温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

如何使用基于YARA规则的入侵威胁指标IoC扫描工具Spyre

发布时间:2021-12-04 10:00:04 来源:亿速云 阅读:294 作者:柒染 栏目:网络管理

这篇文章给大家介绍如何使用基于YARA规则的入侵威胁指标IoC扫描工具Spyre,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。

Spyre

Spyre是一款功能强大的基于主机的IoC扫描工具,该工具基于YARA模式匹配引擎和其他扫描模块构建。其主要功能是简化YARA规则的操作,并帮助广大研究人员更好地实现入侵威胁指标IoC的扫描。

在使用Spyre时,我们需要提供自己的YARA规则集,关于YARA规则,广大研究人员可以参考awesome-yara库所提供的免费YARA规则集。

广大研究人员可以将Spyre当作一款事件响应与调查工具来使用,不过该工具并不能给终端设备提供任何的保护服务。

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/spyre-project/spyre.git

代码构建

Spyre支持在32位和64位的Linux以及Windows平台上运行。

Debian Buster(10.x)及更新版本

在Debian/Buster系统上,首先需要安装和配置好下列工具组件包:

make

gcc

gcc-multilib

gcc-mingw-w64

autoconf

automake

libtool

pkg-config

wget

patch

sed

golang-$VERSION-go

git-core

ca-certificates

zip

上述即为该工具的构建环境要求,之后可以使用命令行接口进行源码构建。

Fedora 30及更新版本

在Fedora系统上进行源码构建,首先需要安装配置好下列工具组件包:

make

gcc

mingw{32,64}-gcc

mingw{32,64}-winpthreads-static

autoconf

automake

libtool

pkgconf-pkg-config

wget

patch

sed

golang

git-core

ca-certificates

zip

安装配置好上述工具组件包之后,我们就可以使用make命令进行代码构建了。此时将下载musl-libc、openssl和yara,构建好之后就可以构建Spyre了。

构建好的Spyre代码将创建在“_build/<triplet>/”。

运行下列命令之后,工具将创建一个包含支持所有操作系统架构源码的ZIP文件:

make release

工具配置

我们可以通过命令行参数或params.txt文件来传递Spyre工具的运行时参数,参数的每一行以#字符开头的规则都将被忽略。

通常情况下(除非启用此选项),Spyre会指示OS调度器降低CPU时间和I/O操作的优先级,以避免中断正常的系统操作:

--high-priority

在报告中显式地在该文件中设置主机名:

--set-hostname=NAME

设置日志等级,可用选项有trace、debug、info、notice、warn、error、quiet:

--report=SPEC

设置一个或多个待扫描的文件系统路径:

--path=PATHLIST

设置待扫描文件的YARA规则文件列表:

--yara-proc-rules=FILELIST

设置待扫描进程内存空间的YARA规则文件列表:

--yara-proc-rules=FILELIST

使用YARA设置要扫描的文件的最大大小:

--ioc-file=FILE

设置不需要扫描的进程名称:

--proc-ignore=NAMELIST

工具使用

Spyre的使用非常简单,首先添加YARA签名,用于文件扫描的YARA规则需要从filescan.yar中读取,procscan.yar则对应的是进程内存扫描规则。下列选项支持向Spyre提供规则文件:

1、将规则文件添加至ZIP文件,并将文件添加至代码中。

2、将规则文件添加至$PROGRAM.zip这个ZIP文件中,如果是通过spyre或spyre.exe调用的Spyre代码,则使用的是spyre.zip。

3、将规则文件放至源码所在的相同目录。

ZIP文件内容将使用密码“infected”进行加密,以防止反病毒产品破坏规则集并影响扫描结果。

YARA规则文件中将包含include语句。

部署完成之后,即可运行扫描器。扫描完成后,工具将生成收集到的报告结果。

关于YARA规则

YARA使用了默认设置进行配置,并且支持通过下列选项进行切换:

--disable-magic

--disable-cuckoo

--enable-dotnet

--enable-macho

--enable-dex

许可证协议

本项目的开发与发布遵循GNU开源许可证协议。

关于如何使用基于YARA规则的入侵威胁指标IoC扫描工具Spyre就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI