查看: 8970|回复: 16
收起左侧

[技术原创] 不一样的扫描器,不一样的EDR——THOR Lite&AURORA Lite分享(附规则介绍)

  [复制链接]
呵呵大神001
发表于 2022-12-4 14:47:51 | 显示全部楼层 |阅读模式
本帖最后由 呵呵大神001 于 2022-12-5 10:49 编辑

来自nextron-systems的YARA扫描器Thor的免费版本
下载地址:Download THOR Lite - Nextron Systems (nextron-systems.com)
密钥文件需要在THOR Lite - Nextron Systems 这里申请,发到自己邮箱后将其放到扫描器文件夹里就行
thorlite实用指南:THOR Util User Manual
nextron-systems内置了4000个免费yara规则,支持自行导入ioc和yara规则
可以扫描文件,正在运行的进程,网络连接,系统文件完整性等
扫描结束后会自动生成相应的报表

YARA是什么?
YARA是一种旨在(但不限于)帮助恶意软件研究人员的工具识别和分类恶意软件样本。由virustotal的工作人员发明,使用YARA,您可以创建描述 基于文本或二进制的恶意软件系列(或您想要描述的任何内容) 模式。每个描述(也称为规则)由一组字符串和确定其逻辑的布尔表达式。
可以使用从Vx Cube 微步沙箱 intezer等沙箱平台自动生成的yara规则来扫描设备有没有被相应恶意软件感染


例子:检测到我的minecraft中有含过时的log4j工具可能被利用攻击,所以风险是100%

借助github可以获取很多开源红队工具和恶意软件的检测规则
eg.
advanced-threat-research/Yara-Rules Trellix蓝队团队使用的yara检测规则
Yara-Rules/rules 安全工作人员汇总的规则
InQuest/awesome-yara 被社区认可的优秀yara规则

他们家也有基于sigma规则的免费EDR,获得途径和thor一样,需要自己导入密钥
但是只能自己写响应规则或者用命令行结束任务,dashboard暂时不支持响应

什么是sigma规则?
Sigma为日志事件提供标准格式,就像YARA为文件威胁IOC创建标准格式一样。Sigma 为 SIEM 平台和恶意软件研究人员提供了一种通用语言进行交流。Sigma 规则是一个 YAML 文件,其中包含所有供应商使用的标准化部分和结构化字段。然后,SIEM 将这些 Sigma 规则翻译成不同的 SIEM 语言,其中最重要的部分是识别规则逻辑的检测部分。

获取密钥:AURORA Agent - Nextron Systems
下载地址:Download AURORA Lite
用户手册:What is Aurora?




根据规则,检测到Magniber的勒索病毒行为等
由于sigma规则诞生时间不长,开源的规则集可能不多
希望传统EDR/EPP厂家也能将自己的EDR/EPP继承sigma rule和yara rule(已经有在这么做的了)
通用的威胁情报和响应规则总是比单一的更好,更有利于集成第三方云沙箱。






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 7分享 +3 魅力 +1 人气 +16 收起 理由
寂寞如诗 + 3 版区有你更精彩: )
megakotaro + 1 GREAT
Picca + 1 版区有你更精彩: )
隔山打空气 + 3 版区有你更精彩: )
fzp070 + 3 感谢提供分享

查看全部评分

fzp070
发表于 2022-12-4 22:54:32 | 显示全部楼层
感谢楼主分享!免费的EDR
呵呵大神001
 楼主| 发表于 2022-12-5 01:16:50 | 显示全部楼层
fzp070 发表于 2022-12-4 22:54
感谢楼主分享!免费的EDR

不基于mitre框架/IOA 也是非常有趣的
Tomin2009
发表于 2022-12-8 10:06:45 | 显示全部楼层

不会安装啊

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
呵呵大神001
 楼主| 发表于 2022-12-8 11:05:16 | 显示全部楼层

cmd cd你的安装目录,然后执行
屁颠屁颠
发表于 2022-12-8 22:59:47 | 显示全部楼层
奖励优秀创作者勋章,期待你的更多优秀文章

评分

参与人数 1人气 +1 收起 理由
呵呵大神001 + 1 很给力!

查看全部评分

asbjdj
发表于 2022-12-11 10:59:28 | 显示全部楼层
本帖最后由 asbjdj 于 2022-12-11 11:36 编辑

收不到邮件啊,outlook和qq都试了,垃圾邮件也没有。换tutanota秒收

评分

参与人数 1人气 +1 收起 理由
呵呵大神001 + 1 看看垃圾邮件

查看全部评分

BloodSilen
发表于 2022-12-19 16:33:56 | 显示全部楼层
感谢楼主分享!免费的EDR,好东西啊~
Yeah.hh
发表于 2022-12-21 10:46:57 | 显示全部楼层
感谢楼主分享免费的EDR
熊小度
发表于 2022-12-21 11:13:46 | 显示全部楼层
在填表格拿密钥那一步卡住了,提示点验证码框,结果没找到
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2023-2-1 05:04 , Processed in 0.140429 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表