YARA – vzor odpovídající švýcarský nůž pro malware výzkumníci
YARA v kostce
YARA je nástroj, jehož cílem (ale ne omezený k) pomáhá malware vědci identifikovat a klasifikovat vzorky malwaru. S YARA můžete vytvářet popisymalwarové rodiny (nebo cokoli, co chcete popsat) na základě textových nebo binarypatterns. Každý popis, alias pravidlo, se skládá ze sady řetězců a aboolean výraz, který určuje jeho logiku. Podívejme se na příklad:
rule silent_banker : banker{ meta: description = "This is just an example" threat_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c}
výše uvedené pravidlo říká YARA, že jakýkoli soubor obsahující jeden ze tří řetězců musí být hlášen jako silent_banker. Toto je jen jednoduchý příklad, morecomplex a výkonné pravidel mohou být vytvořeny pomocí divokých karet, case-insensitivestrings, regulární výrazy, speciální operátory a mnoho dalších funkcí, že najdete vysvětleno ve YARA dokumentaci.
YARA je multiplatformní, běží na Windows, Linux a Mac OS X, a může být usedthrough jeho rozhraní příkazového řádku nebo z vlastní Python skripty s theyara-rozšíření pythonu.
další zdroje
používáte GitHub pro ukládání pravidel YARA? YARA-Cimmůže být užitečným doplňkem vašeho toolbelt. Jedná se o aplikaci GitHub, která poskytujepřetržité testování vašich pravidel, které vám pomohou identifikovat běžné chyby a pozitivní pozitiva.
pokud plánujete použít YARA ke skenování komprimovaných souborů (.zip, .měli byste se podívat na yextend, velmi užitečné rozšíření YARA vyvinuté a otevřené od Bayshore Networks.
navíc kluci z InQuest sestavili anaweseome seznam věcí souvisejících s YARA.
Kdo je pomocí YARA
- ActiveCanopy
- Adlice
- AlienVault
- BAE Systems
- Bayshore Networks, Inc.
- BinaryAlert
- Modrý Kabát
- Blueliv
- Claroty
- Cofense
- Conix
- CrowdStrike FMS
- Cuckoo Sandbox
- Cyber Třídění
- Digita Zabezpečení
- Dragos Platforma
- Dtex Systémy
- ESET
- ESTSecurity
- Fidelis XPS
- FireEye, Inc.
- Fox
- FSF
- Guidance Software
- Heroku
- Hornetsecurity
- Šetření
- JASK
- Joe Zabezpečení
- jsunpack-n
- Kaspersky Lab
- KnowBe4
- Koodous
- Laika BOSS
- Lastline, Inc.
- LimaCharlie
- McAfee Advanced Threat Defense
- Metaflows
- NBS Systém
- Nozomi Sítí
- osquery
- Payload Security
- PhishMe
- Picus Zabezpečení
- Radare2
- Raytheon Cyber Products, Inc.
- RedSocks Zabezpečení
- ReversingLabs
- root9B
- Scanii
- RSA ECAT
- SpamStopsHere
- stoQ
- Symantec
- Tanium
- Tenable Network Security
- DigiTrust Skupiny
- ThreatConnect
- ThreatStream, Inc.
- Gangster
- Trend Micro
- VirusTotal Inteligence
- VMRay
- Jsme se Dívat na Vaše webové Stránky
- Websense
- x64dbg
- YALIH
používáš to? Chcete vidět vaše stránky Zde uvedené?