• 我们在哪一颗星上见过 ,以至如此相互思念 ;我们在哪一颗星上相互思念过,以至如此相互深爱
  • 我们在哪一颗星上分别 ,以至如此相互辉映 ;我们在哪一颗星上入睡 ,以至如此唤醒黎明
  • 认识世界 克服困难 洞悉所有 贴近生活 寻找珍爱 感受彼此

Yara检测-VALHALLA

威胁情报 云涯 2年前 (2022-08-10) 999次浏览

简介

VALHALLA 借助数千条手工制作的高质量 YARA 规则提高您的检测能力。

我们的团队在 8 个不同类别中策划了超过 15,000 条经过质量测试的 YARA 规则:APT、黑客工具、恶意软件、Web Shell、漏洞利用、威胁追踪、异常和第三方。其中五个可以订阅,其他三个只能在我们的扫描仪THOR中以编译和加密的形式使用。

Valhalla 的数据库每年以 1500 条 YARA 规则增长。订阅包括对旧规则的管理。去年,我们更改和改进了 300 多条旧规则。

通过访问 Valhalla,您可以通过将我们大多数非常成功的 THOR 扫描仪签名添加到您自己的扫描引擎来增强您的检测能力。

所有规则都针对 TB 级的好软件和其他数据进行了性能优化和质量测试。

丰富的元数据

Valhalla 提供丰富的元数据,为每个匹配项添加有价值的上下文,例如 Web 参考、相关的威胁组活动、最初创建规则的样本哈希值以及  迄今为止匹配规则的公共样本列表。

每个规则都包含有关运行该规则所需的 YARA 版本和模块的信息。

API 客户端允许您仅检索您的产品支持的那些规则。

规则的分数和标签表明了它的可靠性和范围。两者都可用于为您的应用程序选择完美的规则集。

智能 API

Python 模块允许您将订阅的类别下载为文本或 JSON 对象。它甚至具有支持 YARA 扫描的知名产品的预设,例如 FireEye 的设备、Tenable、Tanium、CarbonBlack 或 Symantec MAA。

它需要不超过 3 行代码来检索订阅的 YARA 规则集。

网站

网站https://valhalla.nextron-systems.com允许您使用 Web 浏览器立即检索您订阅的规则。

只需插入您的 API 密钥并单击“获取规则”。

您还可以选择“JSON”复选框以 JSON 格式获取它们,或选择“DEMO”以使用演示 API 密钥测试此功能,它允许您检索所选格式的所有公共 YARA 规则。

该网站还包含有关当前规则集的统计信息。

命令行客户端

舒适的命令行客户端“valhalla-cli”有助于将规则检索集成到您的部署过程中。

这真的很简单。

可以运行以下命令安装它:

pip3 install valhallaAPI

下一个命令检索所有订阅的规则:

valhalla-cli -k APIKEY

命令行客户端支持代理服务器并允许您应用许多过滤器,例如

  • 排除分数低
    的规则(例如分数低于 75 的威胁追踪规则)
  • 排除不适用于您的扫描引擎的规则(例如“Tanium”)
  • 仅检索带有特定标签的规则
    (例如“CHINA”、“APT”)

使用

web浏览器使用

https://valhalla.nextron-systems.com/info/search

网站提供了一个测试的API Key:1111111111111111111111111111111111111111111111111111111111111111,我们可以使用

包括最新的yara规则

链接是这个yara的参考技术点

成功的yara检测集合(此表显示了具有最低 AV 检测率的最佳规则的统计信息(过去 12 个月创建的规则,过去 14 天的匹配))

info对应这个yara的一些信息和匹配的样本

VT是利用Thor机器人在vt上搜索的链接

杀毒引擎检测比较低的yara,下面也是这样的

每个类别现有的条数

下文可以搜”关键字“,”标签“,”TTP“,”sha256“,”规则名“

例如搜索sha256可以看到该样本对应哪个yara规则

Python使用

参考链接:https://nextronsystems.github.io/valhallaAPI/

https://github.com/NextronSystems/valhallaAPI

Python模块的两个主要功能是:

