Yara-the pattern matching swiss knife for malware researchers

BY admin
|

YARA i ett nötskal

YARA är ett verktyg som syftar till (men inte begränsat till) att hjälpa malware forskare toidentifiera och klassificera malware prover. Med YARA kan du skapa beskrivningar avmalware-familjer (eller vad du vill beskriva) baserat på text-eller binärmönster. Varje beskrivning, aka regel, består av en uppsättning strängar och aboolean uttryck som bestämmer dess logik. Låt oss se ett exempel:

rule silent_banker : banker{ meta: description = "This is just an example" threat_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c}

ovanstående regel säger YARA att alla filer som innehåller en av de tre strängarmåste rapporteras som silent_banker. Detta är bara ett enkelt exempel, merkomplexa och kraftfulla regler kan skapas genom att använda wild-kort, case-insensitivestrings, reguljära uttryck, speciella operatörer och många andra funktioner som du hittar förklaras i Yaras dokumentation.

YARA är flera plattformar, som körs på Windows, Linux och Mac OS X, och kan användasgenom sitt kommandoradsgränssnitt eller från dina egna Python-skript med theyara-python förlängning.

ytterligare resurser

använder du GitHub för att lagra dig YARA regler? YARA-cikan vara ett användbart tillägg till ditt verktygsbälte. Detta är GitHub program som gerkontinuerlig testning för dina regler, hjälper dig att identifiera vanliga misstag andfalse positiva.

om du planerar att använda YARA för att skanna komprimerade filer (.zip, .tar, etc) Du bör ta en titt på yextend, en myckethjälpsam förlängning till YARA utvecklad och öppen från Bayshore Networks.

dessutom har killarna från InQuest kuraterat anaweseome lista över YARA-relaterade saker.

Vem använder YARA

  • ActiveCanopy
  • Adlice
  • AlienVault
  • BAE Systems
  • Bayshore Networks, Inc.
  • BinaryAlert
  • blå kappa
  • Blueliv
  • Claroty
  • Cofense
  • Conix
  • CrowdStrike FMS
  • Gök sandlåda
  • Cyber Triage
  • Digita säkerhet
  • Dragos plattform
  • Dtex-system
  • ESET
  • Estsecurity
  • Fidelis XPS
  • FireEye, Inc.
  • Fox-IT
  • FSF
  • vägledning programvara
  • Heroku
  • Hornetsecurity
  • InQuest
  • JASK
  • Joe säkerhet
  • jsunpack-n
  • Kaspersky Lab
  • KnowBe4
  • Koodous
  • Laika Boss
  • Lastline, Inc.
  • LimaCharlie
  • McAfee Avancerat Hotförsvar
  • Metaflöden
  • NBS-System
  • Nozomi-nätverk
  • osquery
  • Nyttolastsäkerhet
  • PhishMe
  • Picus säkerhet
  • radare2
  • Raytheon Cyber Products, Inc.
  • RedSocks säkerhet
  • Backlabs
  • root9B
  • Scanii
  • RSA ECAT
  • SpamStopsHere
  • stoQ
  • Symantec
  • Tanium
  • Tenable nätverkssäkerhet
  • digitrust-gruppen
  • threatconnect
  • THREATSTREAM, Inc.
  • Thug
  • Trend Micro
  • VirusTotal intelligens
  • VMRay
  • vi tittar på din webbplats
  • Websense
  • x64dbg
  • YALIH

använder du det? Vill du se din webbplats listad här?