YARA – the pattern matching swiss knife for malware researchers
YARA in a nutshell
YARA is a tool aimed to (but not limited to) helping malware researchers to identify and classify malware samples. Com a YARA, você pode criar descrições de famílias de doces (ou o que você quiser descrever) com base em textuais ou binarypatterns. Cada Descrição, uma regra, consiste de um conjunto de cordas e expressão abooleana que determinam sua lógica. Vejamos um exemplo.:
rule silent_banker : banker{ meta: description = "This is just an example" threat_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c}
the above rule is telling YARA that any file containing one of the three stringsmust be reported as silent_banker. Este é apenas um exemplo simples, regras mais complexas e poderosas podem ser criadas usando wild-cards, case-insensivestrings, expressões regulares, operadores especiais e muitos outros recursos que você vai encontrar explicado na documentação de YARA.
YARA é multi-plataforma, executando em Windows, Linux e Mac OS X, e pode ser usado através de sua interface de linha de comando ou de seus próprios scripts Python com a extensão Theara-python.
recursos adicionais
utiliza o GitHub para armazenar as suas regras YARA? YARA-CImay ser uma adição útil ao seu toolbelt. Esta é a aplicação GitHub que fornece testes contínuos para as suas regras, ajudando-o a identificar erros comuns e a ponderar aspectos positivos.
se planeia usar o YARA para analisar ficheiros comprimidos (.postal, .tar, etc.) deve dar uma olhada em yextend, uma extensão muito útil para YARA desenvolvido e open-sourced por redes Bayshore.
adicionalmente, os tipos do inquérito curaram uma lista de artigos relacionados com a YARA.
Quem está usando YARA
- ActiveCanopy
- Adlice
- AlienVault
- BAE Systems
- Bayshore Networks, Inc.
- BinaryAlert
- Casaco Azul
- Blueliv
- Claroty
- Cofense
- Conix
- CrowdStrike FMS
- Cuco Sandbox
- Cyber Triagem
- Digita Segurança
- Dragos Plataforma
- Dtex Sistemas
- ESET
- ESTSecurity
- Fidelis XPS
- FireEye, Inc.
- Fox-IT
- FSF
- Software de Orientação
- Heroku
- Hornetsecurity
- Inquérito
- JASK
- Joe Segurança
- jsunpack-n
- Kaspersky Lab
- KnowBe4
- Koodous
- Laika CHEFE
- Lastline, Inc.
- LimaCharlie
- McAfee sobre Ameaças Avançadas de Defesa
- Metaflows
- NBS Sistema
- Nozomi Redes
- osquery
- Carga de Segurança
- PhishMe
- Picus de Segurança
- Radare2
- Raytheon Cyber Products, Inc.
- RedSocks de Segurança
- ReversingLabs
- root9B
- Scanii
- RSA ECAT
- SpamStopsHere
- stoQ
- Symantec
- Tanium
- Tenable Network Security
- A DigiTrust Grupo
- ThreatConnect
- ThreatStream, Inc.
- Bandido
- Trend Micro
- VirusTotal Inteligência
- VMRay
- Vamos Assistir o Seu Website
- Websense
- x64dbg
- YALIH
você Está usando? Quer ver o seu site listado aqui?