火绒安全软件

用户规则分享区
发新帖
打印 上一主题 下一主题

[自定义规则] 火绒高级威胁防护规则

  [复制链接]
432920 2105
楼主
发表于 2018-12-5 17:56:14 | 只看该作者 |倒序浏览 |阅读模式
跳转到指定楼层
本帖最后由 191196846 于 2022-6-27 10:51 编辑

*原反攻击规则已停止维护,项目迁移至Github并重写为火绒高级威胁防护规则

项目地址:https://github.com/JerryLinLinLin/Huorong-ATP-Rules
下载地址:https://github.com/JerryLinLinLi ... les/releases/latest
规则文档:https://github.com/JerryLinLinLi ... ter/rules/README.md


火绒高级威胁防护规则


基于 MITRE ATT&CK™ 和恶意软件行为特征编写而成的火绒自定义防护规则,能够检测,阻止,拦截各类恶意软件,高级持续性威胁(APT)的攻击载体和攻击途径,典型的如无文件攻击,漏洞攻击,加密勒索等。同时具有较高的可扩展性和可维护性,对社区开发者友好。



安装/导入规则

下载最新规则版本,解压文件可得Rule.json, Auto.json。打开火绒主界面->防护中心->高级防护->自定义规则,点击开关启用,点击项目->进入高级防护设置项,在自定义规则设置界面->导入->选择Rule.json,在自动处理设置页面->导入->选择Auto.json。版本更新时请手动删除旧规则然后重新导入。


新手上路

按照此图所示导入规则。

为防止误报,部分规则默认未启用,请在阅读规则文档后再选择开启。


规则内容
  • Office 漏洞攻击防护
  • 勒索防护
  • 无文件攻击防护
  • 流行恶意软件家族防护
  • ...详见规则文档



规则目录

所有规则位于rules/目录下,子文件夹代表不同规则组,以威胁类别.行为描述/病毒家族命名,例如Exploit.MSOffice

每个子目录下含有规则文件rule.jsonauto.json,为当前规则组的规则文件和对应的自动处理文件。每项规则以当前规则组名称+字母命名,例如Exploit.MSOffice

每条规则的具体用途可在各规则组文件夹下README.md找到,或在Rules根目录下找到。

目录结构如下

  1. .
  2. ├── Classification.Description1
  3. ├── Classification.Description2
  4. │   ├── rule.json
  5. │   ├── auto.json
  6. │   └── README.md
  7. └── README.md
复制代码



自动化脚本

位于scripts/目录下,用于自动检查规则文件格式、导出/合并所有规则组,生成规则说明文档等,仅限于此规则目录结构。

  • validate_rules.py - 验证规则文件,基于此schema

  1. usage: validate_rules.py [-h] --path PATH

  2. optional arguments:
  3.   -h, --help   show this help message and exit
  4.   --path PATH  folder path to check
复制代码

  • merge_rules.py - 将规则组合并为一个文件,方便导入。

  1. usage: merge_rules.py [-h] --path PATH --output OUTPUT

  2. optional arguments:
  3.   -h, --help       show this help message and exit
  4.   --path PATH      rule folder path to merge
  5.   --output OUTPUT  output folder path
复制代码

  • md_parser.py - 生成规则文档。

  1. usage: md_parser.py [-h] --path PATH

  2. optional arguments:
  3.   -h, --help   show this help message and exit
  4.   --path PATH  rule folder path to generate markdown
复制代码

更新日志

详见每次发布日志


TO-DO: Add changelog.md

反馈/贡献

在开Issues或者PR前,请确保阅读contributing guidelines

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?[立即注册]

x

评分

参与人数 69金钱 +227 收起 理由
绒绒要火 + 1 内容超赞!!!
CZZ404 + 5 内容超赞!!!
lingfeng2022 + 5 内容超赞!!!
yy688go + 5 内容超赞!!!
pentasa + 2 内容超赞!!!
晚睡协会会长 + 5 内容超赞!!!
Jiangxinyu99 + 1 不明觉厉!!
羽翼魔药 + 1 谢谢楼主分享!!
Axcia + 5 内容超赞!!!
我专治各种不服 + 1
20031124lzp + 5 不错,支持了!!
ConStanyin + 1 内容超赞!!!
我是小学生 + 5
绒火Loong + 5 能不用国产就不用国产,用了国产一定要用火.
ultraseven + 5 内容超赞!!!妥善解决部分国产流氓软件行.
JKVKK + 5 内容超赞!!!
AZAS + 5 谢谢楼主分享!!
yxdemon + 5 内容超赞!!!
Artorias + 5 内容超赞!!!
Gorogoa + 2

