Yara-modelul de potrivire cuțit elvețian pentru cercetătorii malware
YARA pe scurt
YARA este un instrument care vizează (dar fără a se limita la) ajuta cercetatorii malware toidentify și clasifica mostre de malware. Cu YARA puteți crea descrieri defamilii de software (sau orice doriți să descrieți) bazate pe textual sau binarmodele. Fiecare descriere, aka regulă, constă dintr-un set de șiruri și o expresie abooleană care îi determină logica. Să vedem un exemplu:
rule silent_banker : banker{ meta: description = "This is just an example" threat_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c}
regula de mai sus îi spune lui YARA că orice fișier care conține unul dintre cele trei șiruri trebuie raportat ca silent_banker. Acesta este doar un exemplu simplu, mai multreguli complexe și puternice pot fi create prin utilizarea wild-cards, case-insensitivestrings, expresii regulate, operatori speciali și multe alte caracteristici careveți găsi explicate în documentația YARA lui.
YARA este multi-platformă, care rulează pe Windows, Linux și Mac OS X, și poate fi utilizatprin interfața sa de linie de comandă sau de la propriile scripturi Python cuextinderea ei-python.
resurse suplimentare
folosiți GitHub pentru a vă stoca Regulile YARA? YARA-Cipoate fi un plus util pentru centura de instrumente. Aceasta este aplicația GitHub care oferătestare continuă pentru regulile dvs., ajutându-vă să identificați greșelile comune șifalse pozitive.
dacă intenționați să utilizați YARA pentru a scana fișiere comprimate (.zip, .tar, etc) ar trebui să aruncați o privire la yextend, o extensie veryhelpful la YARA dezvoltat și open-source de Bayshore Networks.
în plus, băieții de la InQuest au curatoriat o listă de lucruri legate de YARA.
cine folosește YARA
- ActiveCanopy
- Adlice
- AlienVault
- BAE Systems
- Bayshore Networks, Inc.
- BinaryAlert
- haina albastra
- Blueliv
- Claroty
- Cofense
- Conix
- CrowdStrike FMS
- cuc Sandbox
- triaj cibernetic
- Digita Security
- platforma Dragos
- sisteme Dtex
- ESET
- Estsecurity
- Fidelis XPS
- FireEye, Inc.
- Fox-IT
- FSF
- software de orientare
- Heroku
- Hornetsecurity
- anchetă
- JASK
- Joe securitate
- jsunpack-n
- Kaspersky Lab
- KnowBe4
- Koodous
- Laika Boss
- Lastline, Inc.
- LimaCharlie
- McAfee Advanced Threat Defense
- Metaflows
- sistemul BNS
- Nozomi Networks
- osquery
- Payload Security
- PhishMe
- securitate Picus
- radare2
- Raytheon Cyber Products, Inc.
- RedSocks securitate
- ReversingLabs
- root9B
- Scanii
- RSA ECAT
- SpamStopsHere
- stoQ
- Symantec
- tanium
- securitatea rețelei Tenabile
- grupul digitrust
- threatconnect
- THREATSTREAM, Inc.
- asasin
- Trend Micro
- VirusTotal Intelligence
- VMRay
- ne uităm la site-ul dvs.
- Websense
- x64dbg
- YALIH
îl folosești? Doriți să vedeți site-ul dvs. listat aici?