სიგნატურების წყაროები
PRX-SD საფრთხის ინტელექტს 20-ზე მეტი ღია კოდისა და საზოგადოების წყაროდან აგროვებს. ეს გვერდი ყოველი წყაროს, მისი გადაფარვის, განახლების სიხშირისა და მონაცემთა ტიპის დეტალურ ინფორმაციას გვაწვდის.
abuse.ch წყაროები
abuse.ch პროექტი რამდენიმე მაღალ-ხარისხიან, თავისუფლად ხელმისაწვდომ საფრთხის feed-ს გვთავაზობს:
| წყარო | მონაცემთა ტიპი | შინაარსი | განახლების სიხშირე | ლიცენზია |
|---|---|---|---|---|
| MalwareBazaar | SHA-256 | მსოფლიო მკვლევართა მიერ სუბმიტირებული მავნე პროგრამის ნიმუშები. ბოლო სუბმისიების 48-საათიანი rolling window. | ყოველ 5 წუთში | CC0 |
| URLhaus | SHA-256 | მავნე პროგრამის გავრცელებად URL-ებთან ასოცირებული ფაილ-ჰეშები. Covers drive-by downloads, phishing payload-ები და exploit kit drops. | ყოველ საათში | CC0 |
| Feodo Tracker | SHA-256 | საბანკო ტროიანები და loader-ები: Emotet, Dridex, TrickBot, QakBot, BazarLoader, IcedID. | ყოველ 5 წუთში | CC0 |
| ThreatFox | SHA-256 | მრავალ მავნე-პროგრამ-ოჯახის მოიცვა საზოგადოების სუბმიტირებული IOC-ები. ფაილ-ჰეშებს, დომენებსა და IP-ებს შეიცავს. | ყოველ საათში | CC0 |
| SSL Blacklist | SHA-1 (სერტ.) | Botnet C2 სერვერების მიერ გამოყენებული SSL სერტიფიკატების SHA-1 ანაბეჭდები. ქსელ-IOC შეჯამებისთვის გამოიყენება. | ყოველდღიურად | CC0 |
TIP
ყველა abuse.ch feed-ი რეგისტრაციის ან API გასაღებების გარეშეა ხელმისაწვდომი. PRX-SD მათ პირდაპირ საჯარო API endpoint-ებიდან ჩამოტვირთავს.
VirusShare
| ველი | დეტალები |
|---|---|
| მონაცემთა ტიპი | MD5 ჰეშები |
| რაოდენობა | 20,000,000+ |
| შინაარსი | ერთ-ერთი ყველაზე დიდი საჯარო მავნე-პროგრამ-ჰეშ-რეპოზიტორია. MD5 ჰეშები დანომრილ ჩამონათვალ-ფაილებში (VirusShare_00000.md5-დან VirusShare_00500+.md5-მდე). |
| განახლების სიხშირე | ახალი ჩამონათვალ-ფაილები პერიოდულად ემატება |
| წვდომა | უფასო (ჩამოტვირთვის ზომის გამო --full ნიშანს საჭიროებს) |
| ლიცენზია | უფასო არაკომერციული გამოყენებისთვის |
WARNING
VirusShare-ის სრული ჩამოტვირთვა დაახლოებით 500 MB-ია და იმპორტს მნიშვნელოვანი დრო სჭირდება. VirusShare-ის ჩასართავად sd update --full-ის გამოყენება, VirusShare-ის გარეშე სტანდარტული განახლებისთვის კი sd update-ის გამოყენება.
YARA წესების წყაროები
| წყარო | წესების რაოდენობა | ფოკუს-სფერო | ხარისხი |
|---|---|---|---|
| ჩაშენებული წესები | 64 | Linux, macOS, Windows-ის გამოსასყიდი, ტროიანები, backdoor-ები, rootkit-ები, miner-ები, webshell-ები | PRX-SD გუნდის კურირება |
| Yara-Rules/rules | საზოგადოება | Emotet, TrickBot, CobaltStrike, Mirai, LockBit, APT-ები | საზოგადოების მართული |
| Neo23x0/signature-base | მაღალი მოცულობა | APT29, Lazarus Group, კრიპტო-mining, webshell-ები, გამოსასყიდ-ოჯახები | მაღალი ხარისხი, Florian Roth |
| ReversingLabs YARA | კომერციული კლასი | ტროიანები, გამოსასყიდი, backdoor-ები, hack tools, exploit-ები | პროფესიონალური, ღია კოდი |
| Elastic Security | მზარდი | Endpoint-ის გამოვლენის წესები Windows, Linux, macOS საფრთხეებისთვის | Elastic-ის საფრთხეების კვლევის გუნდი |
| Google GCTI | სელექტიური | Google Cloud Threat Intelligence-ის მაღალი-ნდობის წესები | ძალიან მაღალი ხარისხი |
| ESET IOC | სელექტიური | APT-ის თვალთვალი: Turla, Interception, InvisiMole და სხვა მაღალი საფრთხეები | APT-ფოკუსირებული |
| InQuest | სპეციალიზებული | მავნე დოკუმენტები: OLE exploits, DDE ინჟექცია, macro-ზე დაფუძნებული მავნე პროგრამა | დოკუმენტ-სპეციფიკური |
YARA წესების კატეგორიები
კომბინირებული rule set ამ მავნე-პროგრამ-კატეგორიებს მოიცავს:
