YARA-the pattern matching swiss knife for malware researchers

BY admin
|

YARA in a nutshell

YARA is een hulpmiddel gericht op (maar niet beperkt tot) het helpen van malware onderzoekers om malware monsters te identificeren en te classificeren. Met YARA kunt u beschrijvingen maken van malware families (of wat je wilt beschrijven) op basis van tekstuele of binarypatterns. Elke beschrijving, a.k.a regel, bestaat uit een reeks strings en aboolese uitdrukking die zijn logica bepalen. Laten we een voorbeeld bekijken:

rule silent_banker : banker{ meta: description = "This is just an example" threat_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c}

bovenstaande regel vertelt YARA dat elk bestand dat een van de drie strings bevat, moet worden gerapporteerd als silent_banker. Dit is slechts een eenvoudig voorbeeld, meer complexe en krachtige regels kunnen worden gemaakt door gebruik te maken van wild-cards, hoofdlettergevoelige ringen, reguliere expressies, speciale operators en vele andere functies die u zult vinden uitgelegd in YARA ‘ s documentatie.

YARA is multi-platform, draait op Windows, Linux en Mac OS X, en kan worden gebruikt via de command-line interface of vanuit uw eigen Python scripts met de Ara-python extensie.

extra bronnen

gebruikt u GitHub voor het opslaan van uw YARA-regels? YARA-CImay een nuttige aanvulling op uw toolbelt. Dit is GitHub applicatie die voorziet continu testen voor uw regels, helpen u om veel voorkomende fouten en False positieven te identificeren.

als u van plan bent Yara te gebruiken om gecomprimeerde bestanden te scannen (.zip, .tar, etc) moet je een kijkje nemen op yextend, een zeer helpful uitbreiding naar YARA ontwikkeld en open-source door Bayshore Networks.

daarnaast hebben de jongens van InQuest een lijst samengesteld van YARA-gerelateerde zaken.

Who ‘ s using YARA

  • ActiveCanopy
  • Adlice
  • AlienVault
  • BAE Systems
  • Bayshore Networks, Inc.
  • BinaryAlert
  • Blauwe Jas
  • Blueliv
  • Claroty
  • Cofense
  • Conix
  • CrowdStrike FMS
  • Cuckoo Sandbox
  • Cyber Triage
  • Digita Beveiliging
  • Dragos Platform
  • Dtex Systemen
  • ESET
  • ESTSecurity
  • Fidelis XPS
  • FireEye, Inc.
  • Fox-IT
  • FSF
  • Guidance Software
  • Heroku
  • Hornetsecurity
  • InQuest
  • JASK
  • Joe Beveiliging
  • jsunpack-n
  • Kaspersky Lab
  • KnowBe4
  • Koodous
  • Laika BAAS
  • Lastline, Inc.
  • LimaCharlie
  • McAfee Advanced Threat Defense
  • Metaflows
  • NBS-Systeem
  • Nozomi Netwerken
  • osquery
  • Security Payload
  • PhishMe
  • Picus Beveiliging
  • Radare2
  • Raytheon Cyber Products, Inc.
  • RedSocks Beveiliging
  • ReversingLabs
  • root9B
  • Scanii
  • RSA ECAT
  • SpamStopsHere
  • stoQ
  • Symantec
  • Tanium
  • Houdbaar Netwerk Beveiliging
  • De DigiTrust Groep
  • ThreatConnect
  • ThreatStream, Inc.
  • Thug
  • Trend Micro
  • VirusTotal Intelligence
  • VMRay
  • we Watch Your Website
  • Websense
  • x64dbg
  • YALIH

gebruikt u deze? Wilt u zien uw site hier vermeld?