YARA – vzor odpovídající švýcarský nůž pro malware výzkumníci

BY admin
|

YARA v kostce

YARA je nástroj, jehož cílem (ale ne omezený k) pomáhá malware vědci identifikovat a klasifikovat vzorky malwaru. S YARA můžete vytvářet popisymalwarové rodiny (nebo cokoli, co chcete popsat) na základě textových nebo binarypatterns. Každý popis, alias pravidlo, se skládá ze sady řetězců a aboolean výraz, který určuje jeho logiku. Podívejme se na příklad:

rule silent_banker : banker{ meta: description = "This is just an example" threat_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c}

výše uvedené pravidlo říká YARA, že jakýkoli soubor obsahující jeden ze tří řetězců musí být hlášen jako silent_banker. Toto je jen jednoduchý příklad, morecomplex a výkonné pravidel mohou být vytvořeny pomocí divokých karet, case-insensitivestrings, regulární výrazy, speciální operátory a mnoho dalších funkcí, že najdete vysvětleno ve YARA dokumentaci.

YARA je multiplatformní, běží na Windows, Linux a Mac OS X, a může být usedthrough jeho rozhraní příkazového řádku nebo z vlastní Python skripty s theyara-rozšíření pythonu.

další zdroje

používáte GitHub pro ukládání pravidel YARA? YARA-Cimmůže být užitečným doplňkem vašeho toolbelt. Jedná se o aplikaci GitHub, která poskytujepřetržité testování vašich pravidel, které vám pomohou identifikovat běžné chyby a pozitivní pozitiva.

pokud plánujete použít YARA ke skenování komprimovaných souborů (.zip, .měli byste se podívat na yextend, velmi užitečné rozšíření YARA vyvinuté a otevřené od Bayshore Networks.

navíc kluci z InQuest sestavili anaweseome seznam věcí souvisejících s YARA.

Kdo je pomocí YARA

  • ActiveCanopy
  • Adlice
  • AlienVault
  • BAE Systems
  • Bayshore Networks, Inc.
  • BinaryAlert
  • Modrý Kabát
  • Blueliv
  • Claroty
  • Cofense
  • Conix
  • CrowdStrike FMS
  • Cuckoo Sandbox
  • Cyber Třídění
  • Digita Zabezpečení
  • Dragos Platforma
  • Dtex Systémy
  • ESET
  • ESTSecurity
  • Fidelis XPS
  • FireEye, Inc.
  • Fox
  • FSF
  • Guidance Software
  • Heroku
  • Hornetsecurity
  • Šetření
  • JASK
  • Joe Zabezpečení
  • jsunpack-n
  • Kaspersky Lab
  • KnowBe4
  • Koodous
  • Laika BOSS
  • Lastline, Inc.
  • LimaCharlie
  • McAfee Advanced Threat Defense
  • Metaflows
  • NBS Systém
  • Nozomi Sítí
  • osquery
  • Payload Security
  • PhishMe
  • Picus Zabezpečení
  • Radare2
  • Raytheon Cyber Products, Inc.
  • RedSocks Zabezpečení
  • ReversingLabs
  • root9B
  • Scanii
  • RSA ECAT
  • SpamStopsHere
  • stoQ
  • Symantec
  • Tanium
  • Tenable Network Security
  • DigiTrust Skupiny
  • ThreatConnect
  • ThreatStream, Inc.
  • Gangster
  • Trend Micro
  • VirusTotal Inteligence
  • VMRay
  • Jsme se Dívat na Vaše webové Stránky
  • Websense
  • x64dbg
  • YALIH

používáš to? Chcete vidět vaše stránky Zde uvedené?