IRFuzz: Escáner Simple con Reglas Yara

IRFuzz es un simple escáner con las reglas YARA para archivos de documentos o cualquier otro tipo de archivos.

Instalar

Requisitos previos

Linux o OS X

• Yara: solo utiliza el código fuente de la última versión, compílalo e instálalo (o instálalo a través de pip install yara-python)
• Reglas de Yara – Puedes descargar las reglas de Yara desde aquí o importar tu propio conjunto de reglas personalizadas.
• Dependencias de Python

Las dependencias se gestionan con pipenv. Para empezar, instala las dependencias y activa el entorno virtual con los siguientes comandos:

$ pipenv install
$ pipenv shell

Ejecutando IRFuzz – Watchd

Ejecutando IRFuzz

$ python -m watchd.watch ~/tools/IR/ -y rules/maldocs --csv csvfile.csv

Características soportadas

• Escanea los nuevos archivos con inotify
• Se admiten extensiones personalizadas
• El modo de borrado eliminará el archivo coincidente
• Escaneo recursivo del directorio
• Las listas relacionaron las funciones de Yara con los yarastrings con el ctime
• Resultados del CSV para Filebeat

Extensiones personalizadas

$ python -m watchd.watch ~/tools/IR/ -y rules/maldocs --csv csvfile.csv --extensions .zip,.rar

Alerta de la regla de Yara

Generar un token desde https://irfuzz.com/tokens

$ python -m watchd.watch ~/tools/IR/ -y rules/maldocs --csv csvfile.csv --extensions .php --token tokenhere

Configura las alertas del sitio web a Telegram o a tu correo electrónico.

Eliminar el archivo coincidente

$ python -m watchd.watch ~/tools/IR/ -y rules/maldocs --csv csvfile.csv --delete

Polling (Si inotify no es soportado)

$ python -m watchd.watch ~/tools/IR/ -y rules/maldocs --csv csvfile.csv --polling

Añade la opción --poll para forzar el uso del mecanismo de polling para detectar cambios en el directorio de datos. El polling es más lento que el mecanismo subyacente en el sistema operativo para detectar cambios, pero es necesario con ciertos sistemas de archivos como los montajes SMB.

Extensiones Predeterminadas

Formatos de archivo compatibles con Microsoft Office Word

.doc .docm .docx .docx .dot .dotm .dotx .odt

Formatos de archivo compatibles con Microsoft Office Excel

.ods .xla .xlam .xls .xls .xlsb .xlsm .xlsx .xlsx .xlt .xltm .xltx .xlw

Formatos de archivo compatibles con Microsoft Office PowerPoint

.pot .potm .potx .ppa .ppam .pps .ppsm .ppsx .ppt .pptm .pptx .pptx .pptx

zipdump.py

IRFuzz usa zipdump.py para el análisis de los archivos zip.

Dark Mode

IRFuzz (este enlace se abre en una nueva ventana) por oxiqa (este enlace se abre en una nueva ventana)

3 suscriptores 24 observadores 9 forks Echa un vistazo a este repositorio en GitHub.com (este enlace se abre en una nueva ventana)