火绒安全软件

标题: 火绒高级威胁防护规则 [打印本页]

作者: 191196846 时间: 2018-12-5 17:56
标题: 火绒高级威胁防护规则
本帖最后由 191196846 于 2022-6-27 10:51 编辑

*原反攻击规则已停止维护，项目迁移至Github并重写为火绒高级威胁防护规则。

项目地址：https://github.com/JerryLinLinLin/Huorong-ATP-Rules
下载地址：https://github.com/JerryLinLinLi ... les/releases/latest
规则文档：https://github.com/JerryLinLinLi ... ter/rules/README.md

火绒高级威胁防护规则

基于 MITRE ATT&CK™ 和恶意软件行为特征编写而成的火绒自定义防护规则，能够检测，阻止，拦截各类恶意软件，高级持续性威胁（APT）的攻击载体和攻击途径，典型的如无文件攻击，漏洞攻击，加密勒索等。同时具有较高的可扩展性和可维护性，对社区开发者友好。

安装/导入规则

下载最新规则版本，解压文件可得Rule.json, Auto.json。打开火绒主界面->防护中心->高级防护->自定义规则，点击开关启用，点击项目->进入高级防护设置项，在自定义规则设置界面->导入->选择Rule.json，在自动处理设置页面->导入->选择Auto.json。版本更新时请手动删除旧规则然后重新导入。

新手上路

按照此图所示导入规则。

为防止误报，部分规则默认未启用，请在阅读规则文档后再选择开启。

规则内容

Office 漏洞攻击防护
勒索防护
无文件攻击防护
流行恶意软件家族防护
...详见规则文档

规则目录

所有规则位于rules/目录下，子文件夹代表不同规则组，以威胁类别.行为描述/病毒家族命名，例如Exploit.MSOffice。

每个子目录下含有规则文件rule.json、auto.json，为当前规则组的规则文件和对应的自动处理文件。每项规则以当前规则组名称+字母命名，例如Exploit.MSOffice。

每条规则的具体用途可在各规则组文件夹下README.md找到，或在Rules根目录下找到。

目录结构如下

.
├── Classification.Description1
├── Classification.Description2
│ ├── rule.json
│ ├── auto.json
│ └── README.md
└── README.md

复制代码

自动化脚本

位于scripts/目录下，用于自动检查规则文件格式、导出/合并所有规则组，生成规则说明文档等，仅限于此规则目录结构。

validate_rules.py - 验证规则文件，基于此schema

usage: validate_rules.py [-h] --path PATH
optional arguments:
-h, --help show this help message and exit
--path PATH folder path to check

复制代码

merge_rules.py - 将规则组合并为一个文件，方便导入。

usage: merge_rules.py [-h] --path PATH --output OUTPUT
optional arguments:
-h, --help show this help message and exit
--path PATH rule folder path to merge
--output OUTPUT output folder path

复制代码

md_parser.py - 生成规则文档。

usage: md_parser.py [-h] --path PATH
optional arguments:
-h, --help show this help message and exit
--path PATH rule folder path to generate markdown

复制代码

更新日志

详见每次发布日志

TO-DO: Add changelog.md

反馈/贡献

在开Issues或者PR前，请确保阅读contributing guidelines。

作者: 191196846 时间: 2018-12-6 09:06
更新1.1

增加了些拦截规则

作者: louis 时间: 2018-12-6 12:27
谢谢楼主

作者: 代码兄 时间: 2018-12-6 15:54
支持一下

作者: 191196846 时间: 2018-12-6 16:26
更新1.2

调整拦截架构，新增更多规则

作者: Nobuchika 时间: 2018-12-6 17:13
支持优质规则
现在使用场景比较复杂，如果有问题会再来反馈

作者: 191196846 时间: 2018-12-6 17:14

Nobuchika 发表于 2018-12-6 17:13
支持优质规则
现在使用场景比较复杂，如果有问题会再来反馈

嗯，遇到误报及时反馈给我

感谢支持~

作者: Jomye 时间: 2018-12-6 18:31
支持一下

作者: songjunyan 时间: 2018-12-6 19:48
支持一下

作者: 191196846 时间: 2018-12-6 20:43
更新1.3

调整可能导致误报的规则

作者: 191196846 时间: 2018-12-6 20:48
本帖最后由 191196846 于 2018-12-6 20:49 编辑

https://www.anquanke.com/post/id/167334

最新 Flash 0day 漏洞（CVE-2018-15982）攻击拦截

[attach]35351[/attach][attach]35352[/attach]
[

attach]35353[/attach]

作者: folwind 时间: 2018-12-6 21:22
支持一下

作者: ht6219 时间: 2018-12-6 21:38
支持一下!!!

作者: 基哥 时间: 2018-12-7 20:45
谢谢大佬

作者: ydn0415 时间: 2018-12-7 22:19
支次一些

作者: xieshang 时间: 2018-12-8 09:54
收藏了。谢谢楼主分享

作者: Luc 时间: 2018-12-8 10:59

谢谢楼主

作者: 191196846 时间: 2018-12-8 11:14
本帖最后由 191196846 于 2018-12-11 11:32 编辑

更新1.4

规则优化，降低误报

作者: echang88 时间: 2018-12-8 15:36
反攻击规则 Version_1.4

作者: nazicc 时间: 2018-12-8 19:58
这个好东西必须支持啊

作者: ziyerain 时间: 2018-12-8 22:35
谢谢楼主

作者: w-tekeze 时间: 2018-12-8 23:09
反正我的通用规则里cmd和powershell都会有拦截提示，还是支持！

作者: 秦殇 时间: 2018-12-9 08:24
感谢楼主分享

作者: i51121 时间: 2018-12-9 12:43
谢谢分享。。

作者: tials1359883571 时间: 2018-12-9 15:06
感谢分享，试用下~

作者: liuwei4767 时间: 2018-12-9 15:32
感谢楼主分享。

作者: Separa 时间: 2018-12-9 16:07
支持一下

作者: tials1359883571 时间: 2018-12-9 16:15
感谢分享，试用下~

作者: 带带大师兄 时间: 2018-12-9 19:06
感谢分享

作者: 水是冰的眼泪 时间: 2018-12-9 21:09
别处过来的

作者: AaronGio 时间: 2018-12-9 21:58
牛逼谢谢

作者: 626266613 时间: 2018-12-10 14:11
为什么你这么给力？？

作者: Nobuchika 时间: 2018-12-10 14:38

191196846 发表于 2018-12-8 11:14
更新1.4

规则优化，降低误报

目前使用无异常

看了下，规则覆盖颇全面，目前也没有误报产生

作者: 191196846 时间: 2018-12-10 22:24

Nobuchika 发表于 2018-12-10 14:38
目前使用无异常
看了下，规则覆盖颇全面，目前也没有误报产生 ...

嗯

有什么建议也可以提出来哦

作者: mbbnc 时间: 2018-12-10 23:40
谢谢大佬的分享

作者: 472714747 时间: 2018-12-11 05:52
好东西啊下载了

作者: 笨笨 时间: 2018-12-11 10:03
不错，支持支持

作者: 191196846 时间: 2018-12-11 11:32
更新1.5

1. 增加新规则
2. 规则细化，降低误报

作者: 尘梦忆仙 时间: 2018-12-11 11:59
支持一下

作者: Nobuchika 时间: 2018-12-11 16:43

w-tekeze 发表于 2018-12-8 23:09
反正我的通用规则里cmd和powershell都会有拦截提示，还是支持！

这个...
比之前弄的powershell.cmd规则误报低，因为规则更细化(误拦降低)，之后双击测试可以尝试用这个规则

作者: iframan小号 时间: 2018-12-11 17:16
看看

不会导致蓝屏吧？

作者: ajt2520 时间: 2018-12-11 18:13
谢谢分享，应该不错吧，

作者: 辉辉哥 时间: 2018-12-14 10:50
支持一下

作者: 伤心的人 时间: 2018-12-14 20:04
好像很厉害的样子啊感谢分享我也试试~~

作者: cai1999 时间: 2018-12-14 20:31
谢谢楼主分享
感谢无私分享

作者: ffui 时间: 2018-12-14 22:04
支持楼主大大

作者: a1257206962 时间: 2018-12-14 22:04
感谢楼主的辛苦付出，我一定好好研究研究，谢谢。

作者: superwg 时间: 2018-12-14 22:06
感谢分享!

作者: 764958540 时间: 2018-12-15 19:54
惆怅长岑长查重查重查重查重城西小学寻寻寻寻寻2

作者: linktoice 时间: 2018-12-15 22:21
看看帖子里藏了啥好东西~~~

作者: 2034975548 时间: 2018-12-15 23:24
支持下感谢分享

作者: 火炎燚 时间: 2018-12-16 13:27
谢谢分享啦

作者: tg123321 时间: 2018-12-16 15:40
谢谢大佬的规则

作者: jdq000 时间: 2018-12-16 17:57
感谢楼主分享

作者: adfuxk 时间: 2018-12-16 19:13

作者: tg123321 时间: 2018-12-16 19:14

191196846 发表于 2018-12-6 17:14
嗯，遇到误报及时反馈给我

感谢支持~

操作者：C:\Program Files\Office 2007 SP3\Office12\WINWORD.EXE
命令行："C:\Program Files\Office 2007 SP3\Office12\WINWORD.EXE"
触犯规则：【攻击拦截】OFFICE漏洞利用
操作类型：读取
操作文件：C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO
用户操作：已阻止

疑似误报！！！！阻止后提示“无法创建工作变量”！

作者: 191196846 时间: 2018-12-17 08:01

tg123321 发表于 2018-12-16 19:14
操作者：C:\Program Files\Office 2007 SP3\Office12\WINWORD.EXE
命令行："C:\Program Files\Office 200 ...

