- YARA በሕብረቁምፊዎች ፣ሁለትዮሽ ቅጦች እና የፋይል ንብረቶች ላይ በመመስረት ተለዋዋጭ ህጎችን በመጠቀም የማልዌር ቤተሰቦችን ለመግለጽ ይፈቅዳል።
- በጥሩ ሁኔታ የተነደፉ ህጎች ሁሉንም ነገር ከራንሰምዌር እና ኤፒቲዎች እስከ ዌብሼል እና የዜሮ ቀን ብዝበዛዎችን በበርካታ አከባቢዎች ላይ ማግኘት ይችላሉ።
- YAARAን ወደ ምትኬዎች፣ የፎረንሲክ የስራ ፍሰቶች እና የድርጅት መሳሪያዎች ማዋሃድ ከተለምዷዊ የጸረ-ቫይረስ ሶፍትዌር በላይ መከላከያን ያጠናክራል።
- የYARA ማህበረሰብ እና የደንብ ማከማቻዎች የማሰብ ችሎታን ለማጋራት ቀላል ያደርጉታል እና ያለማቋረጥ ማግኘትን ያሻሽላሉ።
¿ለላቀ ማልዌር ፍለጋ እንዴት YARA መጠቀም ይቻላል? ባህላዊ ጸረ-ቫይረስ ፕሮግራሞች ገደባቸው ላይ ሲደርሱ እና አጥቂዎች በሚፈጠሩት ስንጥቆች ውስጥ ሲንሸራተቱ፣ በአደጋ ምላሽ ላብራቶሪዎች ውስጥ በጣም አስፈላጊ የሆነው መሳሪያ ወደ ተግባር ይገባል፡ YARA፣ ማልዌርን ለማደን የ"ስዊስ ቢላዋ"ጽሑፋዊ እና ሁለትዮሽ ስርዓተ ጥለቶችን በመጠቀም የተንኮል አዘል ሶፍትዌሮችን ቤተሰቦች ለመግለጽ የተነደፈ፣ ከቀላል ሃሽ ማዛመድ የዘለለ ለማድረግ ያስችላል።
በቀኝ እጆች ውስጥ YARA ለማግኘት ብቻ አይደለም የታወቁ የማልዌር ናሙናዎች ብቻ ሳይሆን አዳዲስ ተለዋጮች፣ የዜሮ ቀን ብዝበዛዎች እና ሌላው ቀርቶ የንግድ አፀያፊ መሳሪያዎችም ጭምርበዚህ ጽሁፍ ውስጥ YARAን ለላቀ ማልዌር ፍለጋ እንዴት መጠቀም እንደሚቻል፣ ጠንካራ ደንቦችን እንዴት እንደሚጽፉ፣ እንዴት እንደሚሞከሯቸው፣ እንደ ቬም ወይም የራስዎ የትንታኔ የስራ ፍሰት ካሉ መድረኮች ጋር እንዴት እንደሚዋሃዱ እና የፕሮፌሽናል ማህበረሰቡ የሚከተላቸው ምርጥ ልምዶችን በጥልቀት እና በተግባር እንመረምራለን።
YARA ምንድን ነው እና ለምንድነው ማልዌርን በመፈለግ ላይ በጣም ኃይለኛ የሆነው?
ያራ “ገና ሌላ ተደጋጋሚ ምህጻረ ቃል” ማለት ሲሆን በስጋት ትንተና ውስጥ ትክክለኛ ደረጃ ሆኗል ምክንያቱም የሚነበቡ፣ ግልጽ እና በጣም ተለዋዋጭ ህጎችን በመጠቀም የማልዌር ቤተሰቦችን ለመግለጽ ያስችላል።YARA በተለዋዋጭ ጸረ-ቫይረስ ፊርማዎች ላይ ብቻ ከመተማመን ይልቅ እርስዎ እራስዎን ከሚገልጹት ቅጦች ጋር ይሰራል።
መሰረታዊ ሃሳቡ ቀላል ነው፡ የYARA ህግ ፋይልን (ወይንም ማህደረ ትውስታን ወይም የውሂብ ዥረትን) ይመረምራል እና ተከታታይ ሁኔታዎች መሟላታቸውን ያረጋግጣል። በጽሑፍ ሕብረቁምፊዎች፣ ሄክሳዴሲማል ቅደም ተከተሎች፣ መደበኛ አገላለጾች ወይም የፋይል ንብረቶች ላይ የተመሠረቱ ሁኔታዎችሁኔታው ከተሟላ, "ተዛማጅ" አለ እና የበለጠ ጥልቅ ትንታኔዎችን ማንቃት, ማገድ ወይም ማካሄድ ይችላሉ.
