YARA-The pattern matching swiss knife for malware researchers

BY admin
|

YARA in poche parole

YARA è uno strumento volto a (ma non limitato a) aiutare i ricercatori di malware toidentify e classificare i campioni di malware. Con YARA puoi creare descrizioni di famiglie di software (o qualsiasi altra cosa tu voglia descrivere) basate su modelli testuali o binari. Ogni descrizione, ovvero una regola, consiste in un insieme di stringhe e un’espressione oleana che ne determinano la logica. Vediamo un esempio:

rule silent_banker : banker{ meta: description = "This is just an example" threat_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c}

La regola precedente dice a YARA che qualsiasi file contenente una delle tre stringhe deve essere segnalato come silent_banker. Questo è solo un semplice esempio, morecomplex e potenti regole possono essere creati utilizzando wild-card, case-insensitivestrings, espressioni regolari, operatori speciali e molte altre caratteristiche thatyou’ll trovare spiegato nella documentazione di YARA.

YARA è multi-piattaforma, in esecuzione su Windows, Linux e Mac OS X, e può essere utilizzato attraverso la sua interfaccia a riga di comando o dai propri script Python con estensione theyara-python.

Risorse aggiuntive

Usi GitHub per memorizzare le regole YARA? YARA-CImay essere un’aggiunta utile al vostro toolbelt. Questa è un’applicazione GitHub che fornisce test continui per le tue regole, aiutandoti a identificare errori comuni e falsi positivi.

Se si prevede di utilizzare YARA per la scansione di file compressi (.zip, .tar, ecc.) dovresti dare un’occhiata a yextend, un’estensione molto utile a YARA sviluppata e open-source da Bayshore Networks.

Inoltre, i ragazzi di InQuest hanno curato un elenco di cose relative a YARA.

Chi sta usando YARA

  • ActiveCanopy
  • Adlice
  • AlienVault
  • BAE Systems
  • Bayshore Networks, Inc.
  • BinaryAlert
  • Blue Coat
  • Blueliv
  • Claroty
  • Cofense
  • Conix
  • CrowdStrike FMS
  • Cuculo Sandbox
  • Cyber Triage
  • Digita Sicurezza
  • Dragos Piattaforma
  • Dtex Sistemi
  • ESET
  • ESTSecurity
  • Fidelis XPS
  • FireEye, Inc.
  • Fox-IT
  • FSF
  • Guida Software
  • Heroku
  • Hornetsecurity
  • Inchiesta
  • JASK
  • Joe Sicurezza
  • jsunpack-n
  • Kaspersky Lab
  • KnowBe4
  • Koodous
  • Laika BOSS
  • Lastline, Inc.
  • LimaCharlie
  • McAfee Advanced Threat Defense
  • Metaflows
  • Sistema NBS
  • Nozomi Reti
  • osquery
  • Payload di Sicurezza
  • PhishMe
  • Picus Sicurezza
  • Radare2
  • Raytheon Cyber Products, Inc.
  • RedSocks Sicurezza
  • ReversingLabs
  • root9B
  • Scanii
  • RSA ECAT
  • SpamStopsHere
  • stoQ
  • Symantec
  • Tanium
  • Tenable Network Security
  • Il DigiTrust Gruppo
  • ThreatConnect
  • ThreatStream, Inc.
  • Delinquente
  • Trend Micro
  • VirusTotal Intelligence
  • VMRay
  • Guardare il Tuo Sito web
  • Websense
  • x64dbg
  • YALIH

stai usando? Vuoi vedere il tuo sito elencato qui?