Обзор разведки угроз

PRX-SD агрегирует данные разведки угроз из множества открытых и общественных источников в единую локальную базу данных. Этот многоуровневый подход обеспечивает широкое покрытие — от известных хешей вредоносных программ до правил поведенческих паттернов и сетевых индикаторов компрометации.

Категории сигнатур

PRX-SD организует разведку угроз в четыре категории:

Категория	Источники	Количество	Скорость поиска	Хранение
Хеш-сигнатуры	7 источников	Миллионы SHA-256/MD5	O(1) через LMDB	~500 МБ
Правила YARA	8 источников	38 800+ правил	Сопоставление паттернов	~15 МБ
IOC-фиды	5 источников	585 000+ индикаторов	Trie / хеш-карта	~25 МБ
База данных ClamAV	1 источник	11 000 000+ сигнатур	Движок ClamAV	~300 МБ

Хеш-сигнатуры

Самый быстрый уровень обнаружения. Каждый файл хешируется при сканировании и проверяется по локальной базе данных LMDB, содержащей хеши известных вредоносных файлов:

• abuse.ch MalwareBazaar — SHA-256 хеши последних образцов вредоносных программ (скользящее окно 48 часов)
• abuse.ch URLhaus — SHA-256 хеши файлов, распространяемых через вредоносные URL
• abuse.ch Feodo Tracker — SHA-256 хеши банковских троянов (Emotet, Dridex, TrickBot)
• abuse.ch ThreatFox — SHA-256 IOC из публичных материалов
• abuse.ch SSL Blacklist — SHA-1 отпечатки вредоносных SSL-сертификатов
• VirusShare — 20 000 000+ MD5 хешей (доступно при обновлении --full)
• Встроенный список блокировок — жёстко закодированные хеши для тестового файла EICAR, WannaCry, NotPetya, Emotet

Правила YARA

Правила сопоставления паттернов, идентифицирующие вредоносные программы по паттернам кода, строкам и структуре, а не точным хешам. Это обнаруживает варианты и семейства вредоносных программ:

• Встроенные правила — 64 curated правила для программ-вымогателей, троянов, бэкдоров, руткитов, майнеров, веб-шеллов
• Yara-Rules/rules — правила, поддерживаемые сообществом, для Emotet, TrickBot, CobaltStrike, Mirai, LockBit
• Neo23x0/signature-base — высококачественные правила для APT29, Lazarus, крипто-майнинга, веб-шеллов
• ReversingLabs YARA — правила коммерческого уровня с открытым исходным кодом для троянов, программ-вымогателей, бэкдоров
• ESET IOC — правила отслеживания APT для Turla, Interception и других продвинутых угроз
• InQuest — специализированные правила для вредоносных документов (OLE, эксплойты DDE)
• Elastic Security — правила обнаружения от команды исследования угроз Elastic
• Google GCTI — правила YARA от Google Cloud Threat Intelligence

IOC-фиды

Сетевые индикаторы компрометации для обнаружения соединений с известной вредоносной инфраструктурой:

• IPsum — агрегированный список репутации вредоносных IP (многоисточниковая оценка)
• FireHOL — curated списки блокировок IP на нескольких уровнях угроз
• Emerging Threats — правила Suricata/Snort, преобразованные в IOC IP/домен
• SANS ISC — ежедневные фиды подозрительных IP от Internet Storm Center
• URLhaus — активные вредоносные URL для фишинга, распространения вредоносных программ

База данных ClamAV

Опциональная интеграция с базой данных вирусов ClamAV, которая предоставляет крупнейший набор сигнатур с открытым исходным кодом:

• main.cvd — основные вирусные сигнатуры
• daily.cvd — ежедневно обновляемые сигнатуры
• bytecode.cvd — сигнатуры обнаружения байт-кода

Структура каталога данных

Все данные сигнатур хранятся в ~/.prx-sd/signatures/:

~/.prx-sd/signatures/
  hashes/
    malware_bazaar.lmdb       # MalwareBazaar SHA-256
    urlhaus.lmdb              # URLhaus SHA-256
    feodo.lmdb                # Feodo Tracker SHA-256
    threatfox.lmdb            # ThreatFox IOC
    virusshare.lmdb           # VirusShare MD5 (только --full)
    custom.lmdb               # Пользовательские импортированные хеши
  yara/
    builtin/                  # Встроенные правила (в комплекте с бинарным файлом)
    community/                # Скачанные правила сообщества
    custom/                   # Пользовательские правила
    compiled.yarc             # Кеш предкомпилированных правил
  ioc/
    ipsum.dat                 # Репутация IP IPsum
    firehol.dat               # Списки блокировок FireHOL
    et_compromised.dat        # IP Emerging Threats
    sans_isc.dat              # Подозрительные IP SANS ISC
    urlhaus_urls.dat          # Вредоносные URL URLhaus
  clamav/
    main.cvd                  # Основные сигнатуры ClamAV
    daily.cvd                 # Ежедневные обновления ClamAV
    bytecode.cvd              # Сигнатуры байт-кода ClamAV
  metadata.json               # Временные метки обновлений и информация о версии

TIP

Используйте sd info для просмотра текущего состояния всех баз данных сигнатур, включая количество источников, время последнего обновления и использование диска.

Запрос статуса сигнатур

sd info

PRX-SD Signature Database
  Hash signatures:    1,247,832 entries (7 sources)
  YARA rules:         38,847 rules (8 sources, 64 built-in)
  IOC indicators:     585,221 entries (5 sources)
  ClamAV signatures:  not installed
  Last updated:       2026-03-21 08:00:12 UTC
  Database version:   2026.0321.1
  Disk usage:         542 MB

Следующие шаги

• Обновление сигнатур — поддержание актуальности баз данных
• Источники сигнатур — подробная информация о каждом источнике
• Импорт хешей — добавление собственных списков блокировок хешей
• Пользовательские правила YARA — написание и развёртывание пользовательских правил