ይህ አካሄድ የደህንነት ቡድኖችን ይፈቅዳል ሁሉንም ዓይነት ማልዌሮችን ይለዩ እና ይመድቡ፡ ክላሲክ ቫይረሶች፣ ትሎች፣ ትሮጃኖች፣ ራንሰምዌር፣ ዌብሼሎች፣ ክሪፕቶሚነሮች፣ ተንኮል አዘል ማክሮዎች እና ሌሎችምእሱ ለተወሰኑ የፋይል ቅጥያዎች ወይም ቅርጸቶች ብቻ የተገደበ አይደለም፣ ስለዚህ በ.pdf ቅጥያ ወይም በኤችቲኤምኤል ፋይል ዌብሼል ያለው የተደበቀ ተፈፃሚ ያገኛል።
በተጨማሪም YARA ከብዙ ቁልፍ አገልግሎቶች እና የሳይበር ደህንነት ስነ-ምህዳር መሳሪያዎች ጋር ተቀላቅሏል፡ VirusTotal፣ እንደ Cuckoo ያሉ ማጠሪያ፣ እንደ Veeam ያሉ የመጠባበቂያ መድረኮች፣ ወይም ከከፍተኛ ደረጃ አምራቾች የአደን መፍትሄዎችን ማስፈራሪያስለዚህ፣ YAARAን ማስተር ለላቁ ተንታኞች እና ተመራማሪዎች ከሞላ ጎደል መስፈርት ሆኗል።
በተንኮል አዘል ዌር ፈልጎ ማግኘት የYARA የላቁ የአጠቃቀም አጋጣሚዎች
ከYARA ጥንካሬዎች አንዱ እንደ ጓንት ከብዙ የደህንነት ሁኔታዎች፣ ከSOC እስከ ማልዌር ቤተ ሙከራ ድረስ ማላመድ ነው። ለሁለቱም የአንድ ጊዜ አደን እና ቀጣይነት ያለው ክትትል ተመሳሳይ ደንቦች ተፈጻሚ ይሆናሉ።.
በጣም ቀጥተኛ ጉዳይ መፍጠርን ያካትታል ለተወሰኑ ማልዌር ወይም ሙሉ ቤተሰቦች የተወሰኑ ህጎችድርጅትዎ በሚታወቅ ቤተሰብ (ለምሳሌ የርቀት መዳረሻ ትሮጃን ወይም APT ስጋት) ላይ በተመሰረተ ዘመቻ እየተጠቃ ከሆነ የባህሪ ሕብረቁምፊዎችን እና ቅጦችን መግለፅ እና አዲስ ተዛማጅ ናሙናዎችን በፍጥነት የሚለዩ ህጎችን ማውጣት ይችላሉ።
ሌላው የጥንታዊ አጠቃቀም ትኩረት ነው YARA በፊርማዎች ላይ የተመሰረተእነዚህ ደንቦች የተነደፉት hashesን፣ በጣም ልዩ የሆኑ የጽሑፍ ሕብረቁምፊዎችን፣ የኮድ ቅንጣቢዎችን፣ የመመዝገቢያ ቁልፎችን ወይም በተወሰኑ ተመሳሳይ ማልዌር ዓይነቶች ውስጥ የሚደጋገሙ የተወሰኑ ባይት ቅደም ተከተሎችን ነው። ነገር ግን፣ ተራ የሆኑ ገመዶችን ብቻ ከፈለግክ፣ የውሸት አወንታዊ ውጤቶችን ልታመጣ እንደምትችል አስታውስ።
YARA በማጣራት ረገድም ያበራል። የፋይል ዓይነቶች ወይም መዋቅራዊ ባህሪያትሕብረቁምፊዎችን እንደ የፋይል መጠን፣ የተወሰኑ ራስጌዎችን (ለምሳሌ፣ 0x5A4D ለ PE executables)፣ ወይም አጠራጣሪ ተግባር ከውጪ ከመሳሰሉት ንብረቶች ጋር በማጣመር ለ PE ፈጻሚዎች፣ የቢሮ ሰነዶች፣ ፒዲኤፎች ወይም በማንኛውም መልኩ የሚተገበሩ ህጎችን መፍጠር ይቻላል።
በዘመናዊ አካባቢዎች, አጠቃቀሙ ከ inteligencia de amenazasየህዝብ ማከማቻዎች፣ የምርምር ሪፖርቶች እና የIOC ምግቦች በSIEM፣ EDR፣ የመጠባበቂያ መድረኮች ወይም ማጠሪያ ውስጥ የተዋሃዱ ወደ YARA ህጎች ተተርጉመዋል። ይህ ድርጅቶች ይፈቅዳል አስቀድመው ከተተነተኑ ዘመቻዎች ጋር ባህሪያትን የሚጋሩ ብቅ ያሉ ስጋቶችን በፍጥነት ያግኙ.
