一款火绒增强HIPS自定义规则

一款火绒增强HIPS自定义规则

杂谈

想必你一定用过火绒安全的杀毒软件,那你是否还使用过火绒的自定义规则进行深度防护?今天我们给大家分享开源的自定义规则,帮助你拦截更多网络中的安全风险!

项目介绍

基于 MITRE ATT&CK™ 和恶意软件行为特征编写而成的火绒自定义防护规则,能够检测,阻止,拦截各类恶意软件,高级持续性威胁(APT)的攻击载体和攻击途径,典型的如无文件攻击漏洞攻击加密勒索等。同时具有较高的可扩展性和可维护性,对社区开发者友好。

规则概览

  • Office 漏洞攻击防护
  • 勒索防护
  • 无文件攻击防护
  • 流行恶意软件家族防护

规则名称

  • Exploit.MSOffice
    • Exploit.MSOffice.A
    • Exploit.MSOffice.B
    • Exploit.MSOffice.C
    • Exploit.MSOffice.D
    • Exploit.MSOffice.E
    • Exploit.MSOffice.F
    • Exploit.MSOffice.G
    • Exploit.MSOffice.H
  • Ransom.CreateRansomNote
    • Ransom.CreateRansomNote.A
  • Ransom.DoubleExt
    • Ransom.DoubleExt.A
    • Ransom.DoubleExt.B
  • Suspicious.AppCertDLLs
    • Suspicious.AppCertDLLs
  • Suspicious.AppInitDLLs
    • Suspicious.AppInitDLLs.A
  • Suspicious.CommandPrompt
    • Suspicious.CommandPrompt.A
  • Suspicious.NetDebugger
    • Suspicious.NetDebugger.A
  • Suspicious.NetWinAppXRT
    • Suspicious.NetWinAppXRT.A
  • Suspicious.PowerShell
    • Suspicious.PowerShell.A
    • Suspicious.PowerShell.B
    • Suspicious.PowerShell.C
  • Suspicious.RunFromSusPath
    • Suspicious.RunFromSusPath.A
    • Suspicious.RunFromSusPath.B
    • Suspicious.RunFromSusPath.C
    • Suspicious.RunFromSusPath.D
    • Suspicious.RunFromSusPath.E
  • Suspicious.ScriptHost
    • Suspicious.ScriptHost.A
    • Suspicious.ScriptHost.B
  • Suspicious.SuspProcAddAutoRun
    • Suspicious.SuspProcAddAutoRun.A
  • Suspicious.SuspProcCallSysProc
    • Suspicious.SuspProcCallSysProc.A
  • Suspicious.SysProcAddAutoRun
    • Suspicious.SysProcAddAutoRun.A
  • Telemetry.ActiveSetup
    • Telemetry.ActiveSetup.A
  • Telemetry.CredentialProviders
    • Telemetry.CredentialProviders.A
  • Telemetry.LSAConfig
    • Telemetry.LSAConfig.A
  • Telemetry.PowerShell
    • Telemetry.PowerShell.A
    • Telemetry.PowerShell.B
    • Telemetry.PowerShell.C
  • Telemetry.ReadBrowserData
    • Telemetry.ReadBrowserData.A
  • Telemetry.TerminalServer
    • Telemetry.TerminalServer.A
  • Template
  • Trojan.CmstpDownloader
    • Trojan.CmstpDownloader.A
  • Trojan.FakeSysProc
    • Trojan.FakeSysProc.A
    • Trojan.MshtaDownloader
    • Trojan.MshtaDownloader.A
  • Trojan.Nanocore
    • Trojan.Nanocore.A
  • Trojan.NetStealer
    • Trojan.NetStealer.A
    • Trojan.NetStealer.B
  • Trojan.Remcos
    • Trojan.Remcos.A
  • Trojan.Spy
    • Trojan.Spy.A
  • Trojan.StartupFolderMalDropper
    • Trojan.StartupFolderMalDropper.A

Exploit.MSOffice

Exploit.MSOffice.A

状态:启用

行为描述:源程序*\EXCEL.EXE做出以下操作时,提示用户处理

  • 对路径为*.exe的文件进行创建、写入操作
  • 对路径为*.scr的文件进行创建、写入操作
  • 对路径为*\Windows\Sys?????\*.exe的程序进行执行操作