你是在进行什么操作的时候遇到的？

作者: 到处闲逛 时间: 2018-12-17 12:25
又出新品
严重支持

作者: tg123321 时间: 2018-12-17 15:48

191196846 发表于 2018-12-17 08:01
你是在进行什么操作的时候遇到的？

打开word就有这个提示，设置为自动阻止后提示无法创建工作环境变量文件。PPT、Excel打开后关闭时也有这个提示

作者: 1536194835 时间: 2018-12-17 16:40
好强的66666

作者: 虾仔2000 时间: 2018-12-17 19:21
需要禁用这个规则嘛：【新提醒】【斩首】3D防护规则 | FLY_MC 3.6 [11.27.2016Update] - 用户规则分享区 - 火绒安全软件 - Powered by Discuz! https://bbs.huorong.cn/thread-12457-1-1.html

作者: n66 时间: 2018-12-17 19:42
看看软件是啥

作者: n66 时间: 2018-12-17 20:05
看看软件是啥

作者: 191196846 时间: 2018-12-17 22:45
更新1.6

1、新增针对JAVA应用的规则
2、修复误报
3、完善部分规则

作者: 191196846 时间: 2018-12-17 22:46

tg123321 发表于 2018-12-17 15:48
打开word就有这个提示，设置为自动阻止后提示无法创建工作环境变量文件。PPT、Excel打开后关闭时也有这个 ...

您好

请看下最新1.6版本有没有解决此问题

仍有问题请反馈给我~

作者: 191196846 时间: 2018-12-17 22:47

虾仔2000 发表于 2018-12-17 19:21
需要禁用这个规则嘛：【新提醒】【斩首】3D防护规则 | FLY_MC 3.6 [11.27.2016Update] - 用户规则分享区 - ...

不建议与其他规则互搭，没有测试是否存在冲突

作者: tg123321 时间: 2018-12-17 23:04

191196846 发表于 2018-12-17 22:46
您好

请看下最新1.6版本有没有解决此问题

ok，问题解决了

作者: DadiDa 时间: 2018-12-17 23:38
反攻击，防攻击，分不清楚

作者: Nobuchika 时间: 2018-12-18 09:58
您好:
会建议搭配针对powershell.cmd.wscript的禁止联网，强化安全性吗

作者: youbot 时间: 2018-12-18 15:15

看下吧，感谢分享

作者: 191196846 时间: 2018-12-18 16:36

Nobuchika 发表于 2018-12-18 09:58
您好:
会建议搭配针对powershell.cmd.wscript的禁止联网，强化安全性吗

不建议，因为误拦的机率很大

本规则已经有针对利用PS,script进行木马下载行为的FD规则，如在特定目录释放特定文件

作者: qwe836239264 时间: 2018-12-18 16:54
膜拜大佬

作者: 虾仔2000 时间: 2018-12-18 20:55
我再试试

作者: 虾仔2000 时间: 2018-12-18 20:57

191196846 发表于 2018-12-17 22:47
不建议与其他规则互搭，没有测试是否存在冲突

好的，希望保持每周更新一次频率

作者: 火炎燚 时间: 2018-12-19 10:46

谢谢分享

作者: conquest1314 时间: 2018-12-19 12:28
1111111111111111111111111111111

作者: qw1234 时间: 2018-12-19 14:32
谢谢分享

作者: duelex 时间: 2018-12-19 14:43
支持楼主！！

作者: 372737431 时间: 2018-12-19 15:37
很不错我来看看

作者: liangliangguo 时间: 2018-12-19 19:16
福布斯广东公共的广东公共

作者: 文武双全的三金 时间: 2018-12-20 14:58
前排支持!!

作者: mishlin 时间: 2018-12-20 15:10
谢谢大佬

作者: tsls 时间: 2018-12-20 15:54
支持

作者: Mxdd 时间: 2018-12-20 17:42

作者: mrw79 时间: 2018-12-21 14:40
感谢分享

作者: 191196846 时间: 2018-12-21 20:12
本帖最后由 191196846 于 2018-12-21 20:14 编辑

更新1.7

1、新增规则组：【攻击拦截】疑似木马行为
2、增加部分规则
3、修复部分规则错误，降低误报

作者: 某伪宅 时间: 2018-12-21 21:01
给大佬递茶

作者: 虾仔2000 时间: 2018-12-22 09:41
谢谢更新了

作者: 慕染 时间: 2018-12-22 14:15
支持楼主，同时也感谢楼主分享规则、不断地优化规则。

作者: lantisi 时间: 2018-12-22 14:18
先下下来试试看

作者: 墨染樱 时间: 2018-12-22 14:57
谢谢楼主！！

作者: 极品小芝麻 时间: 2018-12-22 15:33
为什么你这么给力？？

作者: qingkongbaiyu 时间: 2018-12-22 15:36
我差点点开了病毒样本，，，嘤嘤嘤~

作者: Nobuchika 时间: 2018-12-22 17:44
针对真实威胁写的规则效果最好

楼主每更一次我就加一次分

作者: xsd123xsd 时间: 2018-12-22 19:27
谢谢楼主分享

作者: 阴阳 时间: 2018-12-22 21:10
来一个试试

作者: Cyborg 时间: 2018-12-22 23:01
感谢楼主分享

作者: 百赖小生 时间: 2018-12-22 23:19
感谢楼主分享！

作者: mmzxcc 时间: 2018-12-23 11:20
预防性保护

作者: wdd821211000 时间: 2018-12-23 12:13
谢谢

=====================

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)