谁能帮助将一小部分IOC脚本转换为YARA规则以识别恶意软件?
我将尝试根据任何人为我编写的示例学习如何编写YARA规则。
这只是IOC脚本的一小部分:
<IndicatorItem id="50455b63-35bf-4efa-9f06-aeba2980f80a" condition="contains">
<Context document="ProcessItem" search="ProcessItem/name" type="mir"/>
<Content type="string">winlogon.exe</Content>
</IndicatorItem>
<IndicatorItem id="b05d9b40-0528-461f-9721-e31d5651abdc" condition="contains">
<Context document="ProcessItem" search="ProcessItem/HandleList/Handle/Type" type="mir"/><Content type="string">File</Content>
</IndicatorItem>
谁能向我解释如何将其转换为YARA,我可以使用Python做到这一点吗?非常感谢!!
最佳答案
根据该IOC脚本片段中显示的信息,您无法创建YARA规则。 YARA规则基于文件内容,因此,您必须查找与文件内容相关的指示符,如下所示:
<IndicatorItem id="09cd0494-702c-4fe2-bbd4-29538cb3b685" condition="contains">
<Context document="FileItem" search="FileItem/StringList/string" type="mir" />
<Content type="string">http://%s/record.asp?device_t=%s</Content>
<Comment>unique strings found in most samples in family</Comment>
</IndicatorItem>
该指示符告诉您感染文件中包含字符串
http://%s/record.asp?device_t=%s。 YARA中表达的相同想法如下所示:rule <a name for your rule here> {
strings:
$a = "http://%s/record.asp?device_t=%s"
condition:
$a
}
这里有一个自动将IOC转换为YARA的工具:
https://github.com/mandiant/ioc_writer/tree/master/examples/openioc_to_yara
这里有些幻灯片可能对您也有用:
https://media.blackhat.com/us-13/Arsenal/us-13-Gibb-IOCWriter_11-Slides.pdf
关于python - 如何基于IOC脚本编写YARA规则?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/18287664/