Exploit.MSOffice.B

状态:启用

行为描述:源程序*\EXCEL.EXE做出以下操作时,提示用户处理

  • 对路径为*\Software\Microsoft\Windows\CurrentVersion\Run*的注册表进行创建、写入操作

Exploit.MSOffice.C

状态:启用

行为描述:源程序*\POWERPNT.EXE做出以下操作时,提示用户处理

  • 对路径为*.exe的文件进行创建、写入操作
  • 对路径为*.scr的文件进行创建、写入操作
  • 对路径为*\Windows\Sys?????\*.exe的程序进行执行操作

Exploit.MSOffice.D

状态:启用

行为描述:源程序*\POWERPNT.EXE做出以下操作时,提示用户处理

  • 对路径为*\Software\Microsoft\Windows\CurrentVersion\Run*的注册表进行创建、写入操作

Exploit.MSOffice.E

状态:启用

行为描述:源程序*\WINWORD.EXE做出以下操作时,提示用户处理

  • 对路径为*.exe的文件进行创建、写入操作
  • 对路径为*.scr的文件进行创建、写入操作
  • 对路径为*\Windows\Sys?????\*.exe的程序进行执行操作

Exploit.MSOffice.F

状态:启用

行为描述:源程序*\WINWORD.EXE做出以下操作时,提示用户处理

  • 对路径为*\Software\Microsoft\Windows\CurrentVersion\Run*的注册表进行创建、写入操作

Exploit.MSOffice.G

状态:启用

行为描述:源程序*\EQNEDT32.EXE做出以下操作时,提示用户处理

  • 对路径为*.exe的文件进行创建、写入操作
  • 对路径为*.scr的文件进行创建、写入操作
  • 对路径为*\Windows\Sys?????\*.exe的程序进行执行操作

Exploit.MSOffice.H

状态:启用

行为描述:源程序*\EQNEDT32.EXE做出以下操作时,提示用户处理

  • 对路径为*\Software\Microsoft\Windows\CurrentVersion\Run*的注册表进行创建、写入操作

rule.json hash: 11a6f7f126334cff29ddfdc485905a1c4ba3aec0f7f911e203980f34cb4ce62c

Ransom.CreateRansomNote

Ransom.CreateRansomNote.A

状态:启用

行为描述:源程序*做出以下操作时,提示用户处理

  • 对路径为>\ProgramData\>.txt的文件进行创建操作
  • 对路径为>\Program Files (x86)\>.txt的文件进行创建操作
  • 对路径为>\Users\*\AppData\Local\>.txt的文件进行创建操作
  • 对路径为>\Users\*\AppData\>.txt的文件进行创建操作
  • 对路径为>\Program Files\>.txt的文件进行创建操作

rule.json hash: 92dea9dc04af20406512baf6d17bf9ffc4c27911257403682db3b4bccd2b9bf3

Ransom.DoubleExt

Ransom.DoubleExt.A

状态:启用

行为描述:源程序*做出以下操作时,提示用户处理

  • 对路径为*.docx.>的文件进行创建操作
  • 对路径为*.xlsx.>的文件进行创建操作
  • 对路径为*.pptx.>的文件进行创建操作
  • 对路径为*.doc.>的文件进行创建操作
  • 对路径为*.xls.>的文件进行创建操作
  • 对路径为*.ppt.>的文件进行创建操作

Ransom.DoubleExt.B

状态:启用

行为描述:源程序*做出以下操作时,提示用户处理

  • 对路径为>\Users\>\Pictures\*.jpg.>的文件进行创建操作
  • 对路径为>\Users\>\Pictures\*.png.>的文件进行创建操作
  • 对路径为>\Users\>\Desktop\*.jpg.>的文件进行创建操作
  • 对路径为>\Users\>\Desktop\*.png.>的文件进行创建操作

rule.json hash: 8afaf4ee0e8ea6328dd7102d76abcd442db651f497c2208e1e9e54e72bad7c4c

Suspicious.AppCertDLLs

Suspicious.AppCertDLLs.A

状态:启用

行为描述:源程序*做出以下操作时,提示用户处理

  • 对路径为*\System\CurrentControlSet\Control\Session Manager\*的注册表进行创建、写入操作

rule.json hash: 5374f45048ea16f29e3ac22fc5e64ba6e5e655511033ac8d58ef78c8f8558e7e

Suspicious.AppInitDLLs

Suspicious.AppInitDLLs.A

状态:启用

行为描述:源程序*做出以下操作时,提示用户处理

  • 对路径为*\SOFTWARE*Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dll*的注册表进行创建、写入操作

rule.json hash: 6fd0e8a0cc1edb410eaf010023f9d27aa7c7ff487492f67a7f92ccdbed6e8391

Suspicious.CommandPrompt

Suspicious.CommandPrompt.A

状态:启用

行为描述:源程序*\cmd.exe做出以下操作时,提示用户处理

  • 对路径为*\?script.exe的程序进行执行操作
  • 对路径为*.exe的文件进行创建操作
  • 对路径为*.vb?的文件进行创建操作
  • 对路径为*.js的文件进行创建操作

rule.json hash: ac6da01e160cfb9848cec158ee41f935786a5413aadca2f4bb2c9ef66fcce2cd

Suspicious.NetDebugger

Suspicious.NetDebugger.A

状态:未启用

行为描述:源程序*做出以下操作时,提示用户处理

  • 对路径为*\SOFTWARE*Microsoft\.NETFramework\DbgManagedDebugge*的注册表进行创建、写入操作

rule.json hash: 04ca56b228447f507b7f8e4bc012dfee5c97828c916b7513db6b61c24d14ed14

Suspicious.NetWinAppXRT

Suspicious.NetWinAppXRT.A

状态:未启用

行为描述:源程序*做出以下操作时,提示用户处理

  • 对路径为*\WinAppXRT.dll的文件进行创建、写入操作

rule.json hash: e929a5393844223a858a2db1aec518991e2d30f560a952a4066a5f69352cdf47

Suspicious.PowerShell

Suspicious.PowerShell.A

状态:启用

行为描述:源程序*\Windows\Sys?????\*.exe做出以下操作时,提示用户处理

  • 对路径为*\powershell.exe的程序进行执行操作

Suspicious.PowerShell.B

状态:启用

行为描述:源程序*\powershell.exe做出以下操作时,提示用户处理

  • 对路径为*\Users\*\AppData\*的程序进行执行操作

Suspicious.PowerShell.C

状态:启用

行为描述:源程序*做出以下操作时,提示用户处理

  • 对路径为*\WindowsPowerShell\v1.0\profile.ps1的文件进行写入操作
  • 对路径为*\WindowsPowerShell\v1.0\Microsoft.PowerShell*profile.ps1的文件进行写入操作
  • 对路径为*\Documents\profile.ps1的文件进行写入操作

rule.json hash: 8407b3ae9312f1ebc1145986020e3ff3cd72543e98e6ded29b064a7ccf875ea8

Suspicious.RunFromSusPath

Suspicious.RunFromSusPath.A

状态:启用

行为描述:源程序*做出以下操作时,提示用户处理

  • 对路径为*\Users\*\AppData\Roaming\>的程序进行执行操作
  • 对路径为*\Users\*\AppData\>的程序进行执行操作
  • 对路径为*\Users\>\>的程序进行执行操作
  • 对路径为*\ProgramData\>的程序进行执行操作
  • 对路径为*\Program Files\>的程序进行执行操作
  • 对路径为*\Program Files (x86)\>的程序进行执行操作
  • 对路径为*\Users\*\AppData\Local\>的程序进行执行操作
  • 对路径为*\Users\>\Documents\>的程序进行执行操作
  • 对路径为*\Users\>\Documents\>\>的程序进行执行操作
  • 对路径为*\Users\Public\>.bat的文件进行读取操作

Suspicious.RunFromSusPath.B

状态:启用

行为描述:源程序*做出以下操作时,提示用户处理

  • 对路径为*\Recycler\*的程序进行执行操作
  • 对路径为*\$RECYCLE.BIN\*的程序进行执行操作
  • 对路径为*\System Volume Information\*的程序进行执行操作

