InQuest/awesome-yara

Rules

AlienVault Labs Rules

AlienVault 实验室研究人员收集的工具、签名和规则。在 repo 中搜索 .yar 和 .yara 扩展名,找到大约两打规则,从 APT 检测到通用沙箱/VM 检测。最后更新于 2016 年 1 月。

Apple OSX

Apple 有大约 40 个 YARA 签名用于检测 OSX 上的恶意软件。文件 XProtect.yara 可在 /System/Library/CoreServices/XProtect.bundle/Contents/Resources/ 本地获取。

bamfdetect rules

来自 Brian Wallace 的自定义规则用于 bamfdetect,以及来自其他来源的一些规则。

bartblaze YARA rules 👀

个人YARA规则合集

BinaryAlert YARA Rules

AirBnB 编写并发布了几十条规则,作为其 BinaryAlert 工具的一部分(请参阅下一节)。跨 Linux、Window 和 OS X 检测黑客工具、恶意软件和勒索软件。这是一个新的活跃项目。

Burp YARA Rules

旨在通过 Yara-Scanner 扩展与 Burp 代理一起使用的 YARA 规则集合。这些规则主要关注通常通过 HTTP 传递的非 exe 恶意软件,包括 HTML、Java、Flash、Office、PDF 等。最后更新于 2016 年 6 月。

BinSequencer

在一组样本中找到常见的字节模式,并从识别的模式生成 YARA 规则。

CAPE Rules 👀

来自不同作者的规则与 Config And Payload Extraction Cuckoo Sandbox 扩展捆绑在一起(请参阅下一节)。

CDI Rules

CyberDefenses发布的供公众使用的 YARA 规则集合。根据情报档案、档案和文件工作中的信息构建。

Citizen Lab Malware Signatures

由 Citizen Lab 开发的 YARA 签名。涵盖各种恶意软件系列的数十个签名。还包括 Vim 的语法文件。最后一次更新是在 2016 年 11 月。

ConventionEngine Rules

Splunk 的主要威胁情报人员Adam Swanda公开的 YARA 规则集合。分析师,来自他自己最近的恶意软件研究。

Deadbits Rules 👀

Didier Stevens 的规则集合,他是用于检查 OLE/RTF/PDF 的工具套件的作者。Didier 的规则值得仔细研究,通常是为了狩猎而编写的。新规则经常通过NVISO 实验室博客公布。

Didier Stevens Rules 💎

Didier Stevens 的规则集合,他是用于检查 OLE/RTF/PDF 的工具套件的作者。Didier 的规则值得仔细研究,通常是为了狩猎而编写的。新规则经常通过NVISO 实验室博客公布。

ESET IOCs 👀

从 ESET 研究人员收集的 IOC 中收集的 YARA 和 Snort 规则。在这个 repo 中有大约十几个 YARA 规则可供收集,搜索文件扩展名 .yar。该存储库似乎大约每月更新一次。ESET WeLiveSecurity 博客上经常提到新的 IOC 。

Fidelis Rules

您可以在 Fidelis Cyber 的 IOC 存储库中找到六条 YARA 规则。他们大约每季度更新一次这个存储库。此存储库中还提供了完整的博客内容。

FireEye

FireEye 红队对抗检测

Florian Roth Rules 👀 💎

Florian Roth 的签名库是一个经常更新的 IOC 和 YARA 规则集合,涵盖了广泛的威胁。有许多规则得到积极维护。观察存储库,了解规则随着时间的推移而演变,以解决错误的积极因素/消极因素。

Florian Roth’s IDDQD Rule

概念验证规则,显示检测红队和威胁组工具和代码实际上是多么容易。

f0wl yara_rules

来自https://dissectingmalwa.re/博客文章的 Yara 规则集合。

Franke Boldewin Rules

来自@r3c0nst的 YARA 规则集合。

FSF Rules

主要是来自 EmersonElectricCo FSF 项目的文件类型检测规则(参见下一节)。

GoDaddy ProcFilter Rules

GoDaddy 为 ProcFilter 编写和发布了几十条规则(请参阅下一节)。示例规则包括对加壳程序、mimikatz 和特定恶意软件的检测。

h3x2b Rules 💎

来自 h3x2b 的签名集合,其突出之处在于它们是通用的,可用于协助逆向工程。有用于识别加密例程、高熵部分(例如证书发现)、发现注入/挂钩功能等的 YARA 规则。