የYARA ደንቦችን አገባብ መረዳት
የያራ አገባብ ከ C ጋር በጣም ተመሳሳይ ነው፣ ግን በቀላል እና የበለጠ ትኩረት ባለው መንገድ። እያንዳንዱ ህግ ስም፣ አማራጭ ሜታዳታ ክፍል፣ የሕብረቁምፊ ክፍል እና የግድ ሁኔታ ክፍልን ያካትታል።ከዚህ በኋላ, ኃይሉ ሁሉንም እንዴት እንደሚያዋህዱ ላይ ነው.
Lo primero es el ደንብ ስምከቁልፍ ቃሉ በኋላ ወዲያውኑ መሄድ አለበት rule (o regla በስፓኒሽ ከሰነዱ፣ ምንም እንኳን በፋይሉ ውስጥ ያለው ቁልፍ ቃል ቢሆንም ruleእና ልክ የሆነ መለያ መሆን አለበት፡ ምንም ክፍተቶች፣ ቁጥር የሉትም፣ እና ምንም አስምር። ግልጽ የሆነ ኮንቬንሽን መከተል ጥሩ ሀሳብ ነው, ለምሳሌ አንድ ነገር የማልዌር_ቤተሰብ_ተለዋዋጭ o APT_ተዋናይ_መሳሪያ, ይህም ለመለየት የታሰበውን በጨረፍታ ለመለየት ያስችልዎታል.
ቀጣዩ ክፍል ይመጣል stringsለመፈለግ የሚፈልጓቸውን ቅጦች የሚገልጹበት. እዚህ ሶስት ዋና ዓይነቶችን መጠቀም ይችላሉ- የጽሑፍ ሕብረቁምፊዎች፣ ሄክሳዴሲማል ቅደም ተከተሎች እና መደበኛ መግለጫዎችየጽሑፍ ሕብረቁምፊዎች በሰው ሊነበቡ ለሚችሉ የኮድ ቅንጥቦች፣ ዩአርኤሎች፣ የውስጥ መልዕክቶች፣ የመንገድ ስሞች ወይም ፒዲቢዎች ተስማሚ ናቸው። ሄክሳዴሲማል ጥሬ ባይት ንድፎችን እንዲይዙ ያስችሉዎታል, ይህም ኮዱ ሲደበዝዝ በጣም ጠቃሚ ነው ነገር ግን የተወሰኑ ቋሚ ቅደም ተከተሎችን ይይዛል.
በሕብረቁምፊ ውስጥ ያሉ ትናንሽ ልዩነቶችን ለምሳሌ ጎራዎችን መቀየር ወይም በትንሹ የተቀየሩ የኮድ ክፍሎችን ለመሸፈን ሲፈልጉ መደበኛ አገላለጾች ተለዋዋጭነትን ይሰጣሉ። በተጨማሪም፣ ሁለቱም ገመዶች እና regex ማምለጫዎች የዘፈቀደ ባይት እንዲወክሉ ያስችላቸዋል, ይህም በጣም ትክክለኛ ለሆኑ ድብልቅ ቅጦች በሩን ይከፍታል.