Suspicious.RunFromSusPath.C

状态:未启用

行为描述:源程序*做出以下操作时,提示用户处理

  • 对路径为*\ProgramData\>\>.exe的程序进行执行操作

Suspicious.RunFromSusPath.D

状态:启用

行为描述:源程序*\Windows\Sys?????\>做出以下操作时,提示用户处理

  • 对路径为*\Users\*\AppData\Roaming\>\>.exe的程序进行执行操作

Suspicious.RunFromSusPath.E

状态:未启用

行为描述:源程序*做出以下操作时,提示用户处理

  • 对路径为*\Users\*\AppData\Roaming\>\>.exe的程序进行执行操作

rule.json hash: 08f7e3dc7ada40ee0b6cce1ef341404eb3de0be6da37d852a0549a1c049944c2

Suspicious.ScriptHost

Suspicious.ScriptHost.A

状态:启用

行为描述:源程序*\?script.exe做出以下操作时,提示用户处理

  • 对路径为*\Windows\Sys?????\*.exe的程序进行执行操作
  • 对路径为*.exe的文件进行创建操作
  • 对路径为*.dll的文件进行创建操作
  • 对路径为*\Users\*\AppData\*的程序进行执行操作

Suspicious.ScriptHost.B

状态:启用

行为描述:源程序*\Windows\Sys?????\*.exe做出以下操作时,提示用户处理

  • 对路径为*\?script.exe的程序进行执行操作

rule.json hash: 7692734f67bdef45c360f5d4b04da6d64141543e16f47214a7b005f3094a3fe9

Suspicious.SuspProcAddAutoRun

Suspicious.SuspProcAddAutoRun.A

状态:启用

行为描述:源程序*\Users\*\AppData\>\>\>做出以下操作时,提示用户处理

  • 对路径为*\Software\Microsoft\Windows\CurrentVersion\Run*的注册表进行创建、写入操作
  • 对路径为*\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*的文件进行创建操作

rule.json hash: 4aa4a4bcd0c6ecdd91d95954e534c4cd844dcde11960cdfcafb4d6169b081ca2

Suspicious.SuspProcCallSysProc

Suspicious.SuspProcCallSysProc.A

状态:启用

行为描述:源程序*\Users\*\AppData\>\>\>做出以下操作时,提示用户处理

  • 对路径为*\Windows\Sys?????\*.exe的程序进行执行操作

rule.json hash: e89457383d24e328b7690300d5f3bf253909e57adf4cce5d0069c637a708ad35

Suspicious.SysProcAddAutoRun

Suspicious.SysProcAddAutoRun.A

状态:启用

行为描述:源程序*\Windows\*做出以下操作时,提示用户处理

  • 对路径为*\Software\Microsoft\Windows\CurrentVersion\Run*的注册表进行创建、写入操作
  • 对路径为*\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*的文件进行创建操作

rule.json hash: b57855ef08d403a05d0d219b948fd32048c5f38ff07da0155ac2719ed510c2e9

Telemetry.ActiveSetup

Telemetry.ActiveSetup.A

状态:未启用

行为描述:源程序*做出以下操作时,提示用户处理

  • 对路径为*\SOFTWARE*Microsoft\Active Setup\Installed Components*的注册表进行创建操作

rule.json hash: 25f31e649b656ea0a57e2bcf47eb507ac362fd3b168aeeeed1cbf6dd0fbeaeb9

Telemetry.CredentialProviders

Telemetry.CredentialProviders.A

状态:未启用

行为描述:源程序*做出以下操作时,提示用户处理

  • 对路径为*\Software\Microsoft\Windows\CurrentVersion\Authentication\PLAP Provider*的注册表进行创建、写入操作
  • 对路径为*\Software\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider*的注册表进行创建、写入操作

