精选的 Yara 规则、工具和相关资源的清单。本清单受到 awesome-python 与 awesome-php 的启发创建。
YARA 是 YARA: Another Recursive Ancronym 或者 Yet Another Ridiculous Acronym 的首字母缩写,怎么解释都可以。
YARA 是为恶意软件研究人员/所有人准备的模式匹配瑞士军刀,由 @plusvic 与 @VirusTotal 开发,可在 GitHub 的仓库 中查看。
- 👀 - 维护积极,值得一看
- 💎 - 创新且富有教育意义
- ✨ - 过去半年新兴的好东西
- 🏆 - 绝对不能错过
- AlienVault Labs Rules
- AlienVault Labs 提供的工具、签名和规则的仓库。可通过 .yar 和 .yara 扩展名找到 Yara 规则,包括 APT 检测到通用的沙盒/虚拟机检测。最后更新时间为 2016 年 1 月。
- Apple OSX
- 近 40 个检测 macOS 上恶意软件的签名。XProtect.yara 文件位于 /System/Library/CoreServices/XProtect.bundle/Contents/Resources/。
- bamfdetect rules
- Brian Wallace 提供的规则集合。
- bartblaze YARA rules 👀
- 个人 Yara 签名库。
- BinaryAlert YARA Rules
- 为配合 BinaryAlert 工具,AirBnB 提供了数十条规则,在 Linux、Windows 与 OS X 平台上检测恶意软件。
- Burp YARA Rules
- 通过 Yara-Scanner 扩展与 Burp Proxy 一起使用的 Yara 规则集合。主要针对通过 HTTP 传输的非 EXE 恶意软件,包含 HTML、Java、Flash、Office、PDF 文件等。最新更新于 2016 年 6 月。
- BinSequencer
- 在一组样本文件中找到通用的字节模式,据此生成 Yara 签名。
- CAPE Rules 👀
- 与 Cuckoo 沙盒的 Config And Payload Extraction(CAPE)扩展绑定的规则集。
- CDI Rules
- CyberDefenses 提供的 Yara 签名库。
- Citizen Lab Malware Signatures
- Citizen Lab 提供的 Yara 签名库。包含许多恶意软件家族的数十个签名,最后更新时间为 2016 年 11 月。
- ConventionEngine Rules ✨
- 检测看起来很独特、异常或明显带有恶意关键字的 PDB 路径的 Yara 规则。
- Deadbits Rules 👀
- Splunk 的首席威胁情报分析师 Adam Swanda 提供的 Yara 规则库,对外披露对恶意软件的研究进展。
- Didier Stevens Rules 💎
- Didier Stevens 提供的规则集合,用于检查 OLE/RTF/PDF 的工具,这些规则通常是为威胁狩猎而写的,新的规则会在 NVISO 的博客中发布。
- ESET IOCs 👀
- ESET 提供的 Yara 签名和 Snort 签名库。可以通过文件扩展名搜索 Yara 规则,仓库每月更新。在 ESET WeLiveSecurity Blog 上也经常披露 IOC 指标。
- Fidelis Rules
- Fidelis Cyber 的仓库中有 6 个 Yara 规则,大约每个季度更新一次。
- FireEye
- FireEye 红队工具检测签名库。
- Florian Roth Rules 👀 💎
- Florian Roth 不断更新 IOC 与 Yara 规则集合。有数十条积极维护的规则,涵盖了多种威胁类型。
- Florian Roth's IDDQD Rule
- 展示检测红队和威胁工具的 POC 规则。
- f0wl yara_rules
- https://dissectingmalwa.re/ 博客提供的 Yara 签名库。
- Franke Boldewin Rules
- @r3c0nst 提供的 Yara 规则集。
- FSF Rules
- 用于 EmersonElectricCo FSF 的文件类型检测规则。
- GoDaddy ProcFilter Rules
- 由 GoDaddy 发布的数十条可与 ProcFilter 一起使用的规则,包括检测壳、mimikatz 和特定的恶意软件。
