杂谈

想必你一定用过火绒安全的杀毒软件，那你是否还使用过火绒的自定义规则进行深度防护？今天我们给大家分享开源的自定义规则，帮助你拦截更多网络中的安全风险！

项目介绍

基于 MITRE ATT&CK™ 和恶意软件行为特征编写而成的火绒自定义防护规则，能够检测，阻止，拦截各类恶意软件，高级持续性威胁（APT）的攻击载体和攻击途径，典型的如无文件攻击，漏洞攻击，加密勒索等。同时具有较高的可扩展性和可维护性，对社区开发者友好。

规则概览

Office 漏洞攻击防护
勒索防护
无文件攻击防护
流行恶意软件家族防护

详细规则介绍，请展开查看

规则名称

Exploit.MSOffice
- Exploit.MSOffice.A
- Exploit.MSOffice.B
- Exploit.MSOffice.C
- Exploit.MSOffice.D
- Exploit.MSOffice.E
- Exploit.MSOffice.F
- Exploit.MSOffice.G
- Exploit.MSOffice.H
Ransom.CreateRansomNote
- Ransom.CreateRansomNote.A
Ransom.DoubleExt
- Ransom.DoubleExt.A
- Ransom.DoubleExt.B
Suspicious.AppCertDLLs
- Suspicious.AppCertDLLs
Suspicious.AppInitDLLs
- Suspicious.AppInitDLLs.A
Suspicious.CommandPrompt
- Suspicious.CommandPrompt.A
Suspicious.NetDebugger
- Suspicious.NetDebugger.A
Suspicious.NetWinAppXRT
- Suspicious.NetWinAppXRT.A
Suspicious.PowerShell
- Suspicious.PowerShell.A
- Suspicious.PowerShell.B
- Suspicious.PowerShell.C
Suspicious.RunFromSusPath
- Suspicious.RunFromSusPath.A
- Suspicious.RunFromSusPath.B
- Suspicious.RunFromSusPath.C
- Suspicious.RunFromSusPath.D
- Suspicious.RunFromSusPath.E
Suspicious.ScriptHost
- Suspicious.ScriptHost.A
- Suspicious.ScriptHost.B
Suspicious.SuspProcAddAutoRun
- Suspicious.SuspProcAddAutoRun.A
Suspicious.SuspProcCallSysProc
- Suspicious.SuspProcCallSysProc.A
Suspicious.SysProcAddAutoRun
- Suspicious.SysProcAddAutoRun.A
Telemetry.ActiveSetup
- Telemetry.ActiveSetup.A
Telemetry.CredentialProviders
- Telemetry.CredentialProviders.A
Telemetry.LSAConfig
- Telemetry.LSAConfig.A
Telemetry.PowerShell
- Telemetry.PowerShell.A
- Telemetry.PowerShell.B
- Telemetry.PowerShell.C
Telemetry.ReadBrowserData
- Telemetry.ReadBrowserData.A
Telemetry.TerminalServer
- Telemetry.TerminalServer.A
Template
Trojan.CmstpDownloader
- Trojan.CmstpDownloader.A
Trojan.FakeSysProc
- Trojan.FakeSysProc.A
- Trojan.MshtaDownloader
- Trojan.MshtaDownloader.A
Trojan.Nanocore
- Trojan.Nanocore.A
Trojan.NetStealer
- Trojan.NetStealer.A
- Trojan.NetStealer.B
Trojan.Remcos
- Trojan.Remcos.A
Trojan.Spy
- Trojan.Spy.A
Trojan.StartupFolderMalDropper
- Trojan.StartupFolderMalDropper.A

Exploit.MSOffice

Exploit.MSOffice.A

状态：启用

行为描述：源程序*\EXCEL.EXE做出以下操作时，提示用户处理

对路径为*.exe的文件进行创建、写入操作
对路径为*.scr的文件进行创建、写入操作
对路径为*\Windows\Sys?????\*.exe的程序进行执行操作

Exploit.MSOffice.B

状态：启用

行为描述：源程序*\EXCEL.EXE做出以下操作时，提示用户处理

对路径为*\Software\Microsoft\Windows\CurrentVersion\Run*的注册表进行创建、写入操作

Exploit.MSOffice.C

状态：启用

行为描述：源程序*\POWERPNT.EXE做出以下操作时，提示用户处理

对路径为*.exe的文件进行创建、写入操作
对路径为*.scr的文件进行创建、写入操作
对路径为*\Windows\Sys?????\*.exe的程序进行执行操作

Exploit.MSOffice.D

状态：启用

行为描述：源程序*\POWERPNT.EXE做出以下操作时，提示用户处理

对路径为*\Software\Microsoft\Windows\CurrentVersion\Run*的注册表进行创建、写入操作

Exploit.MSOffice.E

状态：启用

行为描述：源程序*\WINWORD.EXE做出以下操作时，提示用户处理

对路径为*.exe的文件进行创建、写入操作
对路径为*.scr的文件进行创建、写入操作
对路径为*\Windows\Sys?????\*.exe的程序进行执行操作

Exploit.MSOffice.F

状态：启用

行为描述：源程序*\WINWORD.EXE做出以下操作时，提示用户处理

对路径为*\Software\Microsoft\Windows\CurrentVersion\Run*的注册表进行创建、写入操作

Exploit.MSOffice.G

状态：启用

行为描述：源程序*\EQNEDT32.EXE做出以下操作时，提示用户处理

对路径为*.exe的文件进行创建、写入操作
对路径为*.scr的文件进行创建、写入操作
对路径为*\Windows\Sys?????\*.exe的程序进行执行操作

Exploit.MSOffice.H

状态：启用

行为描述：源程序*\EQNEDT32.EXE做出以下操作时，提示用户处理

对路径为*\Software\Microsoft\Windows\CurrentVersion\Run*的注册表进行创建、写入操作

rule.json hash: 11a6f7f126334cff29ddfdc485905a1c4ba3aec0f7f911e203980f34cb4ce62c

Ransom.CreateRansomNote

Ransom.CreateRansomNote.A

状态：启用

行为描述：源程序*做出以下操作时，提示用户处理

对路径为>\ProgramData\>.txt的文件进行创建操作
对路径为>\Program Files (x86)\>.txt的文件进行创建操作
对路径为>\Users\*\AppData\Local\>.txt的文件进行创建操作
对路径为>\Users\*\AppData\>.txt的文件进行创建操作
对路径为>\Program Files\>.txt的文件进行创建操作

rule.json hash: 92dea9dc04af20406512baf6d17bf9ffc4c27911257403682db3b4bccd2b9bf3

Ransom.DoubleExt

Ransom.DoubleExt.A

状态：启用

行为描述：源程序*做出以下操作时，提示用户处理

对路径为*.docx.>的文件进行创建操作
对路径为*.xlsx.>的文件进行创建操作
对路径为*.pptx.>的文件进行创建操作
对路径为*.doc.>的文件进行创建操作
对路径为*.xls.>的文件进行创建操作
对路径为*.ppt.>的文件进行创建操作

Ransom.DoubleExt.B

状态：启用

行为描述：源程序*做出以下操作时，提示用户处理

对路径为>\Users\>\Pictures\*.jpg.>的文件进行创建操作
对路径为>\Users\>\Pictures\*.png.>的文件进行创建操作
对路径为>\Users\>\Desktop\*.jpg.>的文件进行创建操作
对路径为>\Users\>\Desktop\*.png.>的文件进行创建操作

rule.json hash: 8afaf4ee0e8ea6328dd7102d76abcd442db651f497c2208e1e9e54e72bad7c4c

Suspicious.AppCertDLLs

Suspicious.AppCertDLLs.A

状态：启用

行为描述：源程序*做出以下操作时，提示用户处理

对路径为*\System\CurrentControlSet\Control\Session Manager\*的注册表进行创建、写入操作

rule.json hash: 5374f45048ea16f29e3ac22fc5e64ba6e5e655511033ac8d58ef78c8f8558e7e

Suspicious.AppInitDLLs

Suspicious.AppInitDLLs.A

状态：启用

行为描述：源程序*做出以下操作时，提示用户处理

对路径为*\SOFTWARE*Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dll*的注册表进行创建、写入操作

rule.json hash: 6fd0e8a0cc1edb410eaf010023f9d27aa7c7ff487492f67a7f92ccdbed6e8391

Suspicious.CommandPrompt

Suspicious.CommandPrompt.A

状态：启用

行为描述：源程序*\cmd.exe做出以下操作时，提示用户处理

对路径为*\?script.exe的程序进行执行操作
对路径为*.exe的文件进行创建操作
对路径为*.vb?的文件进行创建操作
对路径为*.js的文件进行创建操作

rule.json hash: ac6da01e160cfb9848cec158ee41f935786a5413aadca2f4bb2c9ef66fcce2cd

Suspicious.NetDebugger

Suspicious.NetDebugger.A

状态：未启用

行为描述：源程序*做出以下操作时，提示用户处理

对路径为*\SOFTWARE*Microsoft\.NETFramework\DbgManagedDebugge*的注册表进行创建、写入操作

rule.json hash: 04ca56b228447f507b7f8e4bc012dfee5c97828c916b7513db6b61c24d14ed14

Suspicious.NetWinAppXRT

Suspicious.NetWinAppXRT.A

状态：未启用

行为描述：源程序*做出以下操作时，提示用户处理

对路径为*\WinAppXRT.dll的文件进行创建、写入操作

rule.json hash: e929a5393844223a858a2db1aec518991e2d30f560a952a4066a5f69352cdf47

Suspicious.PowerShell

Suspicious.PowerShell.A

状态：启用

行为描述：源程序*\Windows\Sys?????\*.exe做出以下操作时，提示用户处理

对路径为*\powershell.exe的程序进行执行操作

Suspicious.PowerShell.B

状态：启用

行为描述：源程序*\powershell.exe做出以下操作时，提示用户处理

对路径为*\Users\*\AppData\*的程序进行执行操作

Suspicious.PowerShell.C

状态：启用

行为描述：源程序*做出以下操作时，提示用户处理

对路径为*\WindowsPowerShell\v1.0\profile.ps1的文件进行写入操作
对路径为*\WindowsPowerShell\v1.0\Microsoft.PowerShell*profile.ps1的文件进行写入操作
对路径为*\Documents\profile.ps1的文件进行写入操作

rule.json hash: 8407b3ae9312f1ebc1145986020e3ff3cd72543e98e6ded29b064a7ccf875ea8

Suspicious.RunFromSusPath

Suspicious.RunFromSusPath.A

状态：启用

行为描述：源程序*做出以下操作时，提示用户处理

对路径为*\Users\*\AppData\Roaming\>的程序进行执行操作
对路径为*\Users\*\AppData\>的程序进行执行操作
对路径为*\Users\>\>的程序进行执行操作
对路径为*\ProgramData\>的程序进行执行操作
对路径为*\Program Files\>的程序进行执行操作
对路径为*\Program Files (x86)\>的程序进行执行操作
对路径为*\Users\*\AppData\Local\>的程序进行执行操作
对路径为*\Users\>\Documents\>的程序进行执行操作
对路径为*\Users\>\Documents\>\>的程序进行执行操作
对路径为*\Users\Public\>.bat的文件进行读取操作

Suspicious.RunFromSusPath.B

状态：启用

行为描述：源程序*做出以下操作时，提示用户处理

对路径为*\Recycler\*的程序进行执行操作
对路径为*\$RECYCLE.BIN\*的程序进行执行操作
对路径为*\System Volume Information\*的程序进行执行操作

Suspicious.RunFromSusPath.C

状态：未启用

行为描述：源程序*做出以下操作时，提示用户处理

对路径为*\ProgramData\>\>.exe的程序进行执行操作

Suspicious.RunFromSusPath.D

状态：启用

行为描述：源程序*\Windows\Sys?????\>做出以下操作时，提示用户处理

对路径为*\Users\*\AppData\Roaming\>\>.exe的程序进行执行操作

Suspicious.RunFromSusPath.E

状态：未启用

行为描述：源程序*做出以下操作时，提示用户处理

对路径为*\Users\*\AppData\Roaming\>\>.exe的程序进行执行操作

rule.json hash: 08f7e3dc7ada40ee0b6cce1ef341404eb3de0be6da37d852a0549a1c049944c2

Suspicious.ScriptHost

Suspicious.ScriptHost.A

状态：启用

行为描述：源程序*\?script.exe做出以下操作时，提示用户处理

对路径为*\Windows\Sys?????\*.exe的程序进行执行操作
对路径为*.exe的文件进行创建操作
对路径为*.dll的文件进行创建操作
对路径为*\Users\*\AppData\*的程序进行执行操作

Suspicious.ScriptHost.B

状态：启用

行为描述：源程序*\Windows\Sys?????\*.exe做出以下操作时，提示用户处理

对路径为*\?script.exe的程序进行执行操作

rule.json hash: 7692734f67bdef45c360f5d4b04da6d64141543e16f47214a7b005f3094a3fe9

Suspicious.SuspProcAddAutoRun

Suspicious.SuspProcAddAutoRun.A

状态：启用

行为描述：源程序*\Users\*\AppData\>\>\>做出以下操作时，提示用户处理

对路径为*\Software\Microsoft\Windows\CurrentVersion\Run*的注册表进行创建、写入操作
对路径为*\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*的文件进行创建操作