Icewater Rules

Icewater.io 自动生成的 YARA 规则的存储库。该存储库使用新生成的签名快速更新,这些签名大多匹配文件大小范围和部分内容哈希。

imp0rtp3’s Rules

一个小型存储库,其中包含一些基于浏览器的规则。

Intezer Rules

Intezer Labs 发布的 YARA 规则。

InQuest Rules 👀

InQuest 研究人员发布的 YARA 规则主要针对 Virus Total 上的威胁搜寻。随着新样本的收集和新的枢轴点的发现,规则会更新。InQuest博客会经常讨论新发现。

jeFF0Falltrades Rules

各种恶意软件系列的 YARA 签名集合。

kevthehermit Rules

来自 Kevin Breen 个人收藏的数十条规则。自 2016 年 2 月以来,此存储库未更新。

Koodous Community Rules

针对 Android APK 恶意软件的社区贡献规则。

Loginsoft Rules

用于检测针对 Microsoft Office 格式的恶意文档的 Yara 规则。

lw-yara

用于扫描 Linux 服务器以查找 shell、垃圾邮件、网络钓鱼和其他网络服务器坏人的规则集。

NCC Group Rules 👀

NCC Group 的网络防御团队发布的一些 YARA 规则。

Malice.IO YARA Plugin Rules 👀

从各种来源收集 Malice.IO 框架的 YARA 组件的主题。

Malpedia Auto Generated Rules

一个 zip 文件,其中包含使用 Malpedia 的 YARA-Signator 创建的所有自动生成的、基于代码的规则。

Malpedia Auto Generated Rules Repo

用于简化 Malpedia 自动生成的、基于代码的 YARA 规则的访问和同步的存储库。

McAfee Advanced Threat Research IOCs

包括 YARA 规则在内的 IOC 将伴随 McAfee ATR 的博客和其他公开帖子。

McAfee Advanced Threat Research Yara-Rules

McAfee ATR 团队制定的 YARA 规则存储库。

mikesxrs YARA Rules Collection 👀 🏆

从各种来源(包括博客和其他更短暂的来源)聚合的大量开源规则。超过 100 个类别、1500 个文件、4000 条规则和 20Mb。如果你要下载一个 repo 来玩,那就是这个。

Patrick Olsen Rules 💎

具有广泛足迹的小规则集合,用于检测的多样性。RAT、文档、PCAP、可执行文件、内存中、销售点恶意软件等。不幸的是,这个存储库自 2014 年底以来没有更新。

QuickSand Lite Rules

这个 repo 包含一个用于恶意软件分析的 C 框架和独立工具,以及为与该项目一起使用而开发的几个有用的 YARA 规则。

Rastrea2r

在几分钟内对可疑系统进行分类并在数千个端点上寻找危害指标 (IOC)。

ReversingLabs YARA Rules ✨ 👀

ReversingLabs 发布的 yara 规则集合,涵盖漏洞、信息窃取程序、勒索软件、木马和病毒。

Securitymagic’s YARA Rules

YARA 针对各种威胁制定规则。

Sophos AI YaraML Rules

作为机器学习模型的翻译自动创建的 Yara 规则存储库。每个目录都有一个规则和随附的元数据:训练中使用的文件的哈希值和一个准确度图(ROC 曲线)。

SpiderLabs Rules

SpiderLabs 研究人员提供的与恶意软件分析相关的工具和脚本存储库。这里只有三个 YARA 规则,最后一次更新是在 2015 年,但值得探索。

StrangeRealIntel’s Daily IOCs 💎 ✨ 👀

定期更新 YARA 规则,涵盖各种新威胁。

t4d’s PhishingKit-Yara-Rules

这个存储库,专门用于网络钓鱼工具包 zip 文件 YARA 规则,基于 zip 原始格式分析来查找目录和文件名,您不需要 yara-extend 那里。

Telekom Security Malare Analysis Repository

该存储库包含我们在 telekom.com 博客上的博文的脚本、签名和其他 IOC。

Tenable Rules

来自 Tenable Network Security 的小型集合。

TjadaNel Rules

恶意软件规则的小集合。

VectraThreatLab Rules

用于识别反 RE 恶意软件技术的 YARA 规则。

Volexity - Threat-Intel ✨ 💎

此存储库包含与 Volexity 公共威胁情报博客文章相关的 IoC。

x64dbg Signatures 💎

有趣的打包器、编译器和加密识别签名的集合。

YAIDS 💎 ✨

YAIDS 是一个使用 Yara 的多线程入侵检测系统。YAIDS 支持所有有效的 Yara 规则(包括模块)和任何 PCAP 兼容的数据流(网络、USB、蓝牙等)。

YARA-FORENSICS

文件类型识别规则的集合。

yara4pentesters

识别包含大量信息(如用户名、密码等)的文件的规则。

YaraRules Project Official Repo 👀

社区不断更新的大量规则。

Yara-Unprotect

为 Unprotect 项目创建的用于检测恶意软件规避技术的规则。

工具

AirBnB BinaryAlert

开源无服务器 AWS 管道,其中上传到 S3 存储桶的任何文件都会立即使用一组可配置的 YARA 规则进行扫描。

androguard

集成APK分析的YARA模块。

Audit Node Modules With YARA Rules

针对给定的 node_module 文件夹运行一组给定的 YARA 规则。

AutoYara

使用双聚类(Biclustering)自动生成 Yara 规则

bamfdetect

从机器人和其他恶意软件中识别和提取信息。

base64_substring

生成 YARA 规则以将术语与 base64 编码的数据进行匹配。

CAPE: Config And Payload Extraction 👀

专门设计用于从恶意软件中提取有效负载和配置的 Cuckoo 扩展。CAPE 可以从对样本的初始运行中检测到许多恶意软件技术或行为,以及特定的恶意软件系列。然后,此检测会触发使用特定程序包的第二次运行,以提取恶意软件有效负载及其可能的配置,以进行进一步分析。

CCCS-Yara

YARA 规则元数据规范和验证实用程序。

clara

无服务器、实时、ClamAV+Yara 扫描您的S3 Buckets。

Cloudina Security Hawk

基于 Clamav 和 YARA 的多云防病毒扫描 API,适用于 AWS S3、AZURE Blob 存储、GCP 云存储。

CrowdStrike Feed Management System

用于从 VirusTotal 自动收集和处理样本的框架,并根据 YARA 规则匹配执行命令。

CSE-CST AssemblyLine

加拿大通信安全机构 (CSE) 开源了AssemblyLine,这是一个用于分析恶意文件的平台。此处链接的组件为 YARA 提供了一个接口。

dnYara

用于本机 YARA 库的多平台 .NET 包装器库。

ELAT

为 Windows 事件日志分析创建/使用 YARA 规则的事件日志分析工具。

Emerson File Scanning Framework (FSF)

模块化、递归文件扫描解决方案。

ExchangeFilter

MS Exchange 传输代理使用 YARA 检测电子邮件中的恶意软件。

factual-rules-generator

Factual-rules-generator 是一个开源项目,旨在从正在运行的操作系统生成有关已安装软件的 YARA 规则。

Fastfinder

快速可定制的跨平台可疑文件查找器。专为事件响应而设计。支持 md5/sha1/sha256 哈希、文字/通配符字符串、正则表达式和 YARA 规则。可以轻松打包部署在任何 windows/linux 主机上。

findcrypt-yara and FindYara

IDA pro 插件使用 YARA 规则扫描您的二进制文件以查找加密常量(以及更多)。

Fnord

混淆代码的模式提取器。

generic-parser

支持 YARA 的解析器,用于提取元信息、执行静态分析和检测文件中的宏。

GoDaddy ProcFilter 💎

ProcFilter 是一个内置 YARA 集成的 Windows 进程过滤系统。可以使用自定义元标记来检测 YARA 规则,以定制其对规则匹配的响应。它作为 Windows 服务运行,并与 Microsoft 的 ETW API 集成,使结果可在 Windows 事件日志中查看。安装、激活和删除可以动态完成,不需要重新启动。

go-yara

为 YARA 绑定。

halogen

Halogen 是一种针对嵌入在恶意文档中的图像文件自动创建 yara 规则的工具。

Hyara

IDA Pro、Cutter 和 BinaryNinja 插件,可轻松为给定起始地址和结束地址之间的 ASCII 和十六进制字符串创建 YARA 规则。

IDA_scripts

IDA Python 脚本,用于从可执行操作码(包括 .NET)生成 YARA sig。

ida_yara

使用 YARA 扫描 IDB 中的数据。

ida-yara-processor

用于编译的 YARA 规则的 IDA 处理器。

InQuest ThreatKB

YARA 规则和 C2 工件(IP、DNS、SSL)的知识库工作流管理。

iocextract

高级妥协指标 (IOC) 提取器,带有 YARA 规则提取。

Invoke-Yara

用于在远程机器上运行 YARA 的 Powershell 脚本。

java2yara

从 JAVA 生成 YARA 规则的最小库。

KLara

用 Python 编写的分布式系统,允许研究人员通过样本扫描一个或多个 YARA 规则。

Laika BOSS

  • 目标扫描器和入侵检测系统,努力实现以下目标:可扩展、灵活、详细。
  • 白皮书

    libyara.NET

    用于 libyara 的 .NET 包装器,内置于 C++ CLI 中,用于轻松将 yara 合并到 .NET 项目中

    MalConfScan

    MalConfScan 是一个 Volatility 插件,用于提取已知恶意软件的配置数据。该工具在内存映像中搜索恶意软件并转储配置数据。此外,该工具还具有列出恶意代码引用的字符串的功能。

    malscan

    扫描 YARA 匹配的进程内存并在找到匹配时执行 Python 脚本。

    👍👍👍MISP Threat Sharing👍👍👍

    威胁情报平台,包括指标、威胁情报、恶意软件样本和二进制文件。包括对共享、生成和验证 YARA 签名的支持。

    👍👍👍MITRE MultiScanner👍👍👍

    文件分析框架,通过自动为用户运行一套工具并汇总输出来帮助用户评估一组文件。

    mkYARA

    基于二进制代码生成 YARA 规则。

    mquery

    用于在大型数据集上运行极快的 YARA 查询的 Web 前端。

    Nextron Systems OSS and Commercial Tools (Florian Roth: @Neo23x0)

  • 用 Python 实现的Loki IOC 和 YARA 规则扫描器。开源和免费。

  • 用 Go 实现的THOR Lite IOC 和 YARA 规则扫描器。闭源,免费,但需要注册。

    node-yara

    YARA 支持 Node.js。

    ocaml-yara

    OCaml 绑定到 libyara。

    OCYara

    对图像文件执行 OCR 并扫描它们以匹配 YARA 规则。

    PasteHunter

    使用 YARA 规则扫描 pastebin.com。

    plast

    用于在后台使用 YARA 检测和处理 IOC 的威胁搜寻工具。

    plyara

    使用 Python 解析 YARA 规则。

    Polichombr

    具有 YARA 规则匹配和其他功能的协作恶意软件分析框架。

    PwC Cyber Threat Operations rtfsig

    此工具旨在简化对 RTF 文件潜在独特部分的签名。

    VirusTotalTools

    用于根据 Virus Total 检查样本的工具,包括 VT_RuleMGR,用于管理威胁搜寻 YARA 规则。

    QuickSand.io

    用于分析可疑恶意软件文档的紧凑型 C 框架。还包括一个网络界面和在线分析。

    shotgunyara

    给定一个字符串,创建该字符串的 255 个异或编码版本作为 YARA 规则。

    spyre

    简单、独立的基于 YARA 的文件 IOC 扫描仪。

    static_file_analysis

    使用 clamscan 和 YARA 分析深度嵌入的文件(doc、pdf、exe、…)。

    stoQ

    模块化和高度可定制的框架,用于从多个不同的数据源创建数据集。

    Strelka

    基于 Python3、ZeroMQ 和 YARA 构建的面向检测的文件分析系统,主要用于威胁检测/狩猎和情报收集。

    Sysmon EDR

    YARA 扫描、进程查杀、网络阻塞等。

    SwishDbgExt

    Microsoft WinDbg 扩展,其中包括使用 YARA 规则在内存中搜索进程的能力。

    ThreatIngestor

    自动提取和聚合 IOC,包括来自许多来源的 YARA 规则。

    UXProtect

    Apple 的内置 XProtect YARA 签名缺少 UI。枚举签名、扫描文件等。

    VTCodeSimilarity-YaraGen 💎 ✨

    使用@arieljtcode-similar-to”:编写的VirusTotal 代码相似性功能的 Yara 规则生成器。

    Vxsig

    从相似的二进制文件集中自动生成 AV 字节签名。

    yabin

    从恶意软件中的可执行代码创建 YARA 签名。

    yaml2yara

    从 YAML 输入生成批量 YARA 规则。

    YARA-CI

    YARA-CI 帮助您保持您的 YARA 规则处于良好状态。它可以集成到任何包含 YARA 规则的 GitHub 存储库中,并且每次您进行一些更改时都会运行自动化测试。

    yara-endpoint

    用于事件响应以及基于 YARA 签名的反恶意软件端点的工具。

    YaraFileCheckerLib

    .Net 库旨在更轻松地使用 YARA 检查潜在的恶意文件和档案,并根据检测到的规则的权重来决定它们的危害性。

    Yara Finder

    用于根据 YARA 规则扫描文件的 Web API 和 docker 映像,建立在 @tylerha97 的 yara_scan 之上。

    YaraGenerator

    快速、简单且有效的 yara 规则创建,以隔离恶意软件系列和其他感兴趣的恶意对象。

    YaraGen and yara_fn

    分别用于 x64dbg 和 IDAPython 的插件,它们从功能块生成 YARA 规则。

    YaraGuardian

    用于管理 YARA 规则的 Django Web 界面。

    yara-java

    YARA 的 Java 绑定

    yaraMail

    用于 IMAP 提要和保存的流的 YARA 扫描仪。

    Yara Malware Quick menu scanner

    将令人敬畏的 YARA 图案扫描仪添加到 Windows 右键菜单。

    🐷YaraManager🐷

    YARA 规则的基于 Web 的管理器。

    Yaramanager (PyPI)