- h3x2b Rules 💎
- 由 h3x2b 提供的规则集,可用于辅助逆向工程。例如标识加密代码、高熵值代码(证书发现)、注入\Hook 代码等。
- Icewater Rules
- Icewater.io 提供的自动生成的 Yara 规则集合。
- Intezer Rules ✨
- Intezer 提供的 Yara 规则。
- InQuest Rules 👀
- InQuest 研究员发布的、针对 VirusTotal 的威胁狩猎规则。规则会不断更新,在 InQuest 的博客上也会讨论新的发现。
- jeFF0Falltrades Rules ✨
- 各类恶意软件家族的 Yara 规则集。
- kevthehermit Rules
- Kevin Breen 个人的数十条规则,自 2016 年 2 月再未更新。
- Koodous Community Rules
- 社区驱动的 Android APK 恶意软件检测规则。
- Loginsoft Rules
- 针对 Microsoft Office 格式文件进行检测的 Yara 规则。
- Loginsoft Detection Rules
- 用于开源组件的威胁检测与异常检测规则。
- lw-yara
- 用于扫描 Linux 服务器中的垃圾邮件、钓鱼网站和其他 Web 恶意程序的规则集。
- NCC Group Rules 👀
- 由 NCC 的网络安全防御团队提供的 Yara 规则集。
- Malice.IO YARA Plugin Rules 👀
- 多来源、有关 Malice.IO 框架的 Yara 规则集。
- Malpedia Auto Generated Rules ✨
- 包含由 Malpedia 的 YARA-Signator 自动创建的规则。
- McAfee Advanced Threat Research IOCs
- 与 McAfee ATR 的博客和其他公开文章一起发布的 Yara 规则等。
- McAfee Advanced Threat Research Yara-Rules
- McAfee ATR Teams 提供的 Yara 规则集。
- mikesxrs YARA Rules Collection 👀 🏆
- 各种来源的开源 Yara 规则集合,包含超过 100 个类别、1500 个文件、4000 条规则,如果只能下载一个进行分析,那一定是这个。
- Patrick Olsen Rules 💎
- 针对 RAT、文档、PCAP、可执行文件等恶意软件进行扫描的规则集,不幸的是在 2014 年就停止了更新。
- QuickSand Lite Rules
- 该仓库包含一个用 C 写的框架和一些用于恶意软件分析的独立工具,以及一些相关的 Yara 规则。
- Rastrea2r
- 在几分钟内对数千个端点进行 IOC 扫描狩猎。
- ReversingLabs YARA Rules ✨ 👀
- 由 ReversingLabs 提供的 Yara 规则集,包含 Exploit、窃密软件、勒索软件、木马与病毒等恶意软件类型。
- Securitymagic's YARA Rules
- 应对威胁的 Yara 规则。
- Sophos AI YaraML Rules
- 自动创建的 Yara 规则库,每个目录下都包含 Yara 规则和相应的元数据(机器学习训练使用的文件哈希值和 ROC 曲线)。
- SpiderLabs Rules
- SpiderLabs 提供的工具与脚本集合。只包含 3 个 Yara 规则,最后一次更新在 2015 年,但仍然值得一看。
- StrangeRealIntel's Daily IOCs 💎 :sparkes: 👀
- 针对新兴威胁定期更新的 Yara 规则集合。
- t4d's PhishingKit-Yara-Rules
- 用于网络钓鱼工具包的 Yara 规则,基于 zip 压缩文件的原始格式分析发现目录与文件名。
- Tenable Rules
- Tenable Network Security 提供的小型规则集合。
- TjadaNel Rules
- 针对恶意软件的小型规则集合。
- VectraThreatLab Rules
- 识别反逆向工程技术的 Yara 规则。
- x64dbg Signatures 💎
- 识别加壳、编译器、加密的签名规则。
- YAIDS 💎 ✨
- 使用 Yara 的多线程入侵检测系统,YAIDS 支持所有有效的 Yara 规则、模块与任何 PCAP 兼容数据流(网络、USB、蓝牙等)。
