YARA – The pattern matching swiss knife for malware researchers

BY admin
|

YARA auf den Punkt gebracht

YARA ist ein Tool, das Malware-Forschern bei der Identifizierung und Klassifizierung von Malware-Samples helfen soll (aber nicht darauf beschränkt ist). Mit YARA können Sie Beschreibungen von Malwarefamilien (oder was auch immer Sie beschreiben möchten) basierend auf Text- oder Binärmustern erstellen. Jede Beschreibung, auch bekannt als Regel, besteht aus einer Reihe von Zeichenfolgen und einem booleschen Ausdruck, die ihre Logik bestimmen. Sehen wir uns ein Beispiel an:

rule silent_banker : banker{ meta: description = "This is just an example" threat_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c}

Die obige Regel teilt YARA mit, dass jede Datei, die eine der drei Zeichenfolgen enthält, als silent_banker gemeldet werden muss. Dies ist nur ein einfaches Beispiel, mehrkomplexe und leistungsstarke Regeln können mithilfe von Platzhaltern, Groß- und Kleinschreibung, regulären Ausdrücken, speziellen Operatoren und vielen anderen Funktionen erstellt werden, die in der Dokumentation von YARA erläutert werden.

YARA ist plattformübergreifend, läuft unter Windows, Linux und Mac OS X und kann über die Befehlszeilenschnittstelle oder über Ihre eigenen Python-Skripte mit der Erweiterung theyara-python verwendet werden.

Zusätzliche Ressourcen

Verwenden Sie GitHub zum Speichern Ihrer YARA-Regeln? YARA-cikann eine nützliche Ergänzung zu Ihrem Werkzeuggürtel sein. Dies ist eine Anwendung, die providescontinuous Prüfung für Ihre Regeln und hilft Ihnen, häufige Fehler andfalse positive zu identifizieren.

Wenn Sie YARA zum Scannen komprimierter Dateien verwenden möchten (.Zip, .sie sollten einen Blick auf yextend werfen, eine sehr hilfreiche Erweiterung von YARA, die von Bayshore Networks entwickelt und Open-Source ist.

Darüber hinaus haben die Jungs von InQuest eine umfangreiche Liste mit YARA-bezogenen Dingen zusammengestellt.

Wer nutzt YARA?

  • ActiveCanopy
  • Adlice
  • AlienVault
  • BAE Systems
  • Bayshore Networks, Inc.
  • BinaryAlert
  • Blauer Mantel
  • Blueliv
  • Claroty
  • Cofense
  • Conix
  • CrowdStrike FMS
  • Kuckucks-Sandkasten
  • Cyber Triage
  • Digita Sicherheit
  • Dragos Plattform
  • Dtex Systeme
  • ESET
  • ESTSecurity
  • Fidelis XPS
  • FireEye, Inc.
  • Fox-IT
  • FSF
  • Guidance-Software
  • Heroku
  • Hornetsecurity
  • Anfrage
  • JASK
  • Joe Sicherheit
  • jsunpack-n
  • Kaspersky Lab
  • KnowBe4
  • Koodous
  • Laika BOSS
  • Lastline, Inc.
  • LimaCharlie
  • McAfee Advanced Threat Defense
  • Metaflows
  • NBS-System
  • Nozomi Networks
  • osquery
  • Nutzlastsicherheit
  • PhishMe
  • Picus Security
  • Radare2
  • Raytheon Cyber Products, Inc.
  • RedSocks Sicherheit
  • ReversingLabs
  • root9B
  • Scanii
  • RSA ECAT
  • SpamStopsHere
  • stoQ
  • Symantec
  • Tanium
  • Tenable Network Security
  • Die DigiTrust-Gruppe
  • ThreatConnect
  • ThreatStream, Inc.
  • Thug
  • Trend Micro
  • VirusTotal Intelligence
  • VMRay
  • Wir beobachten Ihre Website
  • Websense
  • x64dbg
  • YALIH

Verwenden Sie es? Möchten Sie Ihre Website hier aufgelistet sehen?