YARA-The pattern matching swiss knife for malware researchers
YARA in poche parole
YARA è uno strumento volto a (ma non limitato a) aiutare i ricercatori di malware toidentify e classificare i campioni di malware. Con YARA puoi creare descrizioni di famiglie di software (o qualsiasi altra cosa tu voglia descrivere) basate su modelli testuali o binari. Ogni descrizione, ovvero una regola, consiste in un insieme di stringhe e un’espressione oleana che ne determinano la logica. Vediamo un esempio:
rule silent_banker : banker{ meta: description = "This is just an example" threat_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c}
La regola precedente dice a YARA che qualsiasi file contenente una delle tre stringhe deve essere segnalato come silent_banker. Questo è solo un semplice esempio, morecomplex e potenti regole possono essere creati utilizzando wild-card, case-insensitivestrings, espressioni regolari, operatori speciali e molte altre caratteristiche thatyou’ll trovare spiegato nella documentazione di YARA.
YARA è multi-piattaforma, in esecuzione su Windows, Linux e Mac OS X, e può essere utilizzato attraverso la sua interfaccia a riga di comando o dai propri script Python con estensione theyara-python.
Risorse aggiuntive
Usi GitHub per memorizzare le regole YARA? YARA-CImay essere un’aggiunta utile al vostro toolbelt. Questa è un’applicazione GitHub che fornisce test continui per le tue regole, aiutandoti a identificare errori comuni e falsi positivi.
Se si prevede di utilizzare YARA per la scansione di file compressi (.zip, .tar, ecc.) dovresti dare un’occhiata a yextend, un’estensione molto utile a YARA sviluppata e open-source da Bayshore Networks.
Inoltre, i ragazzi di InQuest hanno curato un elenco di cose relative a YARA.
Chi sta usando YARA
- ActiveCanopy
- Adlice
- AlienVault
- BAE Systems
- Bayshore Networks, Inc.
- BinaryAlert
- Blue Coat
- Blueliv
- Claroty
- Cofense
- Conix
- CrowdStrike FMS
- Cuculo Sandbox
- Cyber Triage
- Digita Sicurezza
- Dragos Piattaforma
- Dtex Sistemi
- ESET
- ESTSecurity
- Fidelis XPS
- FireEye, Inc.
- Fox-IT
- FSF
- Guida Software
- Heroku
- Hornetsecurity
- Inchiesta
- JASK
- Joe Sicurezza
- jsunpack-n
- Kaspersky Lab
- KnowBe4
- Koodous
- Laika BOSS
- Lastline, Inc.
- LimaCharlie
- McAfee Advanced Threat Defense
- Metaflows
- Sistema NBS
- Nozomi Reti
- osquery
- Payload di Sicurezza
- PhishMe
- Picus Sicurezza
- Radare2
- Raytheon Cyber Products, Inc.
- RedSocks Sicurezza
- ReversingLabs
- root9B
- Scanii
- RSA ECAT
- SpamStopsHere
- stoQ
- Symantec
- Tanium
- Tenable Network Security
- Il DigiTrust Gruppo
- ThreatConnect
- ThreatStream, Inc.
- Delinquente
- Trend Micro
- VirusTotal Intelligence
- VMRay
- Guardare il Tuo Sito web
- Websense
- x64dbg
- YALIH
stai usando? Vuoi vedere il tuo sito elencato qui?