YARA: La navaja suiza de coincidencia de patrones para investigadores de malware
YARA en pocas palabras
YARA es una herramienta destinada (pero no limitada a) a ayudar a los investigadores de malware a identificar y clasificar muestras de malware. Con YARA puede crear descripciones de familias de malware (o lo que quiera describir) basadas en patrones textuales o binarios. Cada descripción, también conocida como regla, consiste en un conjunto de cadenas y una expresión cooleana que determinan su lógica. Veamos un ejemplo:
rule silent_banker : banker{ meta: description = "This is just an example" threat_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c}
La regla anterior le dice a YARA que cualquier archivo que contenga una de las tres cadenas debe ser reportado como silent_banker. Este es solo un ejemplo sencillo, se pueden crear reglas más complejas y potentes mediante el uso de comodines, bandas que no distinguen mayúsculas de minúsculas, expresiones regulares, operadores especiales y muchas otras características que encontrará explicadas en la documentación de YARA.
YARA es multiplataforma, se ejecuta en Windows, Linux y Mac OS X, y se puede usar a través de su interfaz de línea de comandos o desde sus propios scripts Python con la extensión yara-python.
Recursos adicionales
¿Usas GitHub para almacenar tus reglas de YARA? YARA-CIM puede ser una adición útil a su cinturón de herramientas. Esta es la aplicación GitHub que proporciona pruebas continuas para sus reglas, ayudándole a identificar errores comunes y falsos positivos.
Si planea usar YARA para escanear archivos comprimidos (.Postal, .tar, etc.) deberías echar un vistazo a yextend, una extensión muy útil para YARA desarrollada y de código abierto por Bayshore Networks.
Además, los chicos de InQuest han seleccionado una amplia lista de cosas relacionadas con YARA.
Quién está usando YARA
- ActiveCanopy
- Adlice
- AlienVault
- BAE Systems
- Bayshore Networks, Inc.
- BinaryAlert
- Blue Coat
- Blueliv
- Claroty
- Cofense
- Conix
- CrowdStrike FMS
- Cuckoo Sandbox
- Cyber Triage
- Digita Seguridad
- Dragos de la Plataforma
- Dtex Sistemas
- ESET
- ESTSecurity
- Fidelis XPS
- FireEye, Inc.
- Fox-IT
- FSF
- Guía de Software
- Heroku
- Hornetsecurity
- Investigación
- JASK
- Joe Seguridad
- jsunpack-n
- Kaspersky Lab
- KnowBe4
- Koodous
- Laika JEFE
- Lastline, Inc.
- LimaCharlie
- McAfee Advanced Threat Defense
- Metaflows
- Sistema NBS
- Nozomi Networks
- osquery
- Seguridad de carga útil
- PhishMe
- Picus Security
- Radare2
- Raytheon Cyber Products, Inc.
- RedSocks de Seguridad
- ReversingLabs
- root9B
- Scanii
- RSA ECAT
- SpamStopsHere
- stoQ
- Symantec
- Tanium
- Defendible la Seguridad de la Red
- The DigiTrust Grupo
- ThreatConnect
- ThreatStream, Inc.
- Matón
- Trend Micro
- VirusTotal Inteligencia
- VMRay
- Podemos Ver Su sitio Web
- Websense
- x64dbg
- YALIH
estás usando? ¿Quieres ver tu sitio listado aquí?