YARA-マルウェア研究者のためのパターンマッチングswiss knife
yara一言で言えば
YARAは、マルウェア研究者がマルウェアサンプルを識別し、分類するのを助けることを目的としたツールである(ただしこれに限定されない)。 YARAを使用すると、テキストまたはbinarypatternsに基づいて、マルウェアファミリ(または記述したいもの)の説明を作成することができます。 それぞれの記述、別名ルールは、その論理を決定する一連の文字列とaboolean式で構成されています。 例を見てみましょう:
rule silent_banker : banker{ meta: description = "This is just an example" threat_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c}
上記のルールは、三つの文字列のいずれかを含むファイルはsilent_bankerとして報告する必要があることをYARAに伝えています。 ワイルドカード、大文字小文字を区別しない文字列、正規表現、特殊演算子、およびYARAのドキュメントで説明されている他の多くの機能を使用して、複雑で強力なルールを作成することができます。
YARAはマルチプラットフォームで、Windows、Linux、Mac OS X上で動作し、コマンドラインインターフェイスから、またはtheyara-python拡張を使用して独自のPythonスクリプトから使
その他のリソース
あなたはYaraルールを保存するためにGitHubを使用していますか? YARA-CImayはあなたのtoolbeltへ有用な付加である。 これは、一般的な間違いandfalse陽性を識別するためにあなたを助け、あなたのルールのためのprovidescontinuousテストGitHubのアプリケーションです。
圧縮ファイルをスキャンするためにYARAを使用する予定の場合(.ジップ、.tarなど)あなたはyextend、Bayshore Networksによって開発され、オープンソースのYARAへの非常に便利な拡張機能を見てみてください。
さらに、InQuestの人たちは、YARA関連のもののanaweseomeリストをキュレーションしています。
誰がYARAを使用しています
- ActiveCanopy
- Adlice
- AlienVault
- BAE Systems
- Bayshore Networks,Inc.
- BinaryAlert
- ブルーコート
- Blueliv
- Claroty
- Cofense
- Conix
- CrowdStrike FMS
- カッコウサンドボックス
- カッコウサンドボックス
- Cuckoo Sandbox
- Cuckoo Sandbox
- Cuckoo Sandbox
- Cuckoo Sandbox
- Cuckoo Sandbox
- Cuckoo Sandbox9252>
- サイバートリアージ
- Digitaセキュリティ
- Dragosプラットフォーム
- Dtexシステム
- Eset
- Estセキュリティ
- Fidelis Xps
- fireeye,Inc.
- Fox-IT
- FSF
- ガイダンスソフトウェア
- Heroku
- Hornetsecurity
- インクエスト
- Jask
- Joeセキュリティ
- jsunpack-n
- KASPERSKY LAB
- knowbe4
- Koodous
- Laika Boss
- Lastline,Inc.
- LimaCharlie
- McAfee Advanced Threat Defense
- Metaflows
- Nbs System
- Nozomi Networks
- osquery
- ペイロードセキュリティ
- PhishMe
- picusセキュリティ
- Radare2
- Raytheon Cyber Products,Inc.
- RedSocksセキュリティ
- ReversingLabs
- root9b
- Scanii
- RSA ECAT
- SpamStopsHere
- Stoq
- シマンテック
- テナブルネットワークセキュリティ
- digitrustグループ
- threatconnect
- threatstream,inc.
- 刺客
- トレンドマイクロ
- VirusTotal Intelligence
- VMRay
- 私たちはあなたのウェブサイトを見ます
- Websense
- X64dbg
- YALIH
>
使ってますか? ここに記載されているあなたのサイトを見たいですか?