مصادر التوقيعات
يجمع PRX-SD استخبارات التهديدات من أكثر من 20 مصدراً مفتوحاً ومجتمعياً. توفر هذه الصفحة معلومات تفصيلية عن كل مصدر وتغطيته وتكرار تحديثه ونوع بياناته.
مصادر abuse.ch
يوفر مشروع abuse.ch العديد من موجات التهديدات عالية الجودة والمتاحة مجاناً:
| المصدر | نوع البيانات | المحتوى | تكرار التحديث | الرخصة |
|---|---|---|---|---|
| MalwareBazaar | SHA-256 | عينات البرامج الضارة المُقدَّمة من باحثين حول العالم. نافذة متحركة لآخر 48 ساعة من أحدث التقديمات. | كل 5 دقائق | CC0 |
| URLhaus | SHA-256 | هاشات الملفات المرتبطة بـ URLs تُوزِّع البرامج الضارة. تغطي التنزيلات المُحرَّكة بالقيادة وحمولات التصيد الاحتيالي وإسقاط مجموعة الاستغلال. | كل ساعة | CC0 |
| Feodo Tracker | SHA-256 | أحصنة طروادة المصرفية والمحمِّلات: Emotet وDridex وTrickBot وQakBot وBazarLoader وIcedID. | كل 5 دقائق | CC0 |
| ThreatFox | SHA-256 | IOCs مُقدَّمة من المجتمع عبر عائلات برامج ضارة متعددة. تشمل هاشات الملفات والنطاقات وعناوين IP. | كل ساعة | CC0 |
| SSL Blacklist | SHA-1 (شهادة) | بصمات SHA-1 لشهادات SSL المستخدمة من قِبل خوادم C2 للـ botnet. تُستخدم لمطابقة IOC الشبكية. | يومياً | CC0 |
TIP
جميع موجات abuse.ch متاحة دون تسجيل أو مفاتيح API. يُنزِّلها PRX-SD مباشرةً من نقاط نهاية API العامة.
VirusShare
| الحقل | التفاصيل |
|---|---|
| نوع البيانات | هاشات MD5 |
| العدد | أكثر من 20,000,000 |
| المحتوى | أحد أكبر مستودعات هاش البرامج الضارة العامة. يحتوي على هاشات MD5 مُنظَّمة في ملفات قائمة مُرقَّمة (VirusShare_00000.md5 حتى VirusShare_00500+.md5). |
| تكرار التحديث | تُضاف ملفات قائمة جديدة بشكل دوري |
| الوصول | مجاني (يتطلب علم --full بسبب حجم التنزيل) |
| الرخصة | مجاني للاستخدام غير التجاري |
WARNING
تنزيل VirusShare الكامل يبلغ حجمه حوالي 500 MB ويستغرق وقتاً طويلاً للاستيراد. استخدم sd update --full لتضمينه، أو sd update للتحديثات القياسية بدون VirusShare.
مصادر قواعد YARA
| المصدر | عدد القواعد | مجال التركيز | الجودة |
|---|---|---|---|
| القواعد المدمجة | 64 | برامج الفدية وأحصنة طروادة والباب الخلفي وrootkit وعمال المنجم والـ webshells عبر لينكس وماك أو إس وويندوز | منتقاة من فريق PRX-SD |
| Yara-Rules/rules | مجتمعي | Emotet وTrickBot وCobaltStrike وMirai وLockBit والـ APTs | يُصانه المجتمع |
| Neo23x0/signature-base | حجم كبير | APT29 ومجموعة Lazarus وتعدين العملات المشفرة والـ webshells وعائلات برامج الفدية | جودة عالية، Florian Roth |
| ReversingLabs YARA | تجاري المستوى | أحصنة طروادة وبرامج الفدية والباب الخلفي وأدوات الاختراق وثغرات الاستغلال | مستوى احترافي، مفتوح المصدر |
| Elastic Security | متزايد | قواعد كشف نقطة النهاية تغطي تهديدات ويندوز ولينكس وماك أو إس | فريق أبحاث تهديدات Elastic |
| Google GCTI | انتقائي | قواعد عالية الثقة من استخبارات تهديدات Google Cloud | جودة عالية جداً |
| ESET IOC | انتقائي | تتبع APT: Turla وInterception وInvisiMole والتهديدات المتقدمة الأخرى | مركّز على APT |
| InQuest | متخصص | المستندات الضارة: استغلالات OLE وحقن DDE والبرامج الضارة المستندة إلى الماكرو | خاص بالمستندات |
فئات قواعد YARA
مجموعة القواعد المدمجة تغطي فئات البرامج الضارة التالية:
| الفئة | عائلات مثالية | تغطية المنصة |
|---|---|---|