- YARA-FORENSICS
- 文件类型识别规则集合。
- yara4pentesters
- 识别包含类似用户名、密码等信息文件的规则。
- YaraRules Project Official Repo 👀
- 社区不断更新维护的规则集。
- Yara-Unprotect
- 为 Unprotect 创建的规则,用于检测恶意软件逃避技术。
- AirBnB BinaryAlert
- 开源 AWS 管道,使用配置好的 Yara 签名扫描上传到 S3 中的所有文件。
- androguard
- 集成 APK 分析的 Yara 模块。
- 使用 YARA 规则审计 node_module
- 针对给定的 node_module 文件夹运行一组给定的 YARA 规则
- AutoYara
- 使用 Biclustering 自动生成 Yara 规则。
- bamfdetect
- 从恶意软件中识别并提取信息。
- base64_substring
- 匹配基于 base64 编码数据的 Yara 规则。
- CAPE: Config And Payload Extraction 👀
- 用于从恶意软件中提取 Payload 和配置文件的 Cuckoo 的扩展,首次运行检测恶意软件家族,根据不同的家族在二次执行时提取 Payload 和配置文件。
- CCCS-Yara
- Yara 规则元数据规范和验证程序。
- clara ✨
- 实时 ClamAV + Yara 扫描 S3 存储桶。
- Cloudina Security Hawk ✨
- 基于 CLAMAV 和 YARA 的云杀软扫描 API,适用于 AWS S3、AZURE Blob 和 GCP。
- CrowdStrike Feed Management System
- 自动收集、处理来自 VirusTotal 的样本文件,基于 Yara 规则匹配结果进行处理。
- CSE-CST AssemblyLine
- 由加拿大通信安全机构(CSE)开源的 AssemblyLine,该工具用于分析恶意文件,也为 Yara 提供了接口。
- dnYara
- 用于本地 Yara 库的多平台 .NET 库。
- ELAT
- 使用 Yara 规则进行 Windows 事件日志分析。
- Emerson File Scanning Framework (FSF)
- 模块化、递归文件扫描工具。
- findcrypt-yara and FindYara
- 使用 Yara 规则扫描样本文件文件发现加密常量的 IDA Pro 插件。
- Fnord
- 用于混淆代码的模式提取工具。
- generic-parser
- 支持 Yara 的解析器,用于提取文件元信息、执行静态分析并检测文件中的宏代码。
- GoDaddy ProcFilter 💎
- ProcFilter 是内置 Yara 的 Windows 进程过滤工具,可以使用自定义的元标记对 Yara 规则进行检测,根据检测结果进行对应的响应处理。工具作为 Windows 服务运行,且与 Windows 的 ETW API 整合在一起,结果在 Windows 事件日志中可见。安装、启动和删除都可以动态完成,无需重新启动计算机。
- go-yara
- Yara 的 Go 接口。
- halogen
- Halogen 是针对嵌入恶意文档中的图片自动创建 Yara 规则的工具。
- Hyara
- 为 IDA Pro、Cutter 以及 BinaryNinja 提供的,为给定起始地址和终止地址之间的 ASCII 和十六进制字符串创建 Yara 规则的插件。
- IDA_scripts
- 用于从可执行操作码(包括 .NET 在内)生成 Yara 签名的 IDAPython 脚本。
- ida_yara
- 使用 Yara 扫描 IDB 内的数据。
- ida-yara-processor
- 用于编译好的 Yara 规则的 IDA Processor。
- InQuest ThreatKB
- 基于 Yara 规则和 IOC 指标等知识的工作流管理。
- iocextract
- IOC 提取工具,具备 Yara 规则的提取能力。
- Invoke-Yara
- 在远程设备中运行 Yara 的 PowerShell 脚本。
- KLara
- 使用 Python 写的分布式扫描系统,允许研究人员扫描样本库中的样本。
- Laika BOSS
- 提供可扩展、灵活、详细的对象扫描和入侵检测系统。
- Laika BOSS 白皮书
- MalConfScan