  • get_rules_text()以文本形式检索规则
  • get_rules_json()以 JSON 格式检索规则

该模块提供了过滤检索到的 YARA 规则的功能

  • 标签
  • 分数
  • 关键词
  • 支持的 YARA 版本和所需的 YARA 模块

Valhalla 数据库中的特殊查找有 2 个额外功能(仅供客户使用):

  • get_rule_info检索规则信息和所有匹配的样本哈希
  • get_hash_info检索与某个 sha256 哈希匹配的所有规则

一个公共的key 用来测试:允许您检索已处理的基于公共签名的规则集。(https://github.com/Neo23x0/signature-base)

1111111111111111111111111111111111111111111111111111111111111111

该键还允许您查询单个规则的规则信息,即:

Casing_Anomaly_ByPass
pip install valhallaAPI

获取服务状态(不需要有效的 API 密钥)

from valhallaAPI.valhalla import ValhallaAPI

v = ValhallaAPI()
status = v.get_status()

回复

{
  "error": "none", 
  "num_rules": 10463, 
  "status": "green", 
  "version": 2020051212
}

以文本形式获取所有订阅的规则并将它们保存到文件中

from valhallaAPI.valhalla import ValhallaAPI

v = ValhallaAPI(api_key="Your API Key")
response = v.get_rules_text()

with open('valhalla-rules.yar', 'w') as fh:
    fh.write(response)

或者使用 DEMO API 密钥,它允许您检索所有公共规则

from valhallaAPI.valhalla import ValhallaAPI

v = ValhallaAPI(api_key="1111111111111111111111111111111111111111111111111111111111111111")
response = v.get_rules_text()

with open('valhalla-rules.yar', 'w') as fh:
    fh.write(response)

获取所有订阅的最低分数为 75 的规则并将其保存到文件中

response = v.get_rules_text(score=75)

获取所有包含关键字的订阅规则Mimikatz并将它们保存到文件中

response = v.get_rules_text(search="Mimikatz")

为您的扫描引擎获取所有订阅的规则,它支持 YARA 到版本3.2.0pe模块,并将它们保存到文件中

response = v.get_rules_text(max_version="3.2.0", modules=['pe'])

获取您的所有订阅规则FireEyeEX

from valhallaAPI.valhalla import ValhallaAPI

v = ValhallaAPI(api_key="Your API Key")
response = v.get_rules_text(product="FireEyeEX")

以下产品具有预定义的预设

    FIREEYEAX = "FireEyeAX"
    FIREEYENX = "FireEyeNX"
    FIREEYEEX = "FireEyeEX"
    CARBONBLACK = "CarbonBlack"

获取所有带有APT标签的订阅规则,JSON并将它们保存到文件中

import json
from valhallaAPI.valhalla import ValhallaAPI

v = ValhallaAPI(api_key="Your API Key")
response = v.get_rules_json(tags=['APT'])

with open('valhalla-rules.json', 'w') as fh:
    fh.write(json.dumps(response)) 

获取规则信息Casing_Anomaly_ByPass

from valhallaAPI.valhalla import ValhallaAPI

v = ValhallaAPI(api_key="Your API Key")
response = v.get_rule_info(rulename="Casing_Anomaly_ByPass")

请注意,规则信息Casing_Anomaly_ByPass是您可以使用 DEMO API 密钥检索的唯一信息。重要提示:规则信息端点是速率限制的。您可以将其用于单个查找。批量请求导致禁令。

获取散列信息8a883a74702f83a273e6c292c672f1144fd1cce8ee126cd90c95131e870744af(仅支持 SHA256 散列)

from valhallaAPI.valhalla import ValhallaAPI

v = ValhallaAPI(api_key="Your API Key")
response = v.get_hash_info(hash="8a883a74702f83a273e6c292c672f1144fd1cce8ee126cd90c95131e870744af")

(仅适用于客户)获取基于关键字搜索的所有规则(例如TurlaBypassPlugX

from valhallaAPI.valhalla import ValhallaAPI

v = ValhallaAPI(api_key="Your API Key")
response = v.get_keyword_rules(keyword="Turla")

仅适用于客户)

获取关键字搜索选择的规则的所有示例匹配(例如TurlaBypassPlugX

 


云涯历险记 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:Yara检测-VALHALLA
喜欢 (1)