YARA-den sveitsiske kniven for malwareforskere

BY admin
|

YARA i et nøtteskall

YARA er et verktøy rettet mot (men ikke begrenset til) å hjelpe malwareforskere til å identifisere og klassifisere malwareprøver. MED YARA kan du lage beskrivelser av malware familier (eller hva du vil beskrive) basert på tekstlig eller binarypatters. Hver beskrivelse, aka regel, består av et sett med strenger og aboolean uttrykk som bestemmer sin logikk. La oss se et eksempel:

rule silent_banker : banker{ meta: description = "This is just an example" threat_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c}

regelen ovenfor forteller YARA at enhver fil som inneholder en av de tre strengene må rapporteres som silent_banker. Dette er bare et enkelt eksempel, mer komplekse og kraftige regler kan opprettes ved å bruke wild-cards, case-insensitivestrings, regulære uttrykk, spesielle operatører og mange andre funksjoner som du finner forklart i YARAS dokumentasjon.

YARA er multi-plattform, kjører På Windows, Linux OG Mac OS X, og kan brukes gjennom sitt kommandolinjegrensesnitt eller fra dine egne Python-skript med theyara-python forlengelse.

Tilleggsressurser

bruker Dere GitHub til å lagre DERE YARA-regler? YARA-CImay være et nyttig tillegg til verktøybeltet. Dette Er GitHub-program som girkontinuerlig testing for reglene dine, og hjelper deg med å identifisere vanlige feil og falske positive.

hvis DU planlegger å bruke YARA til å skanne komprimerte filer (.zip, .du bør ta en titt på yextend, en veldig hjelpsom utvidelse TIL YARA utviklet og åpen kildekode Av Bayshore Networks.

i Tillegg har Gutta Fra InQuest kuratert anaweseome liste OVER YARA-relaterte ting.

HVEM bruker YARA

  • ActiveCanopy
  • Adlice
  • AlienVault
  • BAE Systems
  • Bayshore Networks, Inc.
  • BinaryAlert
  • Blå Frakk
  • Claroty
  • Cofense
  • Conix
  • CrowdStrike FMS
  • Gjøk Sandkasse
  • Cyber Triage
  • Digita Security
  • Dragos-Plattform
  • Dtex-Systemer
  • Eset
  • Estsecurity
  • Fidelis Xps
  • fireeye, Inc.
  • Fox-IT
  • FSF
  • Veiledningsprogramvare
  • Heroku
  • Hornetsecurity
  • InQuest
  • JASK
  • Joe Security
  • jsunpack-n
  • KASPERSKY LAB
  • knowbe4
  • Koodous
  • Laika Boss
  • Lastline, Inc.
  • LimaCharlie
  • McAfee Avansert Trussel Forsvar
  • Metaflows
  • NBS System
  • Nozomi Nettverk
  • osquery
  • Nyttelast Sikkerhet
  • PhishMe
  • Picus Sikkerhet
  • Radare2
  • Raytheon Cyber Products, Inc.
  • RedSocks Sikkerhet
  • Ryggefelter
  • root9B
  • Scanii
  • RSA ECAT
  • SpamStopsHere
  • stoke
  • Symantec
  • tanium
  • Varig Nettverkssikkerhet
  • digitrust-gruppen
  • threatconnect
  • THREATSTREAM, INC.
  • Thug
  • Trend Micro
  • VirusTotal Intelligens
  • VMRay
  • Vi Ser På Nettstedet Ditt
  • Websense
  • x64dbg
  • YALIH

Bruker Du Det? Vil du se nettstedet ditt oppført her?