| კატეგორია | ოჯახის მაგალითები | პლატფორმის გადაფარვა |
|---|---|---|
| გამოსასყიდი | WannaCry, LockBit, Conti, REvil, Akira, BlackCat | Windows, Linux |
| ტროიანები | Emotet, TrickBot, QakBot, Agent Tesla, RedLine | Windows |
| Backdoor-ები | CobaltStrike, Metasploit, ShadowPad, PlugX | კროს-პლატფორმული |
| Rootkit-ები | Reptile, Diamorphine, Horse Pill | Linux |
| Miner-ები | XMRig, CCMiner ვარიანტები | კროს-პლატფორმული |
| Webshell-ები | China Chopper, WSO, b374k, c99, r57 | კროს-პლატფორმული |
| APT-ები | APT29, Lazarus, Turla, Sandworm, OceanLotus | კროს-პლატფორმული |
| Exploit-ები | EternalBlue, PrintNightmare, Log4Shell payload-ები | კროს-პლატფორმული |
| Hack Tools | Mimikatz, Rubeus, BloodHound, Impacket | Windows |
| დოკუმენტები | მავნე Office macro-ები, PDF exploit-ები, RTF exploit-ები | კროს-პლატფორმული |
IOC Feed-ების წყაროები
| წყარო | ინდიკატორის ტიპი | რაოდენობა | შინაარსი | განახლების სიხშირე |
|---|---|---|---|---|
| IPsum | IP მისამართები | 150,000+ | 50+ blocklist-ის შეგროვებული მავნე IP-ის რეპუტაცია. მრავალ-დონიანი ქულება (დონე 1-8 IP-ის ამ სიებში ხსენების რაოდენობის მიხედვით). | ყოველდღიურად |
| FireHOL | IP მისამართები | 200,000+ | საფრთხის დონის მიხედვით ორგანიზებული კურირებული IP blocklist-ები (level1-დან level4-მდე). უფრო მაღალ დონეებს უფრო მკაცრი ჩართვის კრიტერიუმები აქვს. | ყოველ 6 საათში |
| Emerging Threats | IP მისამართები | 100,000+ | Suricata და Snort IDS წესებიდან ამოღებული IP-ები. Botnet C2, სკანირება, brute force, exploit მცდელობებს მოიცავს. | ყოველდღიურად |
| SANS ISC | IP მისამართები | 50,000+ | Internet Storm Center-ის DShield სენსორ-ქსელიდან საეჭვო IP-ები. | ყოველდღიურად |
| URLhaus (URL-ები) | URL-ები | 85,000+ | მავნე პროგრამის გავრცელებისთვის, ფიშინგისა და exploit-ის გადაცემისთვის გამოყენებული აქტიური მავნე URL-ები. | ყოველ საათში |
ClamAV მონაცემთა ბაზა
| ველი | დეტალები |
|---|---|
| მონაცემთა ტიპი | მრავალ-ფორმატიანი სიგნატურები (ჰეში, bytecode, regex, ლოგიკური) |
| რაოდენობა | 11,000,000+ სიგნატურა |
| ფაილები | main.cvd (ძირითადი), daily.cvd (ყოველდღიური განახლებები), bytecode.cvd (bytecode წესები) |
| შინაარსი | ყველაზე დიდი ღია კოდის ვირუსის სიგნატურ-მონაცემთა ბაზა. ვირუსებს, ტროიანებს, ჭიებს, ფიშინგს, PUA-ებს მოიცავს. |
| განახლების სიხშირე | ყოველდღიურად რამდენჯერმე |
| წვდომა | უფასო freshclam-ის ან პირდაპირი ჩამოტვირთვით |
ClamAV ინტეგრაციის ჩასართავად:
bash
# ClamAV მონაცემთა ბაზების იმპორტი
sd import-clamav /var/lib/clamav/main.cvd
sd import-clamav /var/lib/clamav/daily.cvdდეტალური ClamAV იმპორტის ინსტრუქციებისთვის იხილეთ ჰეშ-იმპორტი.
წყაროს კონფიგურაცია
ინდივიდუალური წყაროების config.toml-ში ჩართვა ან გამორთვა:
toml
[signatures.sources]
malware_bazaar = true
urlhaus = true
feodo_tracker = true
threatfox = true
ssl_blacklist = true
virusshare = false # Enable with sd update --full
builtin_rules = true
yara_community = true
neo23x0 = true
reversinglabs = true
elastic = true
gcti = true
eset = true
inquest = true
ipsum = true
firehol = true
emerging_threats = true
sans_isc = true
clamav = false # Enable after importing ClamAV DBsშემდეგი ნაბიჯები
- სიგნატურების განახლება -- ყველა წყაროს ჩამოტვირთვა და განახლება
- ჰეშ-იმპორტი -- მომხმარებლის ჰეშებისა და ClamAV მონაცემთა ბაზების დამატება
- მომხმარებლის YARA წესები -- საკუთარი გამოვლენის წესების დაწერა
- საფრთხის ინტელექტის მიმოხილვა -- არქიტექტურა და მონაცემთა დირექტორიის განლაგება