应急响应-工具-ELK日志分析系统与Yara规则识别样本 ELK日志分析系统Elasticsearch：用于存储收集到的日志信息Logstash：用于收集日志，SpringBoot应用整合了Logstash以后会把日志发送给Logstash，Logstash再把日志转发给ElasticsearchKibana：通过Web端的可视化界面来查看日志很多日志分析的应用都不够全面，ELK解决了很多不完善的地方，是蓝队日志分析的一个好工具，是一个外国的产品，在系统下搭建很麻烦，很容易出错，如果只是日常使用，方便了解，建议在docker下搭建，如果是实战，建议在系统下搭建，毕竟docker只是个虚拟容器。环境搭建使用的Docker镜像sebp/elk:793注意该容器使用的内存大约在2.1G左右服务器需要安装Docker、Docker-compose这个镜像是Elasticsearch、Logstash、Kibana集成容器镜像，使用docker或者docker-compose启动后各个组件就会启动成功apt update apt install docker apt install docker-compose # 设置一个进程可以拥有的VMA(虚拟内存区域)的数量 sysctl -w vm.max_map_count=262144 # 使上个命令立即生效 sysctl -p 如果有出现vm.max_map_count = 262144说明设置成功vim docker-compose.yml # 文件内容 version: "3.5" services: elk: image: sebp/elk:7.12.0 volumes: - ./elk/02-beats-input.conf:/etc/logstash/conf.d/02-beats-input.conf environment: ES_JAVA_OPTS: -Xms512m -Xmx512m ports: #Kibana 网络界面 - "5601:5601" # Elasticsearch JSON 接口 - "9200:9200" # Logstash Beats 接口 - "5044:5044"在docker-compose.yml文件目录下创建elk文件夹，创建Logstash配置文件02-beats-input.conf#进入elk目录 cd elk #创建并编辑02-beats-input.conf文件 vi 02-beats-input.confinput { tcp { port => 5044 codec => json_lines } } output{ elasticsearch { hosts => ["localhost:9200"] index => "beat-%{+YYYY.MM.dd}" } }docker-compose up -d elk上传日志文件解析特定部署采集分析恶意样本Yara分析Yara工具地址GitHub - VirusTotal/yara: The pattern matching swiss knife恶意样本库GitHub - ytisf/theZoo: A repository of LIVE malwares for your own joy and pleasure. theZoo is a project created to make the possibility of malware analysis open and available to the public.相关开源的检测规则GitHub - Yara-Rules/rules: Repository of yara ruleshttps://github.com/JerryLinLinLin/Huorong-ATP-Ruleshttps://github.com/m-sec-org/d-eyes/tree/master/yaraRules规则分类Antidebug_AntiVM：反调试/反沙箱类yara规则Crypto：加密类yara规则CVE_Rules：CVE漏洞利用类yara规则email：恶意邮件类yara规则Exploit-Kits：EK类yara规则Malicious_Documents：恶意文档类yara规则malware：恶意软件类yara规则Mobile_Malware：移动恶意软件类yara规则Packers：加壳类yara规则utils：通用类yara规则Webshells：Webshell类yara规则检测范围样本文件内存数据网络流量Yara规则开发参考文章YARA规则与办公安全：高效检测策略Yara规则内容支持字符串、正则表达式、十六进制进行匹配特征规则：字符串：定义一个变量 $a = "字符串内容"正则表达式：定义一个变量 $a = /正则表达式内容/十六进制：定义一个变量 $a = {十六进制内容}条件规则：and：与 or：或 not：非all of them：所有条件匹配即告警any of them：有一个条件匹配即告警$a and $b and $c：abc同时匹配即告警($a and $b) or $c：匹配a和b或c即告警Yara规则常用修饰符：nocase：不区分大小写base64：base64字符串xor：异或字符串wide：宽字符如何进行特征提取通过多个样本的对比来找出共同点特征通过分析协议、文件头等来找出特征实例展示利用已知规则测试识别挖矿、勒索、C2、WebShellyara64.exe rules\malware_index.yar -r example利用已知规则测试识别算法yara64.exe rules\crypto_index.yar -r example利用已知规则测试识别加壳yara64.exe rules\packers_index.yar -r example利用已知规则测试识别反沙箱yara64.exe rules\antidebug_antivm_index.yar -r example自写规则识别恶意软件-测试（并不能进行实际识别）rule xmrig_find : miner { meta: author = "ElmWhite" date = "2025-02-20" strings: $hex = {4D 5A} $a = "stratum" $b = "xmrig" $c = "pool" condition: all of them } 自写规则识别内存马rule mem_find : memshell { meta: author = "ElmWhite" date = "2024-09-05" strings: $a = "org.apache.coyote.type.MapLikeType" $b = "org.apache.coyote.deser" $c = "org.apache.coyote.exc" condition: ($a and $b) or $c }yara64.exe rules\mem_find.yar PID