rule.json hash: 495c7c42f579fcc2a45efdd8c22bcee72c3bd88964ebf0c1714c7c7c4c32062d

Telemetry.LSAConfig

Telemetry.LSAConfig.A

状态:未启用

行为描述:源程序*做出以下操作时,提示用户处理

  • 对路径为*\Control\Lsa的注册表进行创建、写入操作
  • 对路径为*\Control\Lsa*的注册表进行创建、写入操作

rule.json hash: f94511a7d03f0b57a291761d410b84c4f5376efd0bb7fe56ba9e06d3ebe09bf7

Telemetry.PowerShell

Telemetry.PowerShell.A

状态:未启用

行为描述:源程序*\powershell.exe做出以下操作时,提示用户处理

  • 对路径为*.exe的文件进行创建操作

Telemetry.PowerShell.B

状态:未启用

行为描述:源程序*\powershell.exe做出以下操作时,提示用户处理

  • 对路径为HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*的注册表进行创建操作

Telemetry.PowerShell.C

状态:未启用

行为描述:源程序*\powershell.exe做出以下操作时,提示用户处理

  • 对路径为\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ExecutionPolicy的注册表进行写入操作

rule.json hash: 6176d464860dad2aa05aac6d1bdd4d556618cc1fa09a68bc9aba16208d464613

Telemetry.ReadBrowserData

Telemetry.ReadBrowserData.A

状态:未启用

行为描述:源程序*做出以下操作时,提示用户处理

  • 对路径为*\Users\*\AppData\Local\*\User Data\Default\*的文件进行读取操作
  • 对路径为*\Users\*\AppData\Roaming\Mozilla\Firefox\Profiles\*的文件进行读取操作

rule.json hash: 04c8f6e13bbfc0027141f86bf678a2573bfd46326051c1753b2930bfdc2d1d7a

Telemetry.TerminalServer

Telemetry.TerminalServer.A

状态:未启用

行为描述:源程序*做出以下操作时,提示用户处理

  • 对路径为*\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\InitialProgram的注册表进行写入操作

rule.json hash: 1b245341cbd4dc6c3457fef43ee9ab8ffc96738ea578ed2bda9981f86819490e

Template

rule.json hash: 26c5a555c2ccb94877985ee87cda3a1f44578de3e71abb672b5b822639f95416

Trojan.CmstpDownloader

Trojan.CmstpDownloader.A

状态:启用

行为描述:源程序*\cmstp.exe做出以下操作时,提示用户处理

  • 对路径为*.exe的文件进行创建操作
  • 对路径为*.dll的文件进行创建操作

rule.json hash: 7a61cc7f5c4d7b6726f51cfc9110e44425f219f4b2165f38c3c959691bce9627

Trojan.FakeSysProc

Trojan.FakeSysProc.A

状态:启用

行为描述:源程序*做出以下操作时,提示用户处理

  • 对路径为*\svchost.exe的程序进行执行操作
  • 对路径为*\lsass.exe的程序进行执行操作
  • 对路径为*\services.exe的程序进行执行操作
  • 对路径为*\winlogon.exe的程序进行执行操作
  • 对路径为*\csrss.exe的程序进行执行操作
  • 对路径为*\smss.exe的程序进行执行操作

rule.json hash: 050c9912a384d8858c1f745894d9172ff45ef8a04c03a3fa7b57f02c8a0634da

Trojan.MshtaDownloader

Trojan.MshtaDownloader.A

状态:启用

行为描述:源程序*\mshta.exe做出以下操作时,提示用户处理

  • 对路径为*\Windows\Sys?????\*.exe的程序进行执行操作
  • 对路径为*.exe的文件进行创建操作
  • 对路径为*.dll的文件进行创建操作
  • 对路径为*\Users\*\AppData\*的程序进行执行操作

rule.json hash: 9af5a10aba8688c0759a59db43479ddd32558715cf3b6905531d9ef484e924a7

Trojan.Nanocore

Trojan.Nanocore.A

状态:启用

行为描述:源程序*做出以下操作时,提示用户处理

  • 对路径为*\Users\*\AppData\Roaming\>\run.dat的文件进行创建操作

rule.json hash: dfee1a531ec4660d2f369489bf185f6d24a448670867d2e1d2f62ff86d4aefd3

Trojan.NetStealer

Trojan.NetStealer.A

状态:启用

行为描述:源程序*\Windows\Microsoft.NET\Framework\>\>做出以下操作时,提示用户处理

  • 对路径为*.txt的文件进行创建操作
  • 对路径为*\Users\*\AppData\Roaming\>\>.ini的文件进行创建操作
  • 对路径为*\Software\Microsoft\Windows\CurrentVersion\Run*的注册表进行创建、写入操作
  • 对路径为*\Users\*\AppData\Local\*\User Data\Default\*的文件进行读取操作
  • 对路径为*\Users\*\AppData\Roaming\Mozilla\Firefox\Profiles\*的文件进行读取操作

Trojan.NetStealer.B

状态:启用

行为描述:源程序*\Windows\>做出以下操作时,提示用户处理

  • 对路径为*\Users\*\AppData\Roaming\>\>.ini的文件进行创建操作

rule.json hash: a1dc27a7fe9ba237485ee9bff7e5d1a72d413649aaf9cd82a43b5819c1ff1468

Trojan.Remcos

Trojan.Remcos.A

状态:启用

行为描述:源程序*做出以下操作时,提示用户处理

  • 对路径为*Remcos*的注册表进行创建、写入操作

rule.json hash: 9356fc082479626e97c5c8a06fec3876eb7860531d87b548b6a0897598921edb

Trojan.Spy

Trojan.Spy.A

状态:启用

行为描述:源程序*做出以下操作时,提示用户处理

  • 对路径为*\ProgramData\*Cookie*.txt的文件进行创建操作
  • 对路径为*\Users\*\AppData\Local\Temp\*Cookie*txt的文件进行创建操作
  • 对路径为*\Users\*\AppData\Local\>\>\>Cookie>txt的文件进行创建操作
  • 对路径为*\Users\*\AppData\Local\>\>screen*png的文件进行创建操作
  • 对路径为*\Users\*\AppData\Local\Temp\*cookie*txt的文件进行读取操作
  • 对路径为*\Users\*\AppData\Local\Temp\*passowrd*txt的文件进行读取操作
  • 对路径为*\Users\*\AppData\Roaming\>\>.jpeg的文件进行创建操作

rule.json hash: 007f1ee31843571162c95ca83eb42cbc192ccdfe1268363c1a4cd4c96955b914

Trojan.StartupFolderMalDropper

Trojan.StartupFolderMalDropper.A

状态:启用

行为描述:源程序*做出以下操作时,提示用户处理

  • 对路径为*\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.j>的文件进行创建、写入操作
  • 对路径为*\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.vb?的文件进行创建、写入操作
  • 对路径为*\Users\*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.exe的文件进行创建、写入操作

rule.json hash: d5498c78b6062c8e4a7376af6eb2cd2e5455102de2d1a404c65b6c8493f72ea0

安装/导入规则

下载最新规则版本,解压文件可得Rule.jsonAuto.json

打开火绒主界面->防护中心->高级防护->自定义规则

图片[1]-一款火绒增强HIPS自定义规则-FancyPig's blog
图片[2]-一款火绒增强HIPS自定义规则-FancyPig's blog

点击开关启用,点击项目->进入高级防护设置项

图片[3]-一款火绒增强HIPS自定义规则-FancyPig's blog

在自定义规则设置界面->导入->选择Rule.json

图片[4]-一款火绒增强HIPS自定义规则-FancyPig's blog
图片[5]-一款火绒增强HIPS自定义规则-FancyPig's blog
图片[6]-一款火绒增强HIPS自定义规则-FancyPig's blog
图片[7]-一款火绒增强HIPS自定义规则-FancyPig's blog

在自动处理设置页面->导入->选择Auto.json

图片[8]-一款火绒增强HIPS自定义规则-FancyPig's blog
图片[9]-一款火绒增强HIPS自定义规则-FancyPig's blog
图片[10]-一款火绒增强HIPS自定义规则-FancyPig's blog
图片[11]-一款火绒增强HIPS自定义规则-FancyPig's blog

版本更新时请手动删除旧规则然后重新导入。

项目地址

https://github.com/JerryLinLinLin/Huorong-ATP-Rules

© 版权声明
THE END
喜欢就支持一下吧
点赞29 分享
评论 共9条

请登录后发表评论