蓝队必备技能--yara-让自己编写AVVT

🎼个人主页：金灰

😎作者简介:一名简单的大一学生;易编橙·终身成长社群的嘉宾.✨

专注网络空间安全服务,期待与您的交流分享~

感谢您的点赞、关注、评论、收藏、是对我最大的认可和支持！❤️

🍊易编橙·终身成长社群🍊 : http://t.csdnimg.cn/iSLaP 期待您的加入~

免责声明:本文仅做技术交流与学习...

yara

项目地址(客户端下载)

部分规则(规则下载)

规则结合客户端使用

使用方法

yara规则写法

开源规则

dizong规则

xmrig挖矿样本

内存马:php

yara

yara 为 yara 使用程序
yarac 为编译 yara 规则工具

检测范围：
1、样本文件 2、内存数据 3、网络流量

特征提取：
1、多个样本同时对比筛选通用的数据
2、要根据样本的应用(分类,走的协议,文件头固定等)

项目地址(客户端下载)

GitHub - VirusTotal/yara: The pattern matching swiss knife

部分规则(规则下载)

别人已经写好的--

GitHub - Yara-Rules/rules: Repository of yara rules

都能检测...

等等...

规则结合客户端使用

下载客户端

将这两个exe复制到规则的目录下--->

以后自己写的规则和搜集的规则就可以放到这个目录下.

使用方法

从命令行运行 YARA — yara 4.5.0 文档

yara64.exe 规则文件(yar文件) -r C:\Users\Administrator\Desktop\

-r 指定要扫描的目录

yara64.exe demo1.yar PID

yara64.exe 规则进程号

这个检测可以匹配到一个条件就告警,也可多条.

如果规则较少或者一条就告警,则会检测到多条~

所以自己要好好找特征~~~

yara规则写法

Yara 规则内容支持字符串、正则表达式、十六进制进行匹配。

字符串：定义一个变量 $a = "字符串内容"

正则表达式：定义一个变量 $a = /正则表达式内容/

十六进制：定义一个变量 $a = {十六进制内容}

-Yara 规则条件
and：与 or：或 not：非
all of them：所有条件匹配即告警
any of them：有一个条件匹配即告警
$a and $b and $c：abc 同时匹配即告警
($a and $b) or $c：匹配 a 和 b 或 c 即告警
-Yara规则常用修饰符
nocase：不区分大小写
base64:base64字符串
xor:异或字符串
wide:宽字符

开源规则

dizong规则

xmrig挖矿样本

提取：文件头4D 5A，关键字xmrig，协议--比特币矿池的协议，域名--等	--挖矿是通过特定的协议wa,根据特性分析,	--种类
rule xmrigdemo
{meta:tag="xmrigdemo"description="test xmrigdemo"author="xiaodisec"strings:$hex={4D 5A}	--文件头$a="stratum"$b="xmrig"$c="pool"condition:all of them
}

内存马:php

借助其他的工具找指纹特征啊.

知攻善防yyds!

procdump提取PHP内存马：
procdump.exe -accepteula -ma phpstudy_pro.exe php.dmp
yara64.exe demo1.yar PID
rule phpfindshell
{	meta:tag="phpfindshell"description =“test phpfindshell"author="xiaodisec"strings:...tasklist | finder xxx
exe yar 进程号

java内存等等...