La sección condition እሱ ብቻ የግዴታ ነው እና አንድን ፋይል "ለማዛመድ" ደንብ ሲታሰብ ይገልጻል። እዚያ ቡሊያን እና የሂሳብ ስራዎችን ይጠቀማሉ (እና, ወይም, አይደለም, +, -, *, /, ማንኛውም, ሁሉም, ይዟል, ወዘተ.) “ይህ ሕብረቁምፊ ከታየ” ከቀላል የበለጠ ጥሩ የማወቅ አመክንዮ ለመግለጽ።
ለምሳሌ, ህጉ የሚሰራ መሆኑን መግለጽ የሚችሉት ፋይሉ ከተወሰነ መጠን ያነሰ ከሆነ, ሁሉም ወሳኝ ገመዶች ከታዩ ወይም ከበርካታ ሕብረቁምፊዎች ውስጥ ቢያንስ አንዱ ካለ ብቻ ነው. እንዲሁም እንደ የሕብረቁምፊ ርዝመት፣ የተዛማጆች ብዛት፣ በፋይሉ ውስጥ ያሉ የተወሰኑ ማካካሻዎችን ወይም የፋይሉን መጠን ያሉ ሁኔታዎችን ማጣመር ይችላሉ።እዚህ ያለው ፈጠራ በአጠቃላይ ደንቦች እና በቀዶ ጥገናዎች መካከል ያለውን ልዩነት ይፈጥራል.
በመጨረሻም, አማራጭ ክፍል አለዎት metaጊዜውን ለመመዝገብ ተስማሚ. ማካተት የተለመደ ነው። ደራሲ, የተፈጠረበት ቀን, መግለጫ, ውስጣዊ ስሪት, ሪፖርቶችን ወይም ቲኬቶችን ማጣቀሻ እና በአጠቃላይ፣ ማከማቻው ተደራጅቶ እንዲቆይ እና ለሌሎች ተንታኞች ለመረዳት የሚረዳ ማንኛውም መረጃ።
የላቁ የYARA ህጎች ተግባራዊ ምሳሌዎች
ከላይ ያሉትን ሁሉንም ነገሮች ለማየት፣ ቀላል ህግ እንዴት እንደሚዋቀር እና ሊተገበሩ የሚችሉ ፋይሎች፣ አጠራጣሪ ወደ አገር ውስጥ የሚገቡ ወይም ተደጋጋሚ የማስተማሪያ ቅደም ተከተሎች ወደ ስራ ሲገቡ እንዴት ውስብስብ እንደሚሆን ማየት ጠቃሚ ነው። በአሻንጉሊት ገዢ እንጀምር እና ቀስ በቀስ መጠኑን እንጨምር..
አነስተኛ ህግ አንድ ሕብረቁምፊ ብቻ እና አስገዳጅ የሚያደርገውን ሁኔታ ሊይዝ ይችላል። ለምሳሌ፣ አንድ የተወሰነ የጽሑፍ ሕብረቁምፊ ወይም የማልዌር ክፍልፋይ ባይት ተከታታይ ተወካይ መፈለግ ይችላሉ። ሁኔታው፣ በዚያ ሁኔታ፣ ያ ሕብረቁምፊ ወይም ስርዓተ-ጥለት ከታየ ህጉ መሟላቱን በቀላሉ ይገልጻል።, ያለ ተጨማሪ ማጣሪያዎች.
ሆኖም፣ በገሃዱ ዓለም መቼቶች ይህ አጭር ነው፣ ምክንያቱም ቀላል ሰንሰለቶች ብዙውን ጊዜ ብዙ የውሸት ውጤቶችን ያመነጫሉለዚህም ነው ብዙ ገመዶችን (ጽሑፍ እና ሄክሳዴሲማል) ከተጨማሪ እገዳዎች ጋር ማጣመር የተለመደ የሆነው፡ ፋይሉ ከተወሰነ መጠን እንደማይበልጥ፣ የተወሰኑ አርዕስቶችን እንደያዘ ወይም የሚነቃው ከእያንዳንዱ የተወሰነ ቡድን ውስጥ ቢያንስ አንድ ሕብረቁምፊ ከተገኘ ብቻ ነው።
በ PE executable ትንተና ውስጥ የተለመደው ምሳሌ ሞጁሉን ማስመጣትን ያካትታል pe ከYARA, ይህም የሁለትዮሽ ውስጣዊ ባህሪያትን እንዲጠይቁ ያስችልዎታል: ከውጪ የሚመጡ ተግባራት, ክፍሎች, የጊዜ ማህተሞች, ወዘተ. የላቀ ህግ ፋይሉን ለማስመጣት ሊፈልግ ይችላል. ሂደት መፍጠር desde Kernel32.dll እና አንዳንድ HTTP ተግባር ከ winnet.dllተንኮል አዘል ባህሪን የሚያመለክት የተወሰነ ሕብረቁምፊ ከመያዙ በተጨማሪ።
ይህ ዓይነቱ አመክንዮ ለመፈለግ ፍጹም ነው ትሮጃኖች የርቀት ግንኙነት ወይም የማስወጣት ችሎታዎችምንም እንኳን የፋይል ስሞች ወይም መንገዶች ከአንድ ዘመቻ ወደ ሌላ ሲቀየሩ። ዋናው ነገር በዋናው ባህሪ ላይ ማተኮር ነው፡ የሂደት ፈጠራ፣ የኤችቲቲፒ ጥያቄዎች፣ ምስጠራ፣ ጽናት፣ ወዘተ.
ሌላው በጣም ውጤታማ ዘዴን መመልከት ነው የሚደጋገሙ መመሪያዎች ቅደም ተከተል ከተመሳሳይ ቤተሰብ ናሙናዎች መካከል. አጥቂዎች ሁለትዮሽውን ቢያሽጉ ወይም ቢደብቁትም፣ ለመለወጥ አስቸጋሪ የሆኑትን የኮድ ክፍሎችን ደጋግመው ይጠቀማሉ። ከስታቲስቲክስ ትንተና በኋላ ቋሚ መመሪያዎችን ካገኙ ፣ በ ጋር አንድ ደንብ ማውጣት ይችላሉ። በሄክሳዴሲማል ሕብረቁምፊዎች ውስጥ የዱር ካርዶች የተወሰነ መቻቻልን ጠብቆ ያንን ንድፍ የሚይዝ።
በእነዚህ "በኮድ ባህሪ ላይ የተመሰረተ" ደንቦች ይቻላል እንደ PlugX/Korplug ወይም ሌሎች APT ቤተሰቦች ያሉ የማልዌር ዘመቻዎችን ይከታተሉአንድ የተወሰነ ሃሽ ብቻ አያገኙም ነገር ግን የአጥቂዎችን ለመናገር የእድገት ዘይቤን ይከተላሉ።
በእውነተኛ ዘመቻዎች እና በዜሮ-ቀን ዛቻዎች ውስጥ YARAን መጠቀም
ያራ ጠቃሚነቱን አረጋግጧል በተለይ የላቁ ማስፈራሪያዎች እና የዜሮ ቀን ብዝበዛዎች፣ ክላሲክ የጥበቃ ዘዴዎች በጣም ዘግይተው በሚደርሱበት። በጣም የሚታወቀው ምሳሌ በSilverlight ውስጥ ከትንሽ ሾልኮ ከወጣ የማሰብ ችሎታ ለማግኘት የYARA አጠቃቀም ነው።.
እንደዚያ ከሆነ፣ ለአጸያፊ መሳሪያዎች ልማት ከተሰራ ኩባንያ ከተሰረቁ ኢሜይሎች፣ ለአንድ የተወሰነ ብዝበዛ ያተኮረ ህግን ለመገንባት በቂ ቅጦች ተወስደዋል። በዚያ ነጠላ ህግ፣ ተመራማሪዎቹ ናሙናውን በተጠረጠሩ ፋይሎች ባህር ውስጥ መፈለግ ችለዋል።ብዝበዛውን ይለዩ እና መጠገኛውን ያስገድዱ፣ ይህም የበለጠ የከፋ ጉዳትን ይከላከላል።
እነዚህ አይነት ታሪኮች YARA እንዴት እንደሚሰራ ያሳያሉ በፋይሎች ባህር ውስጥ የዓሣ ማጥመጃ መረብየእርስዎን የድርጅት አውታረ መረብ በሁሉም ዓይነት "ዓሣ" (ፋይሎች) የተሞላ ውቅያኖስ እንደሆነ አስቡት። የእርስዎ ደንቦች ልክ እንደ ተጎታች መረብ ውስጥ ያሉ ክፍሎች ናቸው: እያንዳንዱ ክፍል የተወሰኑ ባህሪያትን የሚያሟላውን ዓሣ ይይዛል.