| برامج الفدية | WannaCry وLockBit وConti وREvil وAkira وBlackCat | ويندوز، لينكس |
| أحصنة طروادة | Emotet وTrickBot وQakBot وAgent Tesla وRedLine | ويندوز |
| الباب الخلفي | CobaltStrike وMetasploit وShadowPad وPlugX | متعدد المنصات |
| Rootkit | Reptile وDiamorphine وHorse Pill | لينكس |
| عمال المنجم | XMRig ومتغيرات CCMiner | متعدد المنصات |
| Webshells | China Chopper وWSO وb374k وc99 وr57 | متعدد المنصات |
| APTs | APT29 وLazarus وTurla وSandworm وOceanLotus | متعدد المنصات |
| ثغرات الاستغلال | EternalBlue وPrintNightmare وحمولات Log4Shell | متعدد المنصات |
| أدوات الاختراق | Mimikatz وRubeus وBloodHound وImpacket | ويندوز |
| المستندات | ماكرو Office الضار واستغلالات PDF واستغلالات RTF | متعدد المنصات |
مصادر موجات IOC
| المصدر | نوع المؤشر | العدد | المحتوى | تكرار التحديث |
|---|---|---|---|---|
| IPsum | عناوين IP | أكثر من 150,000 | سمعة IP الضارة المجمَّعة من أكثر من 50 قائمة حظر. تسجيل متعدد المستويات (المستوى 1-8 بناءً على عدد القوائم التي تستشهد بـ IP). | يومياً |
| FireHOL | عناوين IP | أكثر من 200,000 | قوائم حظر IP منتقاة مُنظَّمة حسب مستوى التهديد (المستوى 1 إلى 4). المستويات الأعلى لها معايير أكثر صرامة للإدراج. | كل 6 ساعات |
| Emerging Threats | عناوين IP | أكثر من 100,000 | IPs مستخرجة من قواعد IDS Suricata وSnort. تغطي C2 للـ botnet والمسح وإجبار كلمة المرور ومحاولات الاستغلال. | يومياً |
| SANS ISC | عناوين IP | أكثر من 50,000 | IPs مشبوهة من شبكة استشعار DShield الخاصة بـ Internet Storm Center. | يومياً |
| URLhaus (URLs) | URLs | أكثر من 85,000 | URLs ضارة نشطة تُستخدم لتوزيع البرامج الضارة والتصيد الاحتيالي وتسليم الاستغلال. | كل ساعة |
قاعدة بيانات ClamAV
| الحقل | التفاصيل |
|---|---|
| نوع البيانات | توقيعات متعددة التنسيق (هاش، bytecode، regex، منطقي) |
| العدد | أكثر من 11,000,000 توقيع |
| الملفات | main.cvd (أساسي)، daily.cvd (تحديثات يومية)، bytecode.cvd (قواعد bytecode) |
| المحتوى | أكبر قاعدة بيانات توقيعات فيروسات مفتوحة المصدر. تغطي الفيروسات وأحصنة طروادة والديدان والتصيد الاحتيالي والـ PUAs. |
| تكرار التحديث | عدة مرات يومياً |
| الوصول | مجاني عبر freshclam أو التنزيل المباشر |
لتمكين تكامل ClamAV:
bash
# استيراد قواعد بيانات ClamAV
sd import-clamav /var/lib/clamav/main.cvd
sd import-clamav /var/lib/clamav/daily.cvdانظر استيراد الهاشات لتعليمات استيراد ClamAV التفصيلية.
إعداد المصدر
تمكين أو تعطيل المصادر الفردية في config.toml:
toml
[signatures.sources]
malware_bazaar = true
urlhaus = true
feodo_tracker = true
threatfox = true
ssl_blacklist = true
virusshare = false # تمكين بـ sd update --full
builtin_rules = true
yara_community = true
neo23x0 = true
reversinglabs = true
elastic = true
gcti = true
eset = true
inquest = true
ipsum = true
firehol = true
emerging_threats = true
sans_isc = true
clamav = false # تمكين بعد استيراد قواعد بيانات ClamAVالخطوات التالية
- تحديث التوقيعات -- تنزيل وتحديث جميع المصادر
- استيراد الهاشات -- إضافة هاشات مخصصة وقواعد بيانات ClamAV
- قواعد YARA المخصصة -- كتابة قواعد الكشف الخاصة بك
- نظرة عامة على استخبارات التهديدات -- البنية المعمارية وتخطيط دليل البيانات