YARA – Le couteau suisse pour les chercheurs en malware

BY admin
|

YARA en un mot

YARA est un outil destiné (mais sans s’y limiter) à aider les chercheurs en malware à identifier et classer les échantillons de malware. Avec YARA, vous pouvez créer des descriptions de familles de logiciels (ou tout ce que vous voulez décrire) basées sur des modèles textuels ou binaires. Chaque description, c’est-à-dire une règle, se compose d’un ensemble de chaînes et d’une expression abooléenne qui déterminent sa logique. Voyons un exemple:

rule silent_banker : banker{ meta: description = "This is just an example" threat_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c}

La règle ci-dessus indique à YARA que tout fichier contenant l’une des trois chaînes doit être signalé comme silent_banker. Ceci n’est qu’un exemple simple, des règles plus complexes et puissantes peuvent être créées en utilisant des jokers, des chaînes insensibles à la casse, des expressions régulières, des opérateurs spéciaux et de nombreuses autres fonctionnalités que vous trouverez expliquées dans la documentation de YARA.

YARA est multi-plateforme, fonctionnant sous Windows, Linux et Mac OS X, et peut être utilisé via son interface de ligne de commande ou à partir de vos propres scripts Python avec l’extensionara-python.

Ressources supplémentaires

Utilisez-vous GitHub pour stocker vos règles YARA ? YARA-CImay peut être un ajout utile à votre ceinture à outils. C’est l’application GitHub qui fournit des tests continus pour vos règles, vous aidant à identifier les erreurs courantes et à rechercher des points positifs.

Si vous prévoyez d’utiliser YARA pour analyser des fichiers compressés (.zip, .tar, etc.) vous devriez jeter un coup d’œil à yextend, une extension très utile à YARA développée et open source par Bayshore Networks.

De plus, les gars d’InQuest ont organisé une liste impressionnante de choses liées à YARA.

Qui utilise YARA

  • ActiveCanopy
  • Adlice
  • AlienVault
  • BAE Systems
  • Bayshore Networks, Inc.
  • BinaryAlert
  • Manteau bleu
  • Blueliv
  • Claroty
  • Cofense
  • Conix
  • CrowdStrike FMS
  • Bac à sable Coucou
  • Cyber Triage
  • Sécurité Digita
  • Plateforme Dragos
  • Systèmes Dtex
  • ESET
  • ESTSecurity
  • Fidelis XPS
  • FireEye, Inc.
  • Fox-IT
  • FSF
  • Logiciel de guidage
  • Heroku
  • Hornetsecurity
  • Enquête
  • JASK
  • Joe Security
  • jsunpack-n
  • Kaspersky Lab
  • KnowBe4
  • Koodous
  • Laika BOSS
  • Lastline, Inc.
  • LimaCharlie
  • Défense avancée contre les menaces McAfee
  • Flux méta-actifs
  • Système NBS
  • Réseaux Nozomi
  • osquery
  • Sécurité de la charge utile
  • PhishMe
  • Picus Security
  • Radare2
  • Raytheon Cyber Products, Inc.
  • RedSocks Security
  • ReversingLabs
  • root9B
  • Scanii
  • RSA ECAT
  • SpamStopsHere
  • stoQ
  • Symantec
  • Tanium
  • Sécurité réseau tenable
  • Le groupe DigiTrust
  • ThreatConnect
  • ThreatStream, Inc.
  • Voyou
  • Trend Micro
  • VirusTotal Intelligence
  • VMRay
  • Nous Surveillons Votre Site Web
  • Websense
  • x64dbg
  • YALIH

L’utilisez-vous? Vous voulez voir votre site répertorié ici?