Yara 深度分析文件(doc、pdf、exe 等)
  • stoQ
    • 模块化和高度定制的框架,用于从多个不同数据源创建数据集。
  • Strelka
    • 基于 Python3、ZeroMQ 和 Yara 构建的文件分析系统,用于威胁检测和情报收集。
  • Sysmon EDR
    • YARA 扫描、进程终止、网络拦截以及更多 EDR 的功能。
  • SwishDbgExt
    • 使用 Yara 规则在进程内存中进行匹配的 WinDbg 扩展。
  • ThreatIngestor
    • 多来源信息自动提取 IOC(包括 Yara 在内)。
  • UXProtect
    • Apple 内置的 XProtect 进行 Yara 扫描。
  • VTCodeSimilarity-YaraGen 💎 ✨
    • @arieljt 编写的 VirusTotal 的 code-similar-to: 功能的 Yara 规则生成器。
  • Vxsig
    • 通过相似样本集自动生成 AV 字节签名。
  • yabin
    • 通过恶意软件的可执行代码创建 Yara 签名。
  • yaml2yara
    • 通过 YAML 批量生成 Yarar 规则。
  • YARA-CI
    • YARA-CI 帮助在规则更改时进行自动化测试。
  • yara-endpoint
    • 基于 Yara 的事件响应工具。
  • YaraFileCheckerLib
    • 使用 Yara 检测恶意文件,并根据匹配规则的权重评估其危害程度的 .NET 库。
  • YaraGenerator
    • 快速、简单、有效的 Yara 规则生成工具。
  • YaraGen and yara_fn
    • 为 x64dbg 与 IDAPython 编写的、基于函数块生成 Yara 规则的插件。
  • YaraGuardian
    • 基于 Django 开发、用于管理 Yara 规则的 Web 界面。
  • YaraHunter
    • 云原生恶意软件扫描工具,可作为运行时 CI/CD 的一部分。
  • yara-java
    • Yara 的 Java 接口。
  • yaralyzer
    • 通过颜色可视化检查并强制解码二进制数据与文本数据中的 YARA 和正则表达式匹配项。
  • yaramail
    • 专为网络钓鱼分类自动化而设计的 Yara 扫描工具。对电子邮件、电子邮件身份验证、附件和规范化正文内容进行分类。
  • yaraMail
    • 用于 IMAP 订阅与保存流的 Yara 扫描工具。
  • Yara Malware Quick menu scanner
    • 将 Yara 扫描添加到 Windows 右键点击菜单中。
  • YaraManager
    • 通过 Web 管理 Yara
  • Yaramanager (PyPI)
    • 用于管理和组织 Yara 规则集的命令行工具。
  • yaramod
    • 将 Yara 规则解析为 AST 的工具,并且提供了构建 Yara 规则的 C++ 接口。
  • yarAnalyzer
    • Yara 规则覆盖度分析工具。
  • yara-ocaml
    • Yara 的 OCaml 接口。
  • yara-parser
    • 使用 Go 编写的解析规则工具。
  • yaraparser
    • 解析 Yara 规则的 Python 3 模块。
  • yaraPCAP
    • 用于 IMAP 订阅与保存流的 Yara 扫描工具。
  • yara-procdump-python
    • Yara 进程内存访问 API 的 Python 接口。
  • yara-rust
    • Yara 的 Rust 接口。
  • yara-signator
    • 用于 Malpedia 的自动 Yara 规则生成工具。
  • YARA-sort
    • 根据 Yara 规则扫描文件,详情请查看博客文章
  • Yara Python ICAP Server
    • 提供 Yara 扫描的 ICAP 服务器。
  • yarasafe
    • 使用机器学习进行自动化地函数签名生成。
  • Yara-Scanner
    • Python 开发的、Burp Suite 的 Yara 扩展。
  • yarascanner
    • Golang 开发的、Yara 扫描文件的 Web 服务。
  • YaraSharp
    • Yara 库的 C# 接口。
  • YaraStation
    • 旨在便利使用 Loki 的管理页面。
  • yara_tools
    • 使用 Python 进行 Yara 规则配置的接口。
  • Yara-Validator
    • 验证 Yara 规则并尝试修复损坏的规则。
  • yaraVT
    • 使用 Yara 规则扫描文件,将规则匹配结果作为评论发送到 VirusTotal。
  • yara_zip_module
    • 扫描在 zip 压缩文件内的字符串。
  • yarg
    • 基于 x86/x86-64 代码生成 Yara 规则的 IDAPython 插件。
  • yarGen
    • 用于发现相关样本进行狩猎的 Yara 规则生成工具。
  • Yara Scanner
    • 为 yara-python 项目提供接口,包含多种功能。
  • Yarasilly2
    • 受 VirusTotal Premium Account 的 DIFF 功能启发,为分析人员依据样本生成 Yara 规则提供便利的半自动工具。
  • yaya
    • 自动管理开源 Yara 规则并运行扫描。
  • YaYaGen
    • Android 恶意软件的 Yara 规则生成工具。
  • Yeti
    • 该平台旨在一个库内组织 IOC 指标、TTP 与威胁相关的知识。
  • yextend
    • 使 Yara 可以检测压缩文件的扩展。
  • yaraZeekAlert
    • 使用 Yara 规则扫描文件,出发告警的可发送电子邮件提醒,如果恶意文件小于 10MB 则将其作为附件发送。
  • yaraScanParser
  • YARI
    • Rust 编写的 Yara 规则交互式调试器。
  • YLS
    • 能够与 VS Code 和 Vim 集成使用的语言服务器,提供代码补全、函数文档、代码格式化和功能调试等功能。
  • YMCA
    • 显示 YARA 规则和样本之间的匹配关系
  • Yobi
    • 支持在浏览器页面和脚本上运行 Yara 规则的 Firefox 扩展插件。
  • statiStrings
    • YARA 规则的字符串统计计算器。

服务

  • Hybrid Analysis YARA Search
    • 由 CrowdStrike/Hybrid Analysis 提供的 Yara 检索/狩猎。
  • InQuest Labs ✨ 💎
    • 其中 Yara 规则的部分提供将正则表达式转换为匹配 base64 编码的字符串、将字符串转换为 uint() 可查的序列等示例。
  • Koodous
    • APK 分析平台,带有社区 Yara 规则库和大型 APK 样本数据集。
  • MalShare
    • 免费样本库,允许安全研究人员访问恶意样本和 Yara 结果。
  • MalwareConfig
    • 从 RAT 木马中提取 IOC 指标。
  • YaraEditor (Web)
    • 用于创建和管理 Yara 规则的多合一网站。
  • YARAify
    • YARAify 是 abuse.ch 提供的服务,任何人都可以提交可疑文件进行扫描。
  • Yara Scan Service
    • 一个针对大量恶意文件和已识别文件测试 Yara 规则的简单服务。

语法高亮

人员

将本页提到的有关人员的 Twitter 汇总到一个列表(awesome-yara Twitter list)中,如果未列出可以向我们确认。

视频与演讲

相关列表

贡献

该列表由 InQuest 维护,可以随时补充提交缺少的内容。

提交请查看文档 CONTRIBUTING.md