溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章給大家介紹如何使用基于YARA規則的入侵威脅指標IoC掃描工具Spyre,內容非常詳細,感興趣的小伙伴們可以參考借鑒,希望對大家能有所幫助。
Spyre是一款功能強大的基于主機的IoC掃描工具,該工具基于YARA模式匹配引擎和其他掃描模塊構建。其主要功能是簡化YARA規則的操作,并幫助廣大研究人員更好地實現入侵威脅指標IoC的掃描。
在使用Spyre時,我們需要提供自己的YARA規則集,關于YARA規則,廣大研究人員可以參考awesome-yara庫所提供的免費YARA規則集。
廣大研究人員可以將Spyre當作一款事件響應與調查工具來使用,不過該工具并不能給終端設備提供任何的保護服務。
廣大研究人員可以使用下列命令將該項目源碼克隆至本地:
git clone https://github.com/spyre-project/spyre.git
Spyre支持在32位和64位的Linux以及Windows平臺上運行。
在Debian/Buster系統上,首先需要安裝和配置好下列工具組件包:
make gcc gcc-multilib gcc-mingw-w64 autoconf automake libtool pkg-config wget patch sed golang-$VERSION-go git-core ca-certificates zip
上述即為該工具的構建環境要求,之后可以使用命令行接口進行源碼構建。
在Fedora系統上進行源碼構建,首先需要安裝配置好下列工具組件包:
make
gcc
mingw{32,64}-gcc
mingw{32,64}-winpthreads-static
autoconf
automake
libtool
pkgconf-pkg-config
wget
patch
sed
golang
git-core
ca-certificates
zip安裝配置好上述工具組件包之后,我們就可以使用make命令進行代碼構建了。此時將下載musl-libc、openssl和yara,構建好之后就可以構建Spyre了。
構建好的Spyre代碼將創建在“_build/<triplet>/”。
運行下列命令之后,工具將創建一個包含支持所有操作系統架構源碼的ZIP文件:
make release
我們可以通過命令行參數或params.txt文件來傳遞Spyre工具的運行時參數,參數的每一行以#字符開頭的規則都將被忽略。
通常情況下(除非啟用此選項),Spyre會指示OS調度器降低CPU時間和I/O操作的優先級,以避免中斷正常的系統操作:
--high-priority
在報告中顯式地在該文件中設置主機名:
--set-hostname=NAME
設置日志等級,可用選項有trace、debug、info、notice、warn、error、quiet:
--report=SPEC
設置一個或多個待掃描的文件系統路徑:
--path=PATHLIST
設置待掃描文件的YARA規則文件列表:
--yara-proc-rules=FILELIST
設置待掃描進程內存空間的YARA規則文件列表:
--yara-proc-rules=FILELIST
使用YARA設置要掃描的文件的最大大小:
--ioc-file=FILE
設置不需要掃描的進程名稱:
--proc-ignore=NAMELIST
Spyre的使用非常簡單,首先添加YARA簽名,用于文件掃描的YARA規則需要從filescan.yar中讀取,procscan.yar則對應的是進程內存掃描規則。下列選項支持向Spyre提供規則文件:
1、將規則文件添加至ZIP文件,并將文件添加至代碼中。
2、將規則文件添加至$PROGRAM.zip這個ZIP文件中,如果是通過spyre或spyre.exe調用的Spyre代碼,則使用的是spyre.zip。
3、將規則文件放至源碼所在的相同目錄。
ZIP文件內容將使用密碼“infected”進行加密,以防止反病毒產品破壞規則集并影響掃描結果。
YARA規則文件中將包含include語句。
部署完成之后,即可運行掃描器。掃描完成后,工具將生成收集到的報告結果。
YARA使用了默認設置進行配置,并且支持通過下列選項進行切換:
--disable-magic --disable-cuckoo --enable-dotnet --enable-macho --enable-dex
本項目的開發與發布遵循GNU開源許可證協議。
關于如何使用基于YARA規則的入侵威脅指標IoC掃描工具Spyre就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
