YARA-Swiss knife for malware researchers

BY admin
|

YARA pähkinänkuoressa

YARA on työkalu, jonka tarkoituksena on (mutta ei rajoittuen) auttaa haittaohjelmatutkijoita tunnistamaan ja luokittelemaan haittaohjelmanäytteitä. Yaran avulla voit luoda kuvauksia Malware-perheistä (tai mitä tahansa haluat kuvata) tekstipohjaisten tai binarypatternien pohjalta. Jokainen kuvaus, A.k. sääntö, koostuu joukko merkkijonoja ja aboolean lauseke, jotka määrittävät sen logiikkaa. Katsotaanpa esimerkkiä:

rule silent_banker : banker{ meta: description = "This is just an example" threat_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c}

yllä oleva sääntö kertoo YARALLE, että jokainen tiedosto, joka sisältää yhden kolmesta stringsmustista, on ilmoitettava nimellä silent_banker. Tämä on vain yksinkertainen esimerkki, monimutkaisempia ja tehokkaita sääntöjä voidaan luoda käyttämällä villikortteja, kirjainlyhenteitä, säännöllisiä lausekkeita, erikoisoperaattoreita ja monia muita ominaisuuksia, jotka löydät selitettynä Yaran dokumentaatiosta.

YARA on Monialustainen, Windowsilla, Linuxilla ja Mac OS X: llä toimiva, ja sitä voi käyttää komentorivikäyttöliittymän kautta tai omista Python-skripteistä, joissa on Theara-python-laajennus.

lisäresurssit

käytätkö GitHubia Yaran sääntöjen tallentamiseen? YARA-CImay on hyödyllinen lisä työkaluvyöhön. Tämä on GitHub-sovellus, joka tarjoaa sääntöjesi jatkuvan testauksen, joka auttaa sinua tunnistamaan yleiset virheet japalauttamaan positiivisia.

jos aiot käyttää YARAA pakattujen tiedostojen skannaamiseen (.zip, .tar, jne.) Sinun pitäisi vilkaista yextend, erittäin hyödyllinen laajennus YARA kehittämä ja avoin hankinta Bayshore Networks.

lisäksi Inquestin kaverit ovat kuratoineet anaweseome-listan YARA-aiheisista jutuista.

Who ’ s using YARA

  • ActiveCanopy
  • Adlice
  • AlienVault
  • BAE Systems
  • Bayshore Networks, Inc.
  • BinaryAlert
  • Siniturkki
  • Blueliv
  • Claroty
  • Cofense
  • Conix
  • CrowdStrike FMS
  • Cuckoo Sandbox
  • Cuckoo Sandbox
  • Cyber Triage
  • Digita Security
  • Dragos Platform
  • dtex Systems
  • ESET
  • Estsecurity
  • Fidelis XPS
  • FireEye, Inc.
  • Fox-IT
  • FSF
  • ohjausohjelmisto
  • Heroku
  • Hornetsuojaus
  • tiedustelu
  • JASK
  • Joe Security
  • jsunpack-n
  • Kaspersky Lab
  • KnowBe4
  • Koodous
  • Laika Boss
  • Lastline, Inc.
  • LimaCharlie
  • McAfee Advanced Threat Defense
  • Metaflows
  • NBS System
  • Nozomi Networks
  • osquery
  • Payload Security
  • PhishMe
  • Picus Security
  • radare2
  • Raytheon Cyber Products, Inc.
  • RedSocks Security
  • ReversingLabs
  • root9B
  • Scanii
  • RSA ECAT
  • SpamStopsHere
  • stoQ
  • Symantec
  • tanium
  • Tenable Network Security
  • the digitrust group
  • threatconnect
  • THREATSTREAM, Inc.
  • Thug
  • Trend Micro
  • VirusTotal Intelligence
  • VMRay
  • Websense
  • x64dbg
  • YALIH

käytätkö sitä? Haluatko nähdä sivustosi listattuna tässä?