rule.json hash: 4aa4a4bcd0c6ecdd91d95954e534c4cd844dcde11960cdfcafb4d6169b081ca2

Suspicious.SuspProcCallSysProc

Suspicious.SuspProcCallSysProc.A

状态：启用

行为描述：源程序*\Users\*\AppData\>\>\>做出以下操作时，提示用户处理

对路径为*\Windows\Sys?????\*.exe的程序进行执行操作

rule.json hash: e89457383d24e328b7690300d5f3bf253909e57adf4cce5d0069c637a708ad35

Suspicious.SysProcAddAutoRun

Suspicious.SysProcAddAutoRun.A

状态：启用

行为描述：源程序*\Windows\*做出以下操作时，提示用户处理

对路径为*\Software\Microsoft\Windows\CurrentVersion\Run*的注册表进行创建、写入操作
对路径为*\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*的文件进行创建操作

rule.json hash: b57855ef08d403a05d0d219b948fd32048c5f38ff07da0155ac2719ed510c2e9

Telemetry.ActiveSetup

Telemetry.ActiveSetup.A

状态：未启用

行为描述：源程序*做出以下操作时，提示用户处理

对路径为*\SOFTWARE*Microsoft\Active Setup\Installed Components*的注册表进行创建操作

rule.json hash: 25f31e649b656ea0a57e2bcf47eb507ac362fd3b168aeeeed1cbf6dd0fbeaeb9

Telemetry.CredentialProviders

Telemetry.CredentialProviders.A

状态：未启用

行为描述：源程序*做出以下操作时，提示用户处理

对路径为*\Software\Microsoft\Windows\CurrentVersion\Authentication\PLAP Provider*的注册表进行创建、写入操作
对路径为*\Software\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider*的注册表进行创建、写入操作

rule.json hash: 495c7c42f579fcc2a45efdd8c22bcee72c3bd88964ebf0c1714c7c7c4c32062d

Telemetry.LSAConfig

Telemetry.LSAConfig.A

状态：未启用

行为描述：源程序*做出以下操作时，提示用户处理

对路径为*\Control\Lsa的注册表进行创建、写入操作
对路径为*\Control\Lsa*的注册表进行创建、写入操作

rule.json hash: f94511a7d03f0b57a291761d410b84c4f5376efd0bb7fe56ba9e06d3ebe09bf7

Telemetry.PowerShell

Telemetry.PowerShell.A

状态：未启用

行为描述：源程序*\powershell.exe做出以下操作时，提示用户处理

对路径为*.exe的文件进行创建操作

Telemetry.PowerShell.B

状态：未启用

行为描述：源程序*\powershell.exe做出以下操作时，提示用户处理

对路径为HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*的注册表进行创建操作

Telemetry.PowerShell.C

状态：未启用

行为描述：源程序*\powershell.exe做出以下操作时，提示用户处理

对路径为\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ExecutionPolicy的注册表进行写入操作

rule.json hash: 6176d464860dad2aa05aac6d1bdd4d556618cc1fa09a68bc9aba16208d464613

Telemetry.ReadBrowserData

Telemetry.ReadBrowserData.A

状态：未启用

行为描述：源程序*做出以下操作时，提示用户处理

对路径为*\Users\*\AppData\Local\*\User Data\Default\*的文件进行读取操作
对路径为*\Users\*\AppData\Roaming\Mozilla\Firefox\Profiles\*的文件进行读取操作

rule.json hash: 04c8f6e13bbfc0027141f86bf678a2573bfd46326051c1753b2930bfdc2d1d7a

Telemetry.TerminalServer

Telemetry.TerminalServer.A

状态：未启用

行为描述：源程序*做出以下操作时，提示用户处理

对路径为*\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\InitialProgram的注册表进行写入操作

rule.json hash: 1b245341cbd4dc6c3457fef43ee9ab8ffc96738ea578ed2bda9981f86819490e

Template

rule.json hash: 26c5a555c2ccb94877985ee87cda3a1f44578de3e71abb672b5b822639f95416

Trojan.CmstpDownloader

Trojan.CmstpDownloader.A

状态：启用

行为描述：源程序*\cmstp.exe做出以下操作时，提示用户处理

对路径为*.exe的文件进行创建操作
对路径为*.dll的文件进行创建操作

rule.json hash: 7a61cc7f5c4d7b6726f51cfc9110e44425f219f4b2165f38c3c959691bce9627

Trojan.FakeSysProc

Trojan.FakeSysProc.A

状态：启用

行为描述：源程序*做出以下操作时，提示用户处理

对路径为*\svchost.exe的程序进行执行操作
对路径为*\lsass.exe的程序进行执行操作
对路径为*\services.exe的程序进行执行操作
对路径为*\winlogon.exe的程序进行执行操作
对路径为*\csrss.exe的程序进行执行操作
对路径为*\smss.exe的程序进行执行操作

rule.json hash: 050c9912a384d8858c1f745894d9172ff45ef8a04c03a3fa7b57f02c8a0634da

Trojan.MshtaDownloader

Trojan.MshtaDownloader.A

状态：启用

行为描述：源程序*\mshta.exe做出以下操作时，提示用户处理

对路径为*\Windows\Sys?????\*.exe的程序进行执行操作
对路径为*.exe的文件进行创建操作
对路径为*.dll的文件进行创建操作
对路径为*\Users\*\AppData\*的程序进行执行操作

rule.json hash: 9af5a10aba8688c0759a59db43479ddd32558715cf3b6905531d9ef484e924a7

Trojan.Nanocore

Trojan.Nanocore.A

状态：启用

行为描述：源程序*做出以下操作时，提示用户处理

对路径为*\Users\*\AppData\Roaming\>\run.dat的文件进行创建操作

rule.json hash: dfee1a531ec4660d2f369489bf185f6d24a448670867d2e1d2f62ff86d4aefd3

Trojan.NetStealer

Trojan.NetStealer.A

状态：启用

行为描述：源程序*\Windows\Microsoft.NET\Framework\>\>做出以下操作时，提示用户处理

对路径为*.txt的文件进行创建操作
对路径为*\Users\*\AppData\Roaming\>\>.ini的文件进行创建操作
对路径为*\Software\Microsoft\Windows\CurrentVersion\Run*的注册表进行创建、写入操作
对路径为*\Users\*\AppData\Local\*\User Data\Default\*的文件进行读取操作
对路径为*\Users\*\AppData\Roaming\Mozilla\Firefox\Profiles\*的文件进行读取操作

Trojan.NetStealer.B

状态：启用

行为描述：源程序*\Windows\>做出以下操作时，提示用户处理

对路径为*\Users\*\AppData\Roaming\>\>.ini的文件进行创建操作

rule.json hash: a1dc27a7fe9ba237485ee9bff7e5d1a72d413649aaf9cd82a43b5819c1ff1468

Trojan.Remcos

Trojan.Remcos.A

状态：启用

行为描述：源程序*做出以下操作时，提示用户处理

对路径为*Remcos*的注册表进行创建、写入操作

rule.json hash: 9356fc082479626e97c5c8a06fec3876eb7860531d87b548b6a0897598921edb

Trojan.Spy

Trojan.Spy.A

状态：启用

行为描述：源程序*做出以下操作时，提示用户处理

对路径为*\ProgramData\*Cookie*.txt的文件进行创建操作
对路径为*\Users\*\AppData\Local\Temp\*Cookie*txt的文件进行创建操作
对路径为*\Users\*\AppData\Local\>\>\>Cookie>txt的文件进行创建操作
对路径为*\Users\*\AppData\Local\>\>screen*png的文件进行创建操作
对路径为*\Users\*\AppData\Local\Temp\*cookie*txt的文件进行读取操作
对路径为*\Users\*\AppData\Local\Temp\*passowrd*txt的文件进行读取操作
对路径为*\Users\*\AppData\Roaming\>\>.jpeg的文件进行创建操作

rule.json hash: 007f1ee31843571162c95ca83eb42cbc192ccdfe1268363c1a4cd4c96955b914

Trojan.StartupFolderMalDropper

Trojan.StartupFolderMalDropper.A

状态：启用

行为描述：源程序*做出以下操作时，提示用户处理

对路径为*\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.j>的文件进行创建、写入操作
对路径为*\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.vb?的文件进行创建、写入操作
对路径为*\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.exe的文件进行创建、写入操作

rule.json hash: d5498c78b6062c8e4a7376af6eb2cd2e5455102de2d1a404c65b6c8493f72ea0

安装/导入规则

自定义规则v0.1.6 提取码ffetoz

下载最新规则版本，解压文件可得Rule.json, Auto.json。

打开火绒主界面->防护中心->高级防护->自定义规则

点击开关启用，点击项目->进入高级防护设置项

在自定义规则设置界面->导入->选择Rule.json

在自动处理设置页面->导入->选择Auto.json。

版本更新时请手动删除旧规则然后重新导入。

项目地址

https://github.com/JerryLinLinLin/Huorong-ATP-Rules

相关声明 1 微信公众号：猪猪安全
2 本站永久网址：https://www.iculture.cc
3 本文内容仅为技术科普，请勿用于非法用途
4 本文内容未隐讳任何个人、群体、公司。非文学作品，请勿用于阅读理解的练习
5 根据《计算机软件保护条例》第十七条，本站所有软件请仅用于学习研究用途
6 本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责

THE END