YARA-the pattern matching swiss knife for malware researchers

BY admin
|

a Yara dióhéjban

A YARA egy olyan eszköz, amelynek célja (de nem kizárólagosan) a malware kutatóknak a malware minták azonosításában és osztályozásában való segítése. A YARA segítségével létrehozhat leírásokatmalware családok (vagy bármi, amit leírni szeretne) szöveges vagy bináris minták alapján. Minden Leírás, más néven szabály, egy sor karakterláncból és aboolean kifejezésből áll, amelyek meghatározzák a logikáját. Lássunk egy példát:

rule silent_banker : banker{ meta: description = "This is just an example" threat_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c}

a fenti szabály azt mondja A YARA-nak, hogy minden olyan fájlt, amely a három karakterlánc egyikét tartalmazza, silent_bankerként kell jelenteni. Ez csak egy egyszerű példa, több bonyolult és hatékony szabályokat lehet létrehozni a vadkártyák, kis-és nagybetűk, reguláris kifejezések, speciális operátorok és sok más funkciók, hogy megtalálod magyarázható Yara dokumentációjában.

a YARA többplatformos, Windows, Linux és Mac OS X rendszeren fut, és a parancssori felületén vagy a saját Python szkriptjein keresztül használható, theyara-python kiterjesztéssel.

további források

a Githubot használja a Yara szabályok tárolására? YARA-Cimhasznos kiegészítője lehet az eszközövének. Ez GitHub alkalmazás, amely biztosítjafolyamatos tesztelés a szabályokat, segít azonosítani a gyakori hibákat éshamis pozitív.

ha a Yara-t tömörített fájlok beolvasására tervezi használni (.zip, .tar, stb) Meg kellene nézni yextend, egy nagyon hasznos kiterjesztése YARA által kifejlesztett és nyílt forráskódú Bayshore Networks.

továbbá, a srácok InQuest már kurátora anaweseome listája YARA kapcsolatos dolgokat.

ki használja a YARA-t

  • ActiveCanopy
  • Adlice
  • AlienVault
  • BAE Systems
  • Bayshore Networks, Inc.
  • BinaryAlert
  • kék kabát
  • Blueliv
  • Claroty
  • Cofense
  • Conix
  • CrowdStrike FMS
  • kakukk homokozó
  • kiberbiztonsági osztályozás
  • Digita Security
  • Dragos platform
  • Dtex rendszerek
  • eset
  • Estsecurity
  • Fidelis XPS
  • FireEye, Inc.
  • Fox-IT
  • FSF
  • Útmutató Szoftver
  • Heroku
  • Hornetsecurity
  • InQuest
  • JASK
  • Joe Security
  • jsunpack-n
  • Kaspersky Lab
  • KnowBe4
  • Koodous
  • Laika Boss
  • Lastline, Inc.
  • LimaCharlie
  • McAfee Advanced Threat Defense
  • Metaflows
  • NBS rendszer
  • Nozomi Networks
  • osquery
  • hasznos teher biztonság
  • adathalászat
  • Picus Security
  • Radare2
  • Raytheon Cyber Products, Inc.
  • RedSocks Security
  • ReversingLabs
  • root9B
  • Scanii
  • RSA ECAT
  • SpamStopsHere
  • stoQ
  • Symantec
  • Tanium
  • tartható hálózati biztonság
  • a digitrust csoport
  • ThreatConnect
  • threatstream, Inc.
  • Thug
  • Trend Micro
  • VirusTotal intelligencia
  • VMRay
  • mi nézni a honlapon
  • Websense
  • x64dbg
  • YALIH

használod? Szeretné látni a webhely itt felsorolt?