YARA-the pattern matching swiss knife for malware researchers
a Yara dióhéjban
A YARA egy olyan eszköz, amelynek célja (de nem kizárólagosan) a malware kutatóknak a malware minták azonosításában és osztályozásában való segítése. A YARA segítségével létrehozhat leírásokatmalware családok (vagy bármi, amit leírni szeretne) szöveges vagy bináris minták alapján. Minden Leírás, más néven szabály, egy sor karakterláncból és aboolean kifejezésből áll, amelyek meghatározzák a logikáját. Lássunk egy példát:
rule silent_banker : banker{ meta: description = "This is just an example" threat_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c}
a fenti szabály azt mondja A YARA-nak, hogy minden olyan fájlt, amely a három karakterlánc egyikét tartalmazza, silent_bankerként kell jelenteni. Ez csak egy egyszerű példa, több bonyolult és hatékony szabályokat lehet létrehozni a vadkártyák, kis-és nagybetűk, reguláris kifejezések, speciális operátorok és sok más funkciók, hogy megtalálod magyarázható Yara dokumentációjában.
a YARA többplatformos, Windows, Linux és Mac OS X rendszeren fut, és a parancssori felületén vagy a saját Python szkriptjein keresztül használható, theyara-python kiterjesztéssel.
további források
a Githubot használja a Yara szabályok tárolására? YARA-Cimhasznos kiegészítője lehet az eszközövének. Ez GitHub alkalmazás, amely biztosítjafolyamatos tesztelés a szabályokat, segít azonosítani a gyakori hibákat éshamis pozitív.
ha a Yara-t tömörített fájlok beolvasására tervezi használni (.zip, .tar, stb) Meg kellene nézni yextend, egy nagyon hasznos kiterjesztése YARA által kifejlesztett és nyílt forráskódú Bayshore Networks.
továbbá, a srácok InQuest már kurátora anaweseome listája YARA kapcsolatos dolgokat.
ki használja a YARA-t
- ActiveCanopy
- Adlice
- AlienVault
- BAE Systems
- Bayshore Networks, Inc.
- BinaryAlert
- kék kabát
- Blueliv
- Claroty
- Cofense
- Conix
- CrowdStrike FMS
- kakukk homokozó
- kiberbiztonsági osztályozás
- Digita Security
- Dragos platform
- Dtex rendszerek
- eset
- Estsecurity
- Fidelis XPS
- FireEye, Inc.
- Fox-IT
- FSF
- Útmutató Szoftver
- Heroku
- Hornetsecurity
- InQuest
- JASK
- Joe Security
- jsunpack-n
- Kaspersky Lab
- KnowBe4
- Koodous
- Laika Boss
- Lastline, Inc.
- LimaCharlie
- McAfee Advanced Threat Defense
- Metaflows
- NBS rendszer
- Nozomi Networks
- osquery
- hasznos teher biztonság
- adathalászat
- Picus Security
- Radare2
- Raytheon Cyber Products, Inc.
- RedSocks Security
- ReversingLabs
- root9B
- Scanii
- RSA ECAT
- SpamStopsHere
- stoQ
- Symantec
- Tanium
- tartható hálózati biztonság
- a digitrust csoport
- ThreatConnect
- threatstream, Inc.
- Thug
- Trend Micro
- VirusTotal intelligencia
- VMRay
- mi nézni a honlapon
- Websense
- x64dbg
- YALIH
használod? Szeretné látni a webhely itt felsorolt?