Yamato-Security/hayabusa项目中的windash修饰符增强解析

在日志分析领域，特殊字符的处理往往成为规则匹配的关键难点。Yamato-Security团队近期对其hayabusa项目中的windash修饰符进行了重要功能增强，使其能够识别更多类型的横线字符变体，显著提升了日志检测规则的覆盖范围。

传统Windows系统中，文件名和路径常会包含连字符"-"，但在实际日志记录过程中，这个字符可能被转换为其他形态的横线符号。原始windash修饰符仅能处理标准连字符"-"，而现代文本处理系统可能产生以下三种常见变体：

1. 短破折号"–"（en dash，Unicode U+2013）
2. 长破折号"—"（em dash，Unicode U+2014）
3. 水平线"―"（horizontal bar，Unicode U+2015）

这些字符在视觉上相似但编码不同，可能导致安全检测规则出现漏报。例如，攻击者可能故意使用en dash替代普通连字符来绕过基于固定字符串的检测规则。此次增强使hayabusa的检测引擎能够自动识别所有这些字符变体，确保以下场景都能被正确匹配：

• 文件路径中的"C:\Users\Admin–Downloads"
• 日志条目中的"Process创建―可疑程序"
• 命令行参数中的"powershell —ExecutionPolicy Bypass"

该改进严格遵循Sigma规范的最新要求，使得hayabusa在以下安全检测场景中表现更加可靠：

1. 可疑命令行参数检测
2. 异常文件路径监控
3. 进程创建事件分析

对于安全分析师而言，这一改进意味着无需再为不同形态的横线字符编写多条重复规则。系统现在能够自动归一化处理这些字符变体，既降低了规则维护成本，又提高了检测准确率。在实现层面，该功能通过扩展字符匹配集来实现，保持了原有的高效匹配性能。

这项改进已于2024年8月完成并合并到主分支，标志着hayabusa在日志解析精度方面又迈出了重要一步。对于使用该工具的安全团队，建议及时更新到最新版本以获取完整的横线字符检测能力。