YARA – the pattern matching swiss knife for malware researchers

BY admin
|

YARA in a nutshell

YARA is a tool aimed to (but not limited to) helping malware researchers to identify and classify malware samples. Com a YARA, você pode criar descrições de famílias de doces (ou o que você quiser descrever) com base em textuais ou binarypatterns. Cada Descrição, uma regra, consiste de um conjunto de cordas e expressão abooleana que determinam sua lógica. Vejamos um exemplo.:

rule silent_banker : banker{ meta: description = "This is just an example" threat_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c}

the above rule is telling YARA that any file containing one of the three stringsmust be reported as silent_banker. Este é apenas um exemplo simples, regras mais complexas e poderosas podem ser criadas usando wild-cards, case-insensivestrings, expressões regulares, operadores especiais e muitos outros recursos que você vai encontrar explicado na documentação de YARA.

YARA é multi-plataforma, executando em Windows, Linux e Mac OS X, e pode ser usado através de sua interface de linha de comando ou de seus próprios scripts Python com a extensão Theara-python.

recursos adicionais

utiliza o GitHub para armazenar as suas regras YARA? YARA-CImay ser uma adição útil ao seu toolbelt. Esta é a aplicação GitHub que fornece testes contínuos para as suas regras, ajudando-o a identificar erros comuns e a ponderar aspectos positivos.

se planeia usar o YARA para analisar ficheiros comprimidos (.postal, .tar, etc.) deve dar uma olhada em yextend, uma extensão muito útil para YARA desenvolvido e open-sourced por redes Bayshore.

adicionalmente, os tipos do inquérito curaram uma lista de artigos relacionados com a YARA.

Quem está usando YARA

  • ActiveCanopy
  • Adlice
  • AlienVault
  • BAE Systems
  • Bayshore Networks, Inc.
  • BinaryAlert
  • Casaco Azul
  • Blueliv
  • Claroty
  • Cofense
  • Conix
  • CrowdStrike FMS
  • Cuco Sandbox
  • Cyber Triagem
  • Digita Segurança
  • Dragos Plataforma
  • Dtex Sistemas
  • ESET
  • ESTSecurity
  • Fidelis XPS
  • FireEye, Inc.
  • Fox-IT
  • FSF
  • Software de Orientação
  • Heroku
  • Hornetsecurity
  • Inquérito
  • JASK
  • Joe Segurança
  • jsunpack-n
  • Kaspersky Lab
  • KnowBe4
  • Koodous
  • Laika CHEFE
  • Lastline, Inc.
  • LimaCharlie
  • McAfee sobre Ameaças Avançadas de Defesa
  • Metaflows
  • NBS Sistema
  • Nozomi Redes
  • osquery
  • Carga de Segurança
  • PhishMe
  • Picus de Segurança
  • Radare2
  • Raytheon Cyber Products, Inc.
  • RedSocks de Segurança
  • ReversingLabs
  • root9B
  • Scanii
  • RSA ECAT
  • SpamStopsHere
  • stoQ
  • Symantec
  • Tanium
  • Tenable Network Security
  • A DigiTrust Grupo
  • ThreatConnect
  • ThreatStream, Inc.
  • Bandido
  • Trend Micro
  • VirusTotal Inteligência
  • VMRay
  • Vamos Assistir o Seu Website
  • Websense
  • x64dbg
  • YALIH

você Está usando? Quer ver o seu site listado aqui?