YARA-pattern matching Swiss knife for malware researchers
YARA w skrócie
Yara to narzędzie mające na celu (ale nie wyłącznie) pomoc badaczom złośliwego oprogramowania w identyfikacji i klasyfikacji próbek złośliwego oprogramowania. Z YARA możesz tworzyć opisy rodzin programów (lub cokolwiek chcesz opisać) w oparciu o tekstowe lub binarne. Każdy opis, zwany regułą, składa się ze zbioru ciągów i wyrażeń aboolean, które określają jego logikę. Zobaczmy przykład:
rule silent_banker : banker{ meta: description = "This is just an example" threat_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c}
powyższa reguła mówi YARZE, że każdy plik zawierający jeden z trzech stringów musi być zgłoszony jako silent_banker. To tylko prosty przykład, bardziej złożone i potężne reguły mogą być tworzone za pomocą wieloznacznych kart, znaków niewrażliwych na wielkość liter, wyrażeń regularnych, operatorów specjalnych i wielu innych funkcji, które znajdziesz w dokumentacji Yary.
YARA jest wieloplatformowy, działa w systemach Windows, Linux i Mac OS X i może być używany przez interfejs wiersza poleceń lub z własnych skryptów Pythona z rozszerzeniem Theara-python.
dodatkowe zasoby
czy używasz Githuba do przechowywania reguł YARA? YARA-Cimaj być użytecznym dodatkiem do paska narzędzi. Jest to aplikacja GitHub, która zapewnia ciągłe testowanie Twoich reguł, pomagając Ci zidentyfikować typowe błędy i pozytywne efekty.
jeśli planujesz używać YARA do skanowania skompresowanych plików (.zip,tar, itp.) powinieneś przyjrzeć się yextend, bardzo pomocnemu rozszerzeniu Yary opracowanemu i open-sourcingowemu przez Bayshore Networks.
dodatkowo chłopaki z InQuest przygotowali listę rzeczy związanych z YARĄ.
kto używa YARA
- ActiveCanopy
- Adlice
- AlienVault
- BAE Systems
- Bayshore Networks, Inc.
- BinaryAlert
- niebieski płaszcz
- Blueliv
- Claroty
- Cofense
- Conix
- CrowdStrike FMS
- piaskownica z kukułką
- Cyber Triage
- Digita Security
- Platforma Dragos
- dtex Systems
- ESET
- Estsecurity
- Fidelis XPS
- FireEye, Inc.
- Fox-IT
- FSF
- oprogramowanie wspomagające
- Heroku
- Hornetsecurity
- InQuest
- JASK
- Joe Security
- jsunpack-n
- Kaspersky Lab
- KnowBe4
- Koodous
- laika Boss
- Lastline, Inc.
- LimaCharlie
- McAfee Advanced Threat Defense
- Metaflows
- NBS System
- Nozomi Networks
- osquery
- bezpieczeństwo ładunku
- PhishMe
- Picus Security
- Radare2
- Raytheon Cyber Products, Inc.
- Redsocks Security
- ReversingLabs
- root9B
- Scanii
- RSA ECAT
- SpamStopsHere
- stoQ
- Symantec
- tanium
- Tenable Network Security
- the digitrust group
- threatconnect
- threatstream, Inc.
- Thug
- Trend Micro
- VirusTotal Intelligence
- VMRay
- we Watch Your Website
- Websense
- x64dbg
- YALIH
używasz tego? Chcesz zobaczyć swoją witrynę na liście?