YARA-マルウェア研究者のためのパターンマッチングswiss knife

BY admin
|

yara一言で言えば

YARAは、マルウェア研究者がマルウェアサンプルを識別し、分類するのを助けることを目的としたツールである(ただしこれに限定されない)。 YARAを使用すると、テキストまたはbinarypatternsに基づいて、マルウェアファミリ(または記述したいもの)の説明を作成することができます。 それぞれの記述、別名ルールは、その論理を決定する一連の文字列とaboolean式で構成されています。 例を見てみましょう:

rule silent_banker : banker{ meta: description = "This is just an example" threat_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c}

上記のルールは、三つの文字列のいずれかを含むファイルはsilent_bankerとして報告する必要があることをYARAに伝えています。 ワイルドカード、大文字小文字を区別しない文字列、正規表現、特殊演算子、およびYARAのドキュメントで説明されている他の多くの機能を使用して、複雑で強力なルールを作成することができます。

YARAはマルチプラットフォームで、Windows、Linux、Mac OS X上で動作し、コマンドラインインターフェイスから、またはtheyara-python拡張を使用して独自のPythonスクリプトから使

その他のリソース

あなたはYaraルールを保存するためにGitHubを使用していますか? YARA-CImayはあなたのtoolbeltへ有用な付加である。 これは、一般的な間違いandfalse陽性を識別するためにあなたを助け、あなたのルールのためのprovidescontinuousテストGitHubのアプリケーションです。

圧縮ファイルをスキャンするためにYARAを使用する予定の場合(.ジップ、.tarなど)あなたはyextend、Bayshore Networksによって開発され、オープンソースのYARAへの非常に便利な拡張機能を見てみてください。

さらに、InQuestの人たちは、YARA関連のもののanaweseomeリストをキュレーションしています。

誰がYARAを使用しています

  • ActiveCanopy
  • Adlice
  • AlienVault
  • BAE Systems
  • Bayshore Networks,Inc.
  • BinaryAlert
  • ブルーコート
  • Blueliv
  • Claroty
  • Cofense
  • Conix
  • CrowdStrike FMS
  • カッコウサンドボックス
  • カッコウサンドボックス
  • Cuckoo Sandbox
  • Cuckoo Sandbox
  • Cuckoo Sandbox
  • Cuckoo Sandbox
  • Cuckoo Sandbox
  • Cuckoo Sandbox9252>
  • サイバートリアージ
  • Digitaセキュリティ
  • Dragosプラットフォーム
  • Dtexシステム
  • Eset
  • Estセキュリティ
  • Fidelis Xps
  • fireeye,Inc.
  • Fox-IT
  • FSF
  • ガイダンスソフトウェア
  • Heroku
  • Hornetsecurity
  • インクエスト
  • Jask
  • Joeセキュリティ
  • jsunpack-n
  • KASPERSKY LAB
  • knowbe4
  • Koodous
  • Laika Boss
  • Lastline,Inc.
  • LimaCharlie
  • McAfee Advanced Threat Defense
  • Metaflows
  • Nbs System
  • Nozomi Networks
  • osquery
  • ペイロードセキュリティ
  • PhishMe
  • picusセキュリティ
  • Radare2
  • Raytheon Cyber Products,Inc.
  • RedSocksセキュリティ
  • ReversingLabs
  • root9b
  • Scanii
  • RSA ECAT
  • SpamStopsHere
  • Stoq
  • シマンテック
  • テナブルネットワークセキュリティ
  • digitrustグループ
  • threatconnect
  • threatstream,inc.
  • 刺客
  • トレンドマイクロ
  • VirusTotal Intelligence
  • VMRay
  • 私たちはあなたのウェブサイトを見ます
  • Websense
  • X64dbg
  • YALIH

    • >

使ってますか? ここに記載されているあなたのサイトを見たいですか?