Yamato-Security/hayabusa项目：Sigma V2正则表达式子修饰符支持解析

在威胁检测领域，Sigma规则作为一种通用的检测规则格式，其正则表达式功能对于模式匹配至关重要。近期Yamato-Security/hayabusa项目计划支持Sigma规范V2版本中引入的正则表达式子修饰符（sub-modifiers），这一技术演进将显著提升检测规则的灵活性和精确度。

技术背景

Sigma V2规范在正则表达式处理方面新增了三类子修饰符：

1. |re|i: - 大小写不敏感匹配（原文档描述存在歧义，实际应为禁用大小写敏感）
2. |re|m: - 多行模式匹配（使^/$匹配行首行尾）
3. |re|s: - 单行模式匹配（使点号.匹配包括换行符在内的所有字符）

这些修饰符的引入解决了安全检测中的几个关键痛点：

• 攻击者经常使用大小写变种规避检测
• 恶意脚本可能跨越多行执行
• 关键特征可能被换行符分隔

实现意义

以示例规则为例：

ScriptBlockText|re: '(Get-Item|gci|Get-ChildItem).{1,64}-Path.{1,64}\\(currentcontrolset\\services|...'

当支持V2子修饰符后，可优化为：

ScriptBlockText|re|i: '(get-item|gci|get-childitem).{1,64}-path.{1,64}\\(currentcontrolset\\services|...'

这种改进将带来：

1. 规则可读性提升（不再需要冗余的大小写变体）
2. 检测覆盖率提高（自动匹配所有大小写组合）
3. 规则维护简化（减少规则条目数量）

技术挑战

实现过程中需注意：

1. 修饰符优先级处理（多个修饰符组合时的执行顺序）
2. 向后兼容性（确保旧版规则仍可正常解析）
3. 性能考量（特别是多行模式对匹配效率的影响）

最佳实践建议

安全团队在采用新修饰符时应注意：

1. 优先在宽模式规则中使用|i修饰符
2. 谨慎使用s修饰符，可能增加误报风险
3. 对性能敏感的场景测试m修饰符影响

该增强功能预计将显著提升hayabusa对PowerShell等脚本攻击的检测能力，特别是针对注册表侦察等常见攻击手法。项目维护者特别邀请了正则表达式专家参与实现，确保功能的稳健性。

随着Sigma规范的持续演进，安全检测工具需要及时跟进这些技术改进，以保持对抗现代威胁的有效性。hayabusa项目的这一举措体现了其作为前沿安全工具的快速响应能力。