如何使用基于YARA规则的入侵威胁指标IoC扫描工具Spyre
这篇文章给大家介绍如何使用基于YARA规则的入侵威胁指标IoC扫描工具Spyre,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。
Spyre
Spyre是一款功能强大的基于主机的IoC扫描工具,该工具基于YARA模式匹配引擎和其他扫描模块构建。其主要功能是简化YARA规则的操作,并帮助广大研究人员更好地实现入侵威胁指标IoC的扫描。
在使用Spyre时,我们需要提供自己的YARA规则集,关于YARA规则,广大研究人员可以参考awesome-yara库所提供的免费YARA规则集。
广大研究人员可以将Spyre当作一款事件响应与调查工具来使用,不过该工具并不能给终端设备提供任何的保护服务。
工具下载
广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/spyre-project/spyre.git
代码构建
Spyre支持在32位和64位的Linux以及Windows平台上运行。
Debian Buster(10.x)及更新版本
在Debian/Buster系统上,首先需要安装和配置好下列工具组件包:
makegccgcc-multilibgcc-mingw-w64autoconfautomakelibtoolpkg-configwgetpatchsedgolang-$VERSION-gogit-coreca-certificateszip
上述即为该工具的构建环境要求,之后可以使用命令行接口进行源码构建。
Fedora 30及更新版本
在Fedora系统上进行源码构建,首先需要安装配置好下列工具组件包:
makegccmingw{32,64}-gccmingw{32,64}-winpthreads-staticautoconfautomakelibtoolpkgconf-pkg-configwgetpatchsedgolanggit-coreca-certificateszip
安装配置好上述工具组件包之后,我们就可以使用make命令进行代码构建了。此时将下载musl-libc、openssl和yara,构建好之后就可以构建Spyre了。
构建好的Spyre代码将创建在"_build/
运行下列命令之后,工具将创建一个包含支持所有操作系统架构源码的ZIP文件:
make release
工具配置
我们可以通过命令行参数或params.txt文件来传递Spyre工具的运行时参数,参数的每一行以#字符开头的规则都将被忽略。
通常情况下(除非启用此选项),Spyre会指示OS调度器降低CPU时间和I/O操作的优先级,以避免中断正常的系统操作:
--high-priority
在报告中显式地在该文件中设置主机名:
--set-hostname=NAME
设置日志等级,可用选项有trace、debug、info、notice、warn、error、quiet:
--report=SPEC
设置一个或多个待扫描的文件系统路径:
--path=PATHLIST
设置待扫描文件的YARA规则文件列表:
--yara-proc-rules=FILELIST
设置待扫描进程内存空间的YARA规则文件列表:
--yara-proc-rules=FILELIST
使用YARA设置要扫描的文件的最大大小:
--ioc-file=FILE
设置不需要扫描的进程名称:
--proc-ignore=NAMELIST
工具使用
Spyre的使用非常简单,首先添加YARA签名,用于文件扫描的YARA规则需要从filescan.yar中读取,procscan.yar则对应的是进程内存扫描规则。下列选项支持向Spyre提供规则文件:
1、将规则文件添加至ZIP文件,并将文件添加至代码中。
2、将规则文件添加至$PROGRAM.zip这个ZIP文件中,如果是通过spyre或spyre.exe调用的Spyre代码,则使用的是spyre.zip。
3、将规则文件放至源码所在的相同目录。
ZIP文件内容将使用密码"infected"进行加密,以防止反病毒产品破坏规则集并影响扫描结果。
YARA规则文件中将包含include语句。
部署完成之后,即可运行扫描器。扫描完成后,工具将生成收集到的报告结果。
关于YARA规则
YARA使用了默认设置进行配置,并且支持通过下列选项进行切换:
--disable-magic--disable-cuckoo--enable-dotnet--enable-macho--enable-dex
许可证协议
本项目的开发与发布遵循GNU开源许可证协议。
关于如何使用基于YARA规则的入侵威胁指标IoC扫描工具Spyre就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。