- 提取已知恶意软件配置的 Volatility 插件,该工具在内存中搜索恶意软件并提取配置信息。
- malscan
- 使用 Yara 进行进程内存扫描,匹配中即执行 Python 脚本。
- MISP Threat Sharing
- 包括 IOC、威胁情报、恶意样本在内的威胁情报平台,包括共享、生成和验证 Yara 规则的支持。
- MITRE MultiScanner
- 通过自动为文件执行分析帮助用户评估一组文件。
- mkYARA
- 基于二进制代码创建 Yara 规则。
- mquery
- 用于在大型数据集上快速进行 Yara 扫描的 Web 前端。
- Nextron Systems OSS and Commercial Tools (Florian Roth: @Neo23x0)
- node-yara
- Yara 的 Node.js 接口。
- OCYara
- 对图片进行 OCR 再使用 Yara 进行扫描。
- PasteHunter
- 使用 Yara 规则扫描 pastebin.com。
- plast
- 使用 Yara 构建的检测、处理 IOC 指标的威胁狩猎工具。
- plyara
- Python 编写的解析 Yara 规则工具。
- Polichombr
- 具有 Yara 规则匹配和其他功能的恶意软件分析框架。
- PwC Cyber Threat Operations rtfsig
- 简化对 RTF 文档中可能独特的部分进行签名。
- VirusTotalTools
- 利用 VirusTotal 分析样本的工具,包括 VT_RuleMGR。
- QuickSand.io
- 分析恶意文档的 Compact C 框架,包括 Web 界面和在线分析能力。
- shotgunyara
- 给定一个字符串,基于该字符串创建 255 个异或后的版本的 Yara 规则。
- spyre
- 基于 Yara 的文件 IOC 扫描工具。
- static_file_analysis
- 使用 clamscan 和 Yara 深度分析文件(doc、pdf、exe 等)
- stoQ
- 模块化和高度定制的框架,用于从多个不同数据源创建数据集。
- Strelka
- 基于 Python3、ZeroMQ 和 Yara 构建的文件分析系统,用于威胁检测和情报收集。
- SwishDbgExt
- 使用 Yara 规则在进程内存中进行匹配的 WinDbg 扩展。
- ThreatIngestor
- 多来源信息自动提取 IOC(包括 Yara 在内)。
- UXProtect
- Apple 内置的 XProtect 进行 Yara 扫描。
- VTCodeSimilarity-YaraGen 💎 ✨
- 由 @arieljt 编写的 VirusTotal 的
code-similar-to:功能的 Yara 规则生成器。
- 由 @arieljt 编写的 VirusTotal 的
- Vxsig ✨
- 通过相似样本集自动生成 AV 字节签名。
- yabin
- 通过恶意软件的可执行代码创建 Yara 签名。
- yaml2yara
- 通过 YAML 批量生成 Yarar 规则。
- YARA-CI ✨
- YARA-CI 帮助在规则更改时进行自动化测试。
- yara-endpoint
- 基于 Yara 的事件响应工具。
- Yara Finder
- 基于 @tylerha97 的 yara_scan 开发的扫描框架,具有 Web API 与 Docker 化部署。
- YaraGenerator
- 快速、简单、有效的 Yara 规则生成工具。
- YaraGen and yara_fn
- 为 x64dbg 与 IDAPython 编写的、基于函数块生成 Yara 规则的插件。
- YaraGuardian
- 基于 Django 开发、用于管理 Yara 规则的 Web 界面。
- yara-java
- Yara 的 Java 接口。
- yaraMail
- 用于 IMAP 订阅与保存流的 Yara 扫描工具。
- Yara Malware Quick menu scanner
- 将 Yara 扫描添加到 Windows 右键点击菜单中。
- YaraManager
- 通过 Web 管理 Yara
- Yaramanager (PyPI)
- 用于管理和组织 Yara 规则集的命令行工具。
- yaramod
- 将 Yara 规则解析为 AST 的工具,并且提供了构建 Yara 规则的 C++ 接口。
- yarAnalyzer
- Yara 规则覆盖度分析工具。
- yara-parser
- 使用 Go 编写的解析规则工具。
- yaraPCAP
- 用于 IMAP 订阅与保存流的 Yara 扫描工具。
- yara-procdump-python
- Yara 进程内存访问 API 的 Python 接口。
- yara-signator ✨
- 用于 Malpedia 的自动 Yara 规则生成工具。
- YARA-sort
- 根据 Yara 规则扫描文件,详情请查看博客文章。
- Yara Python ICAP Server
- 提供 Yara 扫描的 ICAP 服务器。
- yarasafe
- 使用机器学习进行自动化地函数签名生成。
- Yara-Scanner
- Python 开发的、Burp Suite 的 Yara 扩展。
- yarascanner
- Golang 开发的、Yara 扫描文件的 Web 服务。
- yara_tools
- 使用 Python 进行 Yara 规则配置的接口。
- Yara-Validator
- 验证 Yara 规则并尝试修复损坏的规则。
- yaraVT
- 使用 Yara 规则扫描文件,将规则匹配结果作为评论发送到 VirusTotal。
- yara_zip_module
- 扫描在 zip 压缩文件内的字符串。
- yarg
- 基于 x86/x86-64 代码生成 Yara 规则的 IDAPython 插件。
- yarGen
- 用于发现相关样本进行狩猎的 Yara 规则生成工具。
- Yara Scanner
- 为 yara-python 项目提供接口,包含多种功能。
- yaya
- 自动管理开源 Yara 规则并运行扫描。
- YaYaGen
- Android 恶意软件的 Yara 规则生成工具。
- Yeti
- 该平台旨在一个库内组织 IOC 指标、TTP 与威胁相关的知识。
- yextend
- 使 Yara 可以检测压缩文件的扩展。
- yaraZeekAlert ✨
- 使用 Yara 规则扫描文件,出发告警的可发送电子邮件提醒,如果恶意文件小于 10MB 则将其作为附件发送。
- yaraScanParser
- 用于解析 Yara 扫描服务 JSON 结果的工具。
- statiStrings
- YARA 规则的字符串统计计算器。
- Hybrid Analysis YARA Search
- 由 CrowdStrike/Hybrid Analysis 提供的 Yara 检索/狩猎。
- InQuest Labs ✨ 💎
- 其中 Yara 规则的部分提供将正则表达式转换为匹配 base64 编码的字符串、将字符串转换为 uint() 可查的序列等示例。
- Koodous
- APK 分析平台,带有社区 Yara 规则库和大型 APK 样本数据集。
- MalShare
- 免费样本库,允许安全研究人员访问恶意样本和 Yara 结果。
- MalwareConfig
- 从 RAT 木马中提取 IOC 指标。
- YaraEditor (Web)
- 用于创建和管理 Yara 规则的多合一网站。
- Yara Share
- 提供用户上传、共享 Yara 规则的在线社区。
- Yara Scan Service
- 一个针对大量恶意文件和已识别文件测试 Yara 规则的简单服务。
- Atom: language-yara
- 基于 GTK 的编辑器,如 gedit 与 xed: GtkSourceView-YARA
- Sublime Text: YaraSyntax
- Vim: vim-yara
- Visual Studio Code: vscode-yara
将本页提到的有关人员的 Twitter 汇总到一个列表(awesome-yara Twitter list)中,如果未列出可以向我们确认。
- Crawler
- CVE PoC
- Forensics
- Hacking
- HackwithGithub
- Honeypots
- Incident-Response
- Infosec
- IOCs
- Malware Analysis
- ML for Cyber Security
- OSINT
- PCAP Tools
- Pentesting
- Reversing
- Security
- Static Analysis
- Threat Detection
- Threat Intelligence
该列表由 InQuest 维护,可以随时补充提交缺少的内容。
提交请查看文档 CONTRIBUTING.md。