查看全部评分

回复

使用道具 举报

432920 2105
来自 2#
发表于 2019-7-17 15:54:07 | 只看该作者
本帖最后由 191196846 于 2021-1-18 11:06 编辑

4.0版本更新日志

4.30
01/17/2021
1. 解决部分误报
2. 新增 隐私窃取防护.A.00 , 针对腾讯系应用

4.28
01/10/2021
1. 解决部分误报

4.27
05/06/2020
1. 解决部分误报

4.26
05/02/2020
1. 增强对隐私窃取类木马的防护
2. 4.0 部分隐私防护,系统进程防护回归,默认关闭,有需要的可以手动开启(需要自己添加排除规则)
3. 解决部分误报

4.25
04/18/2020
1. 默认关闭powershell防护,有需要可以开启
2. 解决部分误报

4.24
03/23/2020
1. 删除部分可能导致误报的规则

4.23
03/15/2020
1. 解决部分误报

4.22
03/07/2020
1. 解决部分误报

4.21
03/04/2021
1. 解决部分误报

4.20
03/04/2021
1. 增强对 Formbook and AgentTesla 的防护
2. 解决部分误报

4.14
03/03/2020
1. 解决部分误报

4.12
02/25/2020
1. 解决部分误报

4.11
02/19/2020
1. 解决部分误报

4.10
02/17/2020
1. 合并规则组

4.05
02/14/2020
1. 解决WPS误报

4.04
12/10/2019
1. 解决部分误报

4.03
09/03/2019
1. 解决部分误报


4.02
08/13/2019
1. 解决部分误报


4.01
07/17/2019
1. 解决部分误报








点评

大佬牛逼~~~  发表于 2021-1-21 19:58

评分

参与人数 3金钱 +12 收起 理由
Gorogoa + 2 感谢分享
liangxiaoxiang + 5 为什么你这么给力??
Nobuchika + 5

查看全部评分

回复

使用道具 举报

432920 2105
板凳
发表于 2018-12-6 09:06:45 | 只看该作者
更新1.1

增加了些拦截规则

评分

参与人数 1金钱 +5 收起 理由
Nobuchika + 5

查看全部评分

回复

使用道具 举报

432920 2105
地板
发表于 2018-12-6 12:27:43 | 只看该作者
谢谢楼主
回复

使用道具 举报

432920 2105
5#
发表于 2018-12-6 15:54:39 | 只看该作者
支持一下
回复

使用道具 举报

432920 2105
6#
发表于 2018-12-6 16:26:59 | 只看该作者
更新1.2

调整拦截架构,新增更多规则

评分

参与人数 1金钱 +5 收起 理由
Nobuchika + 5

查看全部评分

回复

使用道具 举报

432920 2105
7#
发表于 2018-12-6 17:13:01 | 只看该作者
支持优质规则
现在使用场景比较复杂,如果有问题会再来反馈
回复

使用道具 举报

432920 2105
8#
发表于 2018-12-6 17:14:22 | 只看该作者
Nobuchika 发表于 2018-12-6 17:13
支持优质规则
现在使用场景比较复杂,如果有问题会再来反馈

嗯,遇到误报及时反馈给我

感谢支持~

评分

参与人数 1金钱 +5 收起 理由
Nobuchika + 5

查看全部评分

回复

使用道具 举报

432920 2105
9#
发表于 2018-12-6 18:31:05 | 只看该作者
支持一下
回复

使用道具 举报

432920 2105
10#
发表于 2018-12-6 19:48:30 | 只看该作者
支持一下
回复

使用道具 举报

432920 2105
11#
发表于 2018-12-6 20:43:46 | 只看该作者
更新1.3

调整可能导致误报的规则

评分

参与人数 1金钱 +5 收起 理由
Nobuchika + 5

查看全部评分

回复

使用道具 举报

432920 2105
12#
发表于 2018-12-6 20:48:23 | 只看该作者
本帖最后由 191196846 于 2018-12-6 20:49 编辑

https://www.anquanke.com/post/id/167334

最新 Flash 0day 漏洞(CVE-2018-15982)攻击  拦截


[

attach]35353[/attach]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?[立即注册]

x
回复

使用道具 举报

432920 2105
13#
发表于 2018-12-6 21:22:10 | 只看该作者
支持一下
回复

使用道具 举报

432920 2105
14#
发表于 2018-12-6 21:38:44 | 只看该作者
支持一下!!!
回复

使用道具 举报

432920 2105
15#
发表于 2018-12-7 20:45:28 | 只看该作者
谢谢大佬
回复

使用道具 举报

432920 2105
16#
发表于 2018-12-7 22:19:18 | 只看该作者
支次一些
回复

使用道具 举报

您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

快速回复 返回顶部 返回列表