Spyre

Spyre是一款功能强大的基于主机的IoC扫描工具，该工具基于YARA模式匹配引擎和其他扫描模块构建。其主要功能是简化YARA规则的操作，并帮助广大研究人员更好地实现入侵威胁指标IoC的扫描。

在使用Spyre时，我们需要提供自己的YARA规则集，关于YARA规则，广大研究人员可以参考awesome-yara库所提供的免费YARA规则集。

广大研究人员可以将Spyre当作一款事件响应与调查工具来使用，不过该工具并不能给终端设备提供任何的保护服务。

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地：

git clone https://github.com/spyre-project/spyre.git

代码构建

Spyre支持在32位和64位的Linux以及Windows平台上运行。

Debian Buster（10.x）及更新版本

在Debian/Buster系统上，首先需要安装和配置好下列工具组件包：

make

gcc

gcc-multilib

gcc-mingw-w64

autoconf

automake

libtool

pkg-config

wget

patch

sed

golang-$VERSION-go

git-core

ca-certificates

zip

上述即为该工具的构建环境要求，之后可以使用命令行接口进行源码构建。

Fedora 30及更新版本

在Fedora系统上进行源码构建，首先需要安装配置好下列工具组件包：

make

gcc

mingw{32,64}-gcc

mingw{32,64}-winpthreads-static

autoconf

automake

libtool

pkgconf-pkg-config

wget

patch

sed

golang

git-core

ca-certificates

zip

安装配置好上述工具组件包之后，我们就可以使用make命令进行代码构建了。此时将下载musl-libc、openssl和yara，构建好之后就可以构建Spyre了。

构建好的Spyre代码将创建在“_build/<triplet>/”。

运行下列命令之后，工具将创建一个包含支持所有操作系统架构源码的ZIP文件：

make release

工具配置

我们可以通过命令行参数或params.txt文件来传递Spyre工具的运行时参数，参数的每一行以#字符开头的规则都将被忽略。

通常情况下（除非启用此选项），Spyre会指示OS调度器降低CPU时间和I/O操作的优先级，以避免中断正常的系统操作：

--high-priority

在报告中显式地在该文件中设置主机名：

--set-hostname=NAME

设置日志等级，可用选项有trace、debug、info、notice、warn、error、quiet：

--report=SPEC

设置一个或多个待扫描的文件系统路径：

--path=PATHLIST

设置待扫描文件的YARA规则文件列表：

--yara-proc-rules=FILELIST

设置待扫描进程内存空间的YARA规则文件列表：

--yara-proc-rules=FILELIST

使用YARA设置要扫描的文件的最大大小：

--ioc-file=FILE

设置不需要扫描的进程名称：

--proc-ignore=NAMELIST

工具使用

Spyre的使用非常简单，首先添加YARA签名，用于文件扫描的YARA规则需要从filescan.yar中读取，procscan.yar则对应的是进程内存扫描规则。下列选项支持向Spyre提供规则文件：

1、将规则文件添加至ZIP文件，并将文件添加至代码中。

2、将规则文件添加至$PROGRAM.zip这个ZIP文件中，如果是通过spyre或spyre.exe调用的Spyre代码，则使用的是spyre.zip。

3、将规则文件放至源码所在的相同目录。

ZIP文件内容将使用密码“infected”进行加密，以防止反病毒产品破坏规则集并影响扫描结果。

YARA规则文件中将包含include语句。

部署完成之后，即可运行扫描器。扫描完成后，工具将生成收集到的报告结果。

关于YARA规则

YARA使用了默认设置进行配置，并且支持通过下列选项进行切换：

--disable-magic

--disable-cuckoo

--enable-dotnet

--enable-macho

--enable-dex

许可证协议

本项目的开发与发布遵循GNU开源许可证协议。

项目地址

Spyre：【GitHub传送门】