Generador de reglas fácticas es un proyecto de código abierto que tiene como objetivo generar reglas YARA sobre el software instalado desde un sistema operativo en ejecución.
El objetivo del software es poder utilizar un conjunto de reglas contra las evidencias forenses digitales recopiladas o adquiridas y encontrar el software instalado de manera oportuna.
El software se puede utilizar para establecer una línea base de software conocido del sistema Windows y crear un conjunto de reglas para encontrar una instalación similar en otros sistemas.
Tabla de Contenidos
dependencias
- pefile
- psutil
- ndjson
- python-tlsh
- PyInstaller (para cambiar client.py a client.exe)
- profundo
- En Ubuntu:
sudo apt-get install build-essential libffi-dev python3 python3-dev python3-pip libfuzzy-dev
pip install ssdeep
- En Ubuntu:
Requisito de herramientas
Se requieren algunas herramientas en el sistema operativo host, algunas son herramientas estándar de Unix y otras adicionales:
Para la máquina virtual de Windows, se requiere instalar el siguiente software:
- SEliminar
- AsA (Analizador de superficie de ataque)
Instalar
- Instalar todas las dependencias de Python requisitos definidos.txt
- Cree una carpeta compartida para comunicarse con VM
- Instalar una máquina virtual de Windows
- Instalar chocolatey en Windows VM
- Completo
bin/OnWindows/Varclient.py
- Cambio
bin/OnWindows/client.py
en un archivo ejecutable con PyInstaller y poner en la carpeta de inicio
- Actualizar
etc/allVariables.py
para que coincida con su configuración deseada
En test/
se dan algunos ejemplos de software para instalar, se requiere el siguiente formato específico:
- Primero, seleccione el nombre de los paquetes para instalar usando chocolatey antes
:
o el nombre del archivo en el caso de un archivo msi o exe. - En segundo lugar, después
:
ahí está el nombre del exe para extraerlo y ejecutarlo (sin extensión). - La segunda parte despues
,
sigue el mismo sistema con la palabrainstaller
primero y despues:
el tipo de instalador: - Finalmente, la tercera parte,
uninstaller
seguido por:
y el desinstalador como choco, msiexec o exe
Ejecutar y generar las reglas.
bin/Generator.py
es el único script para ejecutar, no olvides actualizaretc/allVariables.py
(paso critico).
Repositorio público de reglas de YARA
- reglas factuales: reglas de muestra generadas a partir de un software muy común.
Descripción general del generador de reglas fácticas