YARA-pattern matching Swiss knife for malware researchers

BY admin
|

YARA w skrócie

Yara to narzędzie mające na celu (ale nie wyłącznie) pomoc badaczom złośliwego oprogramowania w identyfikacji i klasyfikacji próbek złośliwego oprogramowania. Z YARA możesz tworzyć opisy rodzin programów (lub cokolwiek chcesz opisać) w oparciu o tekstowe lub binarne. Każdy opis, zwany regułą, składa się ze zbioru ciągów i wyrażeń aboolean, które określają jego logikę. Zobaczmy przykład:

rule silent_banker : banker{ meta: description = "This is just an example" threat_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c}

powyższa reguła mówi YARZE, że każdy plik zawierający jeden z trzech stringów musi być zgłoszony jako silent_banker. To tylko prosty przykład, bardziej złożone i potężne reguły mogą być tworzone za pomocą wieloznacznych kart, znaków niewrażliwych na wielkość liter, wyrażeń regularnych, operatorów specjalnych i wielu innych funkcji, które znajdziesz w dokumentacji Yary.

YARA jest wieloplatformowy, działa w systemach Windows, Linux i Mac OS X i może być używany przez interfejs wiersza poleceń lub z własnych skryptów Pythona z rozszerzeniem Theara-python.

dodatkowe zasoby

czy używasz Githuba do przechowywania reguł YARA? YARA-Cimaj być użytecznym dodatkiem do paska narzędzi. Jest to aplikacja GitHub, która zapewnia ciągłe testowanie Twoich reguł, pomagając Ci zidentyfikować typowe błędy i pozytywne efekty.

jeśli planujesz używać YARA do skanowania skompresowanych plików (.zip,tar, itp.) powinieneś przyjrzeć się yextend, bardzo pomocnemu rozszerzeniu Yary opracowanemu i open-sourcingowemu przez Bayshore Networks.

dodatkowo chłopaki z InQuest przygotowali listę rzeczy związanych z YARĄ.

kto używa YARA

  • ActiveCanopy
  • Adlice
  • AlienVault
  • BAE Systems
  • Bayshore Networks, Inc.
  • BinaryAlert
  • niebieski płaszcz
  • Blueliv
  • Claroty
  • Cofense
  • Conix
  • CrowdStrike FMS
  • piaskownica z kukułką
  • Cyber Triage
  • Digita Security
  • Platforma Dragos
  • dtex Systems
  • ESET
  • Estsecurity
  • Fidelis XPS
  • FireEye, Inc.
  • Fox-IT
  • FSF
  • oprogramowanie wspomagające
  • Heroku
  • Hornetsecurity
  • InQuest
  • JASK
  • Joe Security
  • jsunpack-n
  • Kaspersky Lab
  • KnowBe4
  • Koodous
  • laika Boss
  • Lastline, Inc.
  • LimaCharlie
  • McAfee Advanced Threat Defense
  • Metaflows
  • NBS System
  • Nozomi Networks
  • osquery
  • bezpieczeństwo ładunku
  • PhishMe
  • Picus Security
  • Radare2
  • Raytheon Cyber Products, Inc.
  • Redsocks Security
  • ReversingLabs
  • root9B
  • Scanii
  • RSA ECAT
  • SpamStopsHere
  • stoQ
  • Symantec
  • tanium
  • Tenable Network Security
  • the digitrust group
  • threatconnect
  • threatstream, Inc.
  • Thug
  • Trend Micro
  • VirusTotal Intelligence
  • VMRay
  • we Watch Your Website
  • Websense
  • x64dbg
  • YALIH

używasz tego? Chcesz zobaczyć swoją witrynę na liście?