ጎተቱን ሲጨርሱ አላችሁ ናሙናዎች ከተወሰኑ ቤተሰቦች ወይም የአጥቂ ቡድኖች ጋር ተመሳሳይ በሆነ መልኩ ይመደባሉ“ከዝርያዎች X ጋር ተመሳሳይ”፣ “ከዝርያዎች Y ጋር ተመሳሳይ”፣ ወዘተ. አንዳንዶቹ ናሙናዎች ለእርስዎ ሙሉ ለሙሉ አዲስ ሊሆኑ ይችላሉ (አዲስ ሁለትዮሽ፣ አዲስ ዘመቻዎች)፣ ነገር ግን ከታወቀ ስርዓተ-ጥለት ጋር ይጣጣማሉ፣ ይህም ምደባዎን እና ምላሽዎን ያፋጥናል።
በዚህ አውድ ከYAR ምርጡን ለማግኘት ብዙ ድርጅቶች ይጣመራሉ። የላቀ ስልጠና, ተግባራዊ ላቦራቶሪዎች እና ቁጥጥር የተደረገባቸው የሙከራ አካባቢዎችጥሩ ህጎችን ለመፃፍ ጥበብ ብቻ የተሰጡ በጣም ልዩ ኮርሶች አሉ ፣ብዙውን ጊዜ በተጨባጭ የሳይበር የስለላ ጉዳዮች ላይ የተመሰረቱ ፣ተማሪዎች በትክክለኛ ናሙናዎች የሚለማመዱ እና የሚፈልጉትን በትክክል ባያውቁም እንኳ “አንድ ነገር” መፈለግን ይማራሉ ።
YARን ወደ ምትኬ እና መልሶ ማግኛ መድረኮች ያዋህዱ
YARA በትክክል የሚገጣጠምበት እና ብዙውን ጊዜ በተወሰነ ደረጃ የማይታወቅበት አንዱ ቦታ የመጠባበቂያ ቅጂዎች ጥበቃ ነው። ምትኬዎች በተንኮል አዘል ዌር ወይም ራንሰምዌር ከተበከሉ መልሶ ማቋቋም ዘመቻውን እንደገና ማስጀመር ይችላል።ለዚያም ነው አንዳንድ አምራቾች የYARA ሞተሮችን በቀጥታ ወደ መፍትሄዎቻቸው ያካተቱት።
የሚቀጥለው ትውልድ የመጠባበቂያ መድረኮችን መጀመር ይቻላል የመልሶ ማግኛ ነጥቦች ላይ YAR ደንብ ላይ የተመሠረተ የትንታኔ ክፍለ ጊዜዎችግቡ ሁለት ነው፡- ከአደጋ በፊት የመጨረሻውን "ንፁህ" ነጥብ ለማግኘት እና በሌሎች ቼኮች ያልተቀሰቀሱ በፋይሎች ውስጥ የተደበቀ ተንኮል አዘል ይዘትን መለየት።
በእነዚህ አካባቢዎች የተለመደው ሂደት "" የሚለውን አማራጭ መምረጥን ያካትታል.ነጥቦችን በYARA ገዥ ወደነበሩበት ይቃኙ"በመተንተን ሥራ ውቅር ወቅት. በመቀጠል, ወደ ደንቦች ፋይል የሚወስደው መንገድ ይገለጻል (ብዙውን ጊዜ ከቅጥያ .yara ወይም .yar) ጋር, በተለምዶ ለመጠባበቂያ መፍትሄ በተለየ የውቅረት አቃፊ ውስጥ ይከማቻል."
