如何使用基于YARA規(guī)則的入侵威脅指標(biāo)IoC掃描工具Spyre

這篇文章給大家介紹如何使用基于YARA規(guī)則的入侵威脅指標(biāo)IoC掃描工具Spyre，內(nèi)容非常詳細(xì)，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

Spyre

Spyre是一款功能強(qiáng)大的基于主機(jī)的IoC掃描工具，該工具基于YARA模式匹配引擎和其他掃描模塊構(gòu)建。其主要功能是簡化YARA規(guī)則的操作，并幫助廣大研究人員更好地實(shí)現(xiàn)入侵威脅指標(biāo)IoC的掃描。

在使用Spyre時(shí)，我們需要提供自己的YARA規(guī)則集，關(guān)于YARA規(guī)則，廣大研究人員可以參考awesome-yara庫所提供的免費(fèi)YARA規(guī)則集。

廣大研究人員可以將Spyre當(dāng)作一款事件響應(yīng)與調(diào)查工具來使用，不過該工具并不能給終端設(shè)備提供任何的保護(hù)服務(wù)。

工具下載

廣大研究人員可以使用下列命令將該項(xiàng)目源碼克隆至本地：

git clone https://github.com/spyre-project/spyre.git

代碼構(gòu)建

Spyre支持在32位和64位的Linux以及Windows平臺上運(yùn)行。

Debian Buster（10.x）及更新版本

在Debian/Buster系統(tǒng)上，首先需要安裝和配置好下列工具組件包：

make

gcc

gcc-multilib

gcc-mingw-w64

autoconf

automake

libtool

pkg-config

wget

patch

sed

golang-$VERSION-go

git-core

ca-certificates

zip

上述即為該工具的構(gòu)建環(huán)境要求，之后可以使用命令行接口進(jìn)行源碼構(gòu)建。

Fedora 30及更新版本

在Fedora系統(tǒng)上進(jìn)行源碼構(gòu)建，首先需要安裝配置好下列工具組件包：

make

gcc

mingw{32,64}-gcc

mingw{32,64}-winpthreads-static

autoconf

automake

libtool

pkgconf-pkg-config

wget

patch

sed

golang

git-core

ca-certificates

zip

安裝配置好上述工具組件包之后，我們就可以使用make命令進(jìn)行代碼構(gòu)建了。此時(shí)將下載musl-libc、openssl和yara，構(gòu)建好之后就可以構(gòu)建Spyre了。

構(gòu)建好的Spyre代碼將創(chuàng)建在“_build/<triplet>/”。

運(yùn)行下列命令之后，工具將創(chuàng)建一個(gè)包含支持所有操作系統(tǒng)架構(gòu)源碼的ZIP文件：

make release

工具配置

我們可以通過命令行參數(shù)或params.txt文件來傳遞Spyre工具的運(yùn)行時(shí)參數(shù)，參數(shù)的每一行以#字符開頭的規(guī)則都將被忽略。

通常情況下（除非啟用此選項(xiàng)），Spyre會指示OS調(diào)度器降低CPU時(shí)間和I/O操作的優(yōu)先級，以避免中斷正常的系統(tǒng)操作：

--high-priority

在報(bào)告中顯式地在該文件中設(shè)置主機(jī)名：

--set-hostname=NAME

設(shè)置日志等級，可用選項(xiàng)有trace、debug、info、notice、warn、error、quiet：

--report=SPEC

設(shè)置一個(gè)或多個(gè)待掃描的文件系統(tǒng)路徑：

--path=PATHLIST

設(shè)置待掃描文件的YARA規(guī)則文件列表：

--yara-proc-rules=FILELIST

設(shè)置待掃描進(jìn)程內(nèi)存空間的YARA規(guī)則文件列表：

--yara-proc-rules=FILELIST

使用YARA設(shè)置要掃描的文件的最大大?。?/p>

--ioc-file=FILE

設(shè)置不需要掃描的進(jìn)程名稱：

--proc-ignore=NAMELIST

工具使用

Spyre的使用非常簡單，首先添加YARA簽名，用于文件掃描的YARA規(guī)則需要從filescan.yar中讀取，procscan.yar則對應(yīng)的是進(jìn)程內(nèi)存掃描規(guī)則。下列選項(xiàng)支持向Spyre提供規(guī)則文件：

1、將規(guī)則文件添加至ZIP文件，并將文件添加至代碼中。

2、將規(guī)則文件添加至$PROGRAM.zip這個(gè)ZIP文件中，如果是通過spyre或spyre.exe調(diào)用的Spyre代碼，則使用的是spyre.zip。

3、將規(guī)則文件放至源碼所在的相同目錄。

ZIP文件內(nèi)容將使用密碼“infected”進(jìn)行加密，以防止反病毒產(chǎn)品破壞規(guī)則集并影響掃描結(jié)果。

YARA規(guī)則文件中將包含include語句。

部署完成之后，即可運(yùn)行掃描器。掃描完成后，工具將生成收集到的報(bào)告結(jié)果。

關(guān)于YARA規(guī)則

YARA使用了默認(rèn)設(shè)置進(jìn)行配置，并且支持通過下列選項(xiàng)進(jìn)行切換：

--disable-magic

--disable-cuckoo

--enable-dotnet

--enable-macho

--enable-dex

許可證協(xié)議

本項(xiàng)目的開發(fā)與發(fā)布遵循GNU開源許可證協(xié)議。

關(guān)于如何使用基于YARA規(guī)則的入侵威脅指標(biāo)IoC掃描工具Spyre就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。