    用于管理和组织 Yara 规则集的命令行工具。

    yaramod

    提供将 YARA 规则解析为 AST 的库和用于构建新 YARA 规则集的 C++ 编程接口。

    yarAnalyzer

    YARA 规则集覆盖分析器。

    yara-ocaml

    YARA 的 OCaml 绑定。

    yara-parser

    使用与 YARA 完全相同的语法来解析规则集的工具,使用Go语言写的。

    yaraPCAP

    YARA 扫描仪用于 IMAP 提要和保存的流。

    yara-procdump-python

    用于包装 YARA 进程内存访问 API 的 Python 扩展。

    yara-rust

    VirusTotal/Yara 的 Rust 绑定。

    yara-signator

    Malpedia 的自动 YARA 规则生成。

    YARA-sort

    根据 YARA 规则将文件聚合到集合中。blog

    Yara Python ICAP Server

    带有 YARA 扫描仪的 ICAP 服务器。

    yarasafe

    使用机器学习自动生成函数签名。

    Yara-Scanner

    基于 Python 的扩展,将 YARA 扫描仪集成到 Burp Suite。

    yarascanner

    基于 Golang 的 Web 服务,用于使用 YARA 规则扫描文件。

    yara_scanner

    此脚本允许您使用 PsExec 和本机操作系统命令扫描多个远程节点。

    YaraSharp

    围绕 Yara 模式匹配库的 C# 包装器。

    yara_tools

    使用 Python 约定编写 YARA 规则的 Python 绑定。

    Yara-Validator

    验证 YARA 规则并尝试修复损坏的规则。

    yaraVT

    使用 Yara 扫描文件并将规则匹配作为注释发送到 VirusTotal 报告。

    yara_zip_module

    在 zip 文件中搜索字符串。

    yarg

    IDAPython 插件,用于从 x86/x86-64 代码生成 YARA 规则。

    yarGen

    用于查找相关样本和狩猎的 YARA 规则生成器。

    Yara Scanner

    yara-python 项目的包装器,提供多种功能。

    Yarasilly2

    受 VirusTotal Premium Account 的 DIFF 功能启发,为恶意软件分析师从样本病毒文件 (WIP) 生成 YARA 规则的半自动便捷工具。

    yaya

    自动管理开源 yara 规则并运行扫描。

    YaYaGen

    适用于 Android 恶意软件的 YARA 规则生成器。

    Yeti

    该平台旨在将可观察数据、危害指标、TTP 和威胁知识组织在一个统一的存储库中。

    yextend

    YARA 集成软件处理存档文件数据。

    yaraZeekAlert

    使用 YARA 规则扫描文件并发送电子邮件警报,其中包括文件传输的网络上下文,如果可疑文件小于 10 MB,则附加该文件。

    yaraScanParser

    Yara Scan Service的 JSON 输出文件的解析工具。

    YMCA

    显示 YARA 规则和样本集合之间的匹配表。

    Yobi

    Yobi 是一个基本的 Firefox 扩展,它允许在浏览器呈现的所有脚本和页面上运行公共或私有 YARA 规则。

    statiStrings

    YARA 规则的字符串统计计算器。

    服务

    Hybrid Analysis YARA Search

    来自 CrowdStrike / Hybrid Analysis 的 YARA 搜索/狩猎,由 Falcon MalQuery 提供支持。

    InQuest Labs ✨ 💎

    有关将正则表达式转换为匹配 base64 编码字符串、将字符串转换为 uint() 查找序列等的帮助程序,请参阅 YARA 部分。

    Koodous

    用于 APK 分析的协作平台,具有社区 YARA 规则库和大型 APK 示例数据集。

    MalShare

    免费的恶意软件存储库让研究人员可以访问样本、恶意源和 YARA 结果。

    MalwareConfig

    从远程访问木马中提取 IOC。

    YaraEditor (Web)

    用于创建和管理 YARA 规则的多合一网站。

    Yara Share

    免费的存储库和在线社区供用户上传和共享 Yara 规则。

    Yara Scan Service

    一项针对大量恶意和已识别文件测试 Yara 规则的简单服务。