በአፈፃፀም ወቅት ሞተሩ በቅጂው ውስጥ በተካተቱት ነገሮች ውስጥ ይደጋገማል ፣ ደንቦቹን ይተገበራል እና ሁሉንም ግጥሚያዎች በአንድ የተወሰነ የYARA ትንተና ምዝግብ ማስታወሻ ውስጥ ይመዘግባል።አስተዳዳሪው እነዚህን ምዝግብ ማስታወሻዎች ከኮንሶሉ ላይ ማየት፣ ስታቲስቲክስን መገምገም፣ የትኞቹ ፋይሎች ማንቂያውን እንደቀሰቀሱ ማየት፣ እና እያንዳንዱ ግጥሚያ ከየትኞቹ ማሽኖች እና የተለየ ቀን ጋር እንደሚመሳሰል መከታተል ይችላል።
ይህ ውህደት በመሳሰሉት ሌሎች ዘዴዎች የተሞላ ነው ያልተለመደ ፈልጎ ማግኘት፣ የመጠባበቂያ መጠን ክትትል፣ የተወሰኑ IOCዎችን መፈለግ ወይም አጠራጣሪ መሳሪያዎችን መመርመርነገር ግን ለአንድ የተወሰነ የቤዛ ዌር ቤተሰብ ወይም ዘመቻ የተበጁ ህጎችን በተመለከተ YARA ያንን ፍለጋ ለማጣራት ምርጡ መሳሪያ ነው።
አውታረ መረብዎን ሳይጥሱ የ YAR ህጎችን እንዴት እንደሚሞክሩ እና እንደሚያረጋግጡ
አንዴ የራስዎን ህጎች መፃፍ ከጀመሩ, ቀጣዩ ወሳኝ እርምጃ እነሱን በደንብ መሞከር ነው. ከመጠን በላይ ጨካኝ ህግ የውሸት አወንታዊ ጎርፍ ሊያመጣ ይችላል ፣ ከመጠን በላይ የላላ ሰው ደግሞ እውነተኛ ስጋቶችን እንዲያልፍ ሊያደርግ ይችላል።ለዚያም ነው የፈተናው ደረጃ ልክ እንደ መጻፍ ደረጃ አስፈላጊ የሆነው።
ጥሩ ዜናው ይህንን ለማድረግ የሚሰራ ማልዌር የተሞላ ላብራቶሪ ማዘጋጀት አያስፈልግም እና ግማሹን ኔትወርክን መበከል አያስፈልግም። ይህንን መረጃ የሚያቀርቡ ማከማቻዎች እና የውሂብ ስብስቦች አስቀድመው አሉ። ለምርምር ዓላማዎች የሚታወቁ እና የሚቆጣጠሩ የማልዌር ናሙናዎችእነዚያን ናሙናዎች ወደ ገለልተኛ አካባቢ ማውረድ እና ለህጎችዎ እንደ መሞከሪያ ሊጠቀሙባቸው ይችላሉ።
የተለመደው አካሄድ YARAን ከትዕዛዝ መስመሩ ጀምሮ አጠራጣሪ ፋይሎችን ከያዘው ማውጫ ጋር በማሄድ መጀመር ነው። የእርስዎ ህጎች ከየትኛው ቦታ ጋር የሚዛመዱ ከሆነ እና ንጹህ ፋይሎችን መጣስ ካልቻሉ በትክክለኛው መንገድ ላይ ነዎት።በጣም ብዙ እየቀሰቀሱ ከሆነ፣ ሕብረቁምፊዎችን ለመገምገም፣ ሁኔታዎችን የማጣራት ወይም ተጨማሪ ገደቦችን ለማስተዋወቅ ጊዜው አሁን ነው (መጠን፣ ማስመጣት፣ ማካካሻ፣ ወዘተ)።
ሌላው ቁልፍ ነጥብ የእርስዎ ደንቦች አፈጻጸምን እንደማይጎዱ ማረጋገጥ ነው. ትላልቅ ማውጫዎችን፣ ሙሉ ምትኬዎችን ወይም ግዙፍ የናሙና ስብስቦችን ሲቃኙ፣ በደንብ ያልተመቻቹ ህጎች ትንታኔን ሊያዘገዩ ወይም ከተፈለገው በላይ ብዙ ሀብቶችን ሊፈጁ ይችላሉ።ስለዚህ, ጊዜን ለመለካት, የተወሳሰቡ