YARA: La navaja suiza de coincidencia de patrones para investigadores de malware

YARA en pocas palabras

YARA es una herramienta destinada (pero no limitada a) a ayudar a los investigadores de malware a identificar y clasificar muestras de malware. Con YARA puede crear descripciones de familias de malware (o lo que quiera describir) basadas en patrones textuales o binarios. Cada descripción, también conocida como regla, consiste en un conjunto de cadenas y una expresión cooleana que determinan su lógica. Veamos un ejemplo:

rule silent_banker : banker{ meta: description = "This is just an example" threat_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c}

La regla anterior le dice a YARA que cualquier archivo que contenga una de las tres cadenas debe ser reportado como silent_banker. Este es solo un ejemplo sencillo, se pueden crear reglas más complejas y potentes mediante el uso de comodines, bandas que no distinguen mayúsculas de minúsculas, expresiones regulares, operadores especiales y muchas otras características que encontrará explicadas en la documentación de YARA.

YARA es multiplataforma, se ejecuta en Windows, Linux y Mac OS X, y se puede usar a través de su interfaz de línea de comandos o desde sus propios scripts Python con la extensión yara-python.

Recursos adicionales

¿Usas GitHub para almacenar tus reglas de YARA? YARA-CIM puede ser una adición útil a su cinturón de herramientas. Esta es la aplicación GitHub que proporciona pruebas continuas para sus reglas, ayudándole a identificar errores comunes y falsos positivos.

Si planea usar YARA para escanear archivos comprimidos (.Postal, .tar, etc.) deberías echar un vistazo a yextend, una extensión muy útil para YARA desarrollada y de código abierto por Bayshore Networks.

Además, los chicos de InQuest han seleccionado una amplia lista de cosas relacionadas con YARA.

Quién está usando YARA

  • ActiveCanopy
  • Adlice
  • AlienVault
  • BAE Systems
  • Bayshore Networks, Inc.
  • BinaryAlert
  • Blue Coat
  • Blueliv
  • Claroty
  • Cofense
  • Conix
  • CrowdStrike FMS
  • Cuckoo Sandbox
  • Cyber Triage
  • Digita Seguridad
  • Dragos de la Plataforma
  • Dtex Sistemas
  • ESET
  • ESTSecurity
  • Fidelis XPS
  • FireEye, Inc.
  • Fox-IT
  • FSF
  • Guía de Software
  • Heroku
  • Hornetsecurity
  • Investigación
  • JASK
  • Joe Seguridad
  • jsunpack-n
  • Kaspersky Lab
  • KnowBe4
  • Koodous
  • Laika JEFE
  • Lastline, Inc.
  • LimaCharlie
  • McAfee Advanced Threat Defense
  • Metaflows
  • Sistema NBS
  • Nozomi Networks
  • osquery
  • Seguridad de carga útil
  • PhishMe
  • Picus Security
  • Radare2
  • Raytheon Cyber Products, Inc.
  • RedSocks de Seguridad
  • ReversingLabs
  • root9B
  • Scanii
  • RSA ECAT
  • SpamStopsHere
  • stoQ
  • Symantec
  • Tanium
  • Defendible la Seguridad de la Red
  • The DigiTrust Grupo
  • ThreatConnect
  • ThreatStream, Inc.
  • Matón
  • Trend Micro
  • VirusTotal Inteligencia
  • VMRay
  • Podemos Ver Su sitio Web
  • Websense
  • x64dbg
  • YALIH

estás usando? ¿Quieres ver tu sitio listado aquí?