IRFuzz Escáner Simple con Reglas Yara
IRFuzz Escáner Simple con Reglas Yara
Seguridad
·2 Minutos de lectura

IRFuzz: Escáner Simple con Reglas Yara

IRFuzz es un simple escáner con las reglas YARA para archivos de documentos o cualquier otro tipo de archivos.

Tabla de Contenido

Instalar

Requisitos previos

Linux o OS X

  • Yara: solo utiliza el código fuente de la última versión, compílalo e instálalo (o instálalo a través de pip install yara-python)
  • Reglas de Yara – Puedes descargar las reglas de Yara desde aquí o importar tu propio conjunto de reglas personalizadas.
  • Dependencias de Python
https://github.com/VirusTotal/yara/
https://github.com/Yara-Rules/rules

Las dependencias se gestionan con pipenv. Para empezar, instala las dependencias y activa el entorno virtual con los siguientes comandos:

$ pipenv install
$ pipenv shell

Ejecutando IRFuzz – Watchd

screenshot IRFuzz)
screenshot IRFuzz)

Ejecutando IRFuzz

$ python -m watchd.watch ~/tools/IR/ -y rules/maldocs --csv csvfile.csv

Características soportadas

  • Escanea los nuevos archivos con inotify
  • Se admiten extensiones personalizadas
  • El modo de borrado eliminará el archivo coincidente
  • Escaneo recursivo del directorio
  • Las listas relacionaron las funciones de Yara con los yarastrings con el ctime
  • Resultados del CSV para Filebeat

Extensiones personalizadas

$ python -m watchd.watch ~/tools/IR/ -y rules/maldocs --csv csvfile.csv --extensions .zip,.rar

Alerta de la regla de Yara

Generar un token desde https://irfuzz.com/tokens

$ python -m watchd.watch ~/tools/IR/ -y rules/maldocs --csv csvfile.csv --extensions .php --token tokenhere

Configura las alertas del sitio web a Telegram o a tu correo electrónico.

Eliminar el archivo coincidente

$ python -m watchd.watch ~/tools/IR/ -y rules/maldocs --csv csvfile.csv --delete

Polling (Si inotify no es soportado)

$ python -m watchd.watch ~/tools/IR/ -y rules/maldocs --csv csvfile.csv --polling

Añade la opción --poll para forzar el uso del mecanismo de polling para detectar cambios en el directorio de datos. El polling es más lento que el mecanismo subyacente en el sistema operativo para detectar cambios, pero es necesario con ciertos sistemas de archivos como los montajes SMB.

Extensiones Predeterminadas

Formatos de archivo compatibles con Microsoft Office Word

.doc .docm .docx .docx .dot .dotm .dotx .odt

Formatos de archivo compatibles con Microsoft Office Excel

.ods .xla .xlam .xls .xls .xlsb .xlsm .xlsx .xlsx .xlt .xltm .xltx .xlw

Formatos de archivo compatibles con Microsoft Office PowerPoint

.pot .potm .potx .ppa .ppam .pps .ppsm .ppsx .ppt .pptm .pptx .pptx .pptx

zipdump.py

IRFuzz usa zipdump.py para el análisis de los archivos zip.

https://github.com/DidierStevens/DidierStevensSuite/blob/master/zipdump.py
https://github.com/oxiqa/IRFuzz

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda