Strelka 是一款由美国零售巨头 Target(塔吉特公司) 开源的 实时文件扫描系统,专注于快速检测和分析潜在恶意文件(如病毒、木马、勒索软件等)。它被设计用于企业级网络安全场景,帮助安全团队实时监控和防御恶意文件攻击,尤其适合需要处理海量文件上传和传输的互联网服务或企业内部系统。Strelka 拥有 50 多种针对最常见文件类型(例如 exe、docx、js、zip)的文件扫描程序,可让用户深入了解主机、网络或企业中的文件。虽然 Strelka本身并不是检测引擎(尽管它确实利用了YARA,但它可以提供足够的元数据来识别可疑或恶意文件。
strelka 的核心功能
- 实时文件扫描
自动扫描用户上传、邮件附件、API传输等渠道的文件,支持多种格式(如文档、压缩包、可执行文件等),即时返回扫描结果。 - 恶意文件检测
通过集成 YARA 规则(恶意软件特征匹配工具)和自定义规则引擎,精准识别已知威胁,例如病毒签名、恶意代码片段等。 - 与 ELK 技术栈集成
扫描结果可无缝对接 Elasticsearch、Logstash、Kibana(ELK),实现日志分析、可视化报表和威胁追踪,便于安全团队快速响应。 - 高扩展性与分布式架构
支持横向扩展,能处理每秒数千次文件扫描请求,适用于大型企业或高并发场景。
技术架构解析
Strelka 分为三个核心组件:
-
前端服务(Strelka-Fileshot)
接收文件并分发任务,支持 HTTP API 或消息队列(如 Kafka、RabbitMQ)。 -
扫描引擎(Strelka-Scanner)
执行多引擎扫描(如 ClamAV、YARA)、元数据提取、文件哈希计算等。 -
规则引擎(Strelka-Rules)
基于 YARA 的规则库,可动态更新恶意特征库。
下载链接
https://github.com/target/strelka
原文始发于微信公众号(贝雷帽SEC):【蓝队】一个威胁搜寻、威胁检测和事件响应的模块化数据扫描平台
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论