Источники сигнатур
PRX-SD агрегирует разведку угроз из более чем 20 открытых и общественных источников. На этой странице представлена подробная информация о каждом источнике, его охвате, частоте обновлений и типе данных.
Источники abuse.ch
Проект abuse.ch предоставляет несколько высококачественных, свободно доступных фидов угроз:
| Источник | Тип данных | Содержание | Частота обновлений | Лицензия |
|---|---|---|---|---|
| MalwareBazaar | SHA-256 | Образцы вредоносных программ, отправленные исследователями по всему миру. Скользящее окно 48 часов последних отправок. | Каждые 5 минут | CC0 |
| URLhaus | SHA-256 | Хеши файлов, связанных с URL-адресами, распространяющими вредоносное ПО. Охватывает drive-by загрузки, фишинговые пейлоады и дропперы. | Ежечасно | CC0 |
| Feodo Tracker | SHA-256 | Банковские трояны и загрузчики: Emotet, Dridex, TrickBot, QakBot, BazarLoader, IcedID. | Каждые 5 минут | CC0 |
| ThreatFox | SHA-256 | IOC, отправленные сообществом, охватывающие множество семейств вредоносных программ. Включает хеши файлов, домены и IP-адреса. | Ежечасно | CC0 |
| SSL Blacklist | SHA-1 (сертификат) | SHA-1 отпечатки SSL-сертификатов, используемых C2-серверами ботнетов. Используется для сопоставления сетевых IOC. | Ежедневно | CC0 |
TIP
Все фиды abuse.ch доступны без регистрации или API-ключей. PRX-SD загружает их непосредственно с публичных конечных точек API.
VirusShare
| Поле | Детали |
|---|---|
| Тип данных | MD5-хеши |
| Количество | 20 000 000+ |
| Содержание | Один из крупнейших публичных репозиториев хешей вредоносных программ. Содержит MD5-хеши, организованные в пронумерованные файлы списков (VirusShare_00000.md5 до VirusShare_00500+.md5). |
| Частота обновлений | Новые файлы списков добавляются периодически |
| Доступ | Бесплатно (требует флага --full из-за размера загрузки) |
| Лицензия | Бесплатно для некоммерческого использования |
WARNING
Полная загрузка VirusShare составляет около 500 МБ и требует значительного времени для импорта. Используйте sd update --full для её включения или sd update для стандартных обновлений без VirusShare.
Источники правил YARA
| Источник | Количество правил | Область охвата | Качество |
|---|---|---|---|
| Встроенные правила | 64 | Программы-вымогатели, трояны, бэкдоры, руткиты, майнеры, веб-шеллы для Linux, macOS, Windows | Curated командой PRX-SD |
| Yara-Rules/rules | Сообщество | Emotet, TrickBot, CobaltStrike, Mirai, LockBit, APT | Поддерживается сообществом |
| Neo23x0/signature-base | Большой объём | APT29, Lazarus Group, крипто-майнинг, веб-шеллы, семейства программ-вымогателей | Высокое качество, Florian Roth |
| ReversingLabs YARA | Коммерческий уровень | Трояны, программы-вымогатели, бэкдоры, хакерские инструменты, эксплойты | Профессиональный уровень, открытый исходный код |
| Elastic Security | Растущий | Правила обнаружения на эндпоинтах для угроз Windows, Linux, macOS | Команда исследования угроз Elastic |
| Google GCTI | Избирательный | Высококачественные правила от Google Cloud Threat Intelligence | Очень высокое качество |
| ESET IOC | Избирательный | APT-отслеживание: Turla, Interception, InvisiMole и другие продвинутые угрозы | Ориентирован на APT |
| InQuest | Специализированный | Вредоносные документы: OLE-эксплойты, внедрение DDE, макровирусы | Специфичен для документов |
Категории правил YARA
Объединённый набор правил охватывает следующие категории вредоносных программ:
| Категория | Примеры семейств | Охват платформ |
|---|---|---|
| Программы-вымогатели | WannaCry, LockBit, Conti, REvil, Akira, BlackCat | Windows, Linux |
| Трояны | Emotet, TrickBot, QakBot, Agent Tesla, RedLine | Windows |
| Бэкдоры | CobaltStrike, Metasploit, ShadowPad, PlugX | Кросс-платформенный |
| Руткиты | Reptile, Diamorphine, Horse Pill | Linux |
| Майнеры | XMRig, варианты CCMiner | Кросс-платформенный |
| Веб-шеллы | China Chopper, WSO, b374k, c99, r57 | Кросс-платформенный |
| APT | APT29, Lazarus, Turla, Sandworm, OceanLotus | Кросс-платформенный |
| Эксплойты | EternalBlue, PrintNightmare, пейлоады Log4Shell | Кросс-платформенный |
| Хакерские инструменты | Mimikatz, Rubeus, BloodHound, Impacket | Windows |
| Документы | Вредоносные макросы Office, PDF-эксплойты, RTF-эксплойты | Кросс-платформенный |
Источники IOC-фидов
| Источник | Тип индикатора | Количество | Содержание | Частота обновлений |
|---|---|---|---|---|
| IPsum | IP-адреса | 150 000+ | Агрегированная репутация вредоносных IP из 50+ списков блокировок. Многоуровневая оценка (уровень 1-8 на основе количества списков, упоминающих IP). | Ежедневно |
| FireHOL | IP-адреса | 200 000+ | Curated списки блокировок IP, организованные по уровню угрозы (уровень 1-4). Более высокие уровни имеют более строгие критерии включения. | Каждые 6 часов |
| Emerging Threats | IP-адреса | 100 000+ | IP-адреса, извлечённые из правил IDS Suricata и Snort. Охватывает C2 ботнетов, сканирование, брутфорс, попытки эксплуатации. | Ежедневно |
| SANS ISC | IP-адреса | 50 000+ | Подозрительные IP от сенсорной сети DShield Internet Storm Center. | Ежедневно |
| URLhaus (URL) | URL-адреса | 85 000+ | Активные вредоносные URL, используемые для распространения вредоносных программ, фишинга и доставки эксплойтов. | Ежечасно |
База данных ClamAV
| Поле | Детали |
|---|---|
| Тип данных | Многоформатные сигнатуры (хеш, байт-код, регулярные выражения, логические) |
| Количество | 11 000 000+ сигнатур |
| Файлы | main.cvd (основной), daily.cvd (ежедневные обновления), bytecode.cvd (правила байт-кода) |
| Содержание | Крупнейшая база данных вирусных сигнатур с открытым исходным кодом. Охватывает вирусы, трояны, черви, фишинг, PUA. |
| Частота обновлений | Несколько раз в день |
| Доступ | Бесплатно через freshclam или прямую загрузку |
Для включения интеграции с ClamAV:
bash
# Импортировать базы данных ClamAV
sd import-clamav /var/lib/clamav/main.cvd
sd import-clamav /var/lib/clamav/daily.cvdПодробные инструкции по импорту ClamAV см. в разделе Импорт хешей.
Настройка источников
Включение или отключение отдельных источников в config.toml:
toml
[signatures.sources]
malware_bazaar = true
urlhaus = true
feodo_tracker = true
threatfox = true
ssl_blacklist = true
virusshare = false # Включить с sd update --full
builtin_rules = true
yara_community = true
neo23x0 = true
reversinglabs = true
elastic = true
gcti = true
eset = true
inquest = true
ipsum = true
firehol = true
emerging_threats = true
sans_isc = true
clamav = false # Включить после импорта баз данных ClamAVСледующие шаги
- Обновление сигнатур — загрузка и обновление всех источников
- Импорт хешей — добавление пользовательских хешей и баз данных ClamAV
- Пользовательские правила YARA — создание собственных правил обнаружения
- Обзор разведки угроз — архитектура и структура каталога данных