火绒安全软件

用户规则分享区
发新帖
打印 上一主题 下一主题

[自定义规则] 火绒高级威胁防护规则

  [复制链接]
433068 2105
#
发表于 2018-12-5 17:56:14 | 只看该作者 |正序浏览 |阅读模式
跳转到指定楼层
本帖最后由 191196846 于 2022-6-27 10:51 编辑

*原反攻击规则已停止维护,项目迁移至Github并重写为火绒高级威胁防护规则

项目地址:https://github.com/JerryLinLinLin/Huorong-ATP-Rules
下载地址:https://github.com/JerryLinLinLi ... les/releases/latest
规则文档:https://github.com/JerryLinLinLi ... ter/rules/README.md


火绒高级威胁防护规则


基于 MITRE ATT&CK™ 和恶意软件行为特征编写而成的火绒自定义防护规则,能够检测,阻止,拦截各类恶意软件,高级持续性威胁(APT)的攻击载体和攻击途径,典型的如无文件攻击,漏洞攻击,加密勒索等。同时具有较高的可扩展性和可维护性,对社区开发者友好。



安装/导入规则

下载最新规则版本,解压文件可得Rule.json, Auto.json。打开火绒主界面->防护中心->高级防护->自定义规则,点击开关启用,点击项目->进入高级防护设置项,在自定义规则设置界面->导入->选择Rule.json,在自动处理设置页面->导入->选择Auto.json。版本更新时请手动删除旧规则然后重新导入。


新手上路

按照此图所示导入规则。

为防止误报,部分规则默认未启用,请在阅读规则文档后再选择开启。


规则内容
  • Office 漏洞攻击防护
  • 勒索防护
  • 无文件攻击防护
  • 流行恶意软件家族防护
  • ...详见规则文档



规则目录

所有规则位于rules/目录下,子文件夹代表不同规则组,以威胁类别.行为描述/病毒家族命名,例如Exploit.MSOffice

每个子目录下含有规则文件rule.jsonauto.json,为当前规则组的规则文件和对应的自动处理文件。每项规则以当前规则组名称+字母命名,例如Exploit.MSOffice

每条规则的具体用途可在各规则组文件夹下README.md找到,或在Rules根目录下找到。

目录结构如下

  1. .
  2. ├── Classification.Description1
  3. ├── Classification.Description2
  4. │   ├── rule.json
  5. │   ├── auto.json
  6. │   └── README.md
  7. └── README.md
复制代码



自动化脚本

位于scripts/目录下,用于自动检查规则文件格式、导出/合并所有规则组,生成规则说明文档等,仅限于此规则目录结构。

  • validate_rules.py - 验证规则文件,基于此schema

  1. usage: validate_rules.py [-h] --path PATH

  2. optional arguments:
  3.   -h, --help   show this help message and exit
  4.   --path PATH  folder path to check
复制代码

  • merge_rules.py - 将规则组合并为一个文件,方便导入。

  1. usage: merge_rules.py [-h] --path PATH --output OUTPUT

  2. optional arguments:
  3.   -h, --help       show this help message and exit
  4.   --path PATH      rule folder path to merge
  5.   --output OUTPUT  output folder path
复制代码

  • md_parser.py - 生成规则文档。

  1. usage: md_parser.py [-h] --path PATH

  2. optional arguments:
  3.   -h, --help   show this help message and exit
  4.   --path PATH  rule folder path to generate markdown
复制代码

更新日志

详见每次发布日志


TO-DO: Add changelog.md

反馈/贡献

在开Issues或者PR前,请确保阅读contributing guidelines

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?[立即注册]

x

评分

参与人数 69金钱 +227 收起 理由
绒绒要火 + 1 内容超赞!!!
CZZ404 + 5 内容超赞!!!
lingfeng2022 + 5 内容超赞!!!
yy688go + 5 内容超赞!!!
pentasa + 2 内容超赞!!!
晚睡协会会长 + 5 内容超赞!!!
Jiangxinyu99 + 1 不明觉厉!!
羽翼魔药 + 1 谢谢楼主分享!!
Axcia + 5 内容超赞!!!
我专治各种不服 + 1
20031124lzp + 5 不错,支持了!!
ConStanyin + 1 内容超赞!!!
我是小学生 + 5
绒火Loong + 5 能不用国产就不用国产,用了国产一定要用火.
ultraseven + 5 内容超赞!!!妥善解决部分国产流氓软件行.
JKVKK + 5 内容超赞!!!
AZAS + 5 谢谢楼主分享!!
yxdemon + 5 内容超赞!!!
Artorias + 5 内容超赞!!!
Gorogoa + 2

查看全部评分

回复

使用道具 举报

433068 2105
来自 2096#
发表于 2019-7-17 15:54:07 | 只看该作者
本帖最后由 191196846 于 2021-1-18 11:06 编辑

4.0版本更新日志

4.30
01/17/2021
1. 解决部分误报
2. 新增 隐私窃取防护.A.00 , 针对腾讯系应用

4.28
01/10/2021
1. 解决部分误报

4.27
05/06/2020
1. 解决部分误报

4.26
05/02/2020
1. 增强对隐私窃取类木马的防护
2. 4.0 部分隐私防护,系统进程防护回归,默认关闭,有需要的可以手动开启(需要自己添加排除规则)
3. 解决部分误报

4.25
04/18/2020
1. 默认关闭powershell防护,有需要可以开启
2. 解决部分误报

4.24
03/23/2020
1. 删除部分可能导致误报的规则

4.23
03/15/2020
1. 解决部分误报

4.22
03/07/2020
1. 解决部分误报

4.21
03/04/2021
1. 解决部分误报

4.20
03/04/2021
1. 增强对 Formbook and AgentTesla 的防护
2. 解决部分误报

4.14
03/03/2020
1. 解决部分误报

4.12
02/25/2020
1. 解决部分误报

4.11
02/19/2020
1. 解决部分误报

4.10
02/17/2020
1. 合并规则组

4.05
02/14/2020
1. 解决WPS误报

4.04
12/10/2019
1. 解决部分误报

4.03
09/03/2019
1. 解决部分误报


4.02
08/13/2019
1. 解决部分误报


4.01
07/17/2019
1. 解决部分误报








点评

大佬牛逼~~~  发表于 2021-1-21 19:58

评分

参与人数 3金钱 +12 收起 理由
Gorogoa + 2 感谢分享
liangxiaoxiang + 5 为什么你这么给力??
Nobuchika + 5

查看全部评分

回复

使用道具 举报

433068 2105
2095#
发表于 2024-2-28 12:37:02 | 只看该作者
感谢分享,辛苦了!!!!
回复

使用道具 举报

433068 2105
2094#
发表于 2023-9-13 23:48:59 | 只看该作者
        不错,支持了
回复

使用道具 举报

433068 2105
2093#
发表于 2023-9-13 23:40:28 | 只看该作者
        不错,支持了
回复

使用道具 举报

433068 2105
2092#
发表于 2023-9-13 23:36:02 | 只看该作者
不错,支持了
回复

使用道具 举报

433068 2105
2091#
发表于 2023-8-23 14:06:05 | 只看该作者
感觉大佬分享,就是这个云盘不好进
回复

使用道具 举报

433068 2105
2090#
发表于 2023-4-20 09:54:17 | 只看该作者
谢谢楼主分享
回复

使用道具 举报

433068 2105
2089#
发表于 2022-12-14 21:06:41 | 只看该作者
感谢大佬分享
回复

使用道具 举报

433068 2105
2088#
发表于 2022-11-3 15:23:21 | 只看该作者
真棒,规则很好
回复

使用道具 举报

433068 2105
2087#
发表于 2022-10-20 13:45:02 | 只看该作者
下载不了谁给个国内包
回复

使用道具 举报

433068 2105
2086#
发表于 2022-10-18 12:34:36 | 只看该作者
打不开github啊,有哪位大佬能把最新的规则转到国内能访问的随便一个网盘里面么?谢了!
回复

使用道具 举报

433068 2105
2085#
发表于 2022-10-12 21:05:55 | 只看该作者
支持一波,感谢分享
回复

使用道具 举报

433068 2105
2084#
发表于 2022-10-3 20:18:16 | 只看该作者

好耶,谢谢楼主分享
回复

使用道具 举报

433068 2105
2083#
发表于 2022-9-30 22:57:27 | 只看该作者
高级防护,谢谢分享哦⊙∀⊙!
回复

使用道具 举报

433068 2105
2082#
发表于 2022-9-30 22:24:48 | 只看该作者
好耶,谢谢楼主分享哦
回复

使用道具 举报

433068 2105
2081#
发表于 2022-9-29 13:51:00 | 只看该作者
谢谢分享哦!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

快速回复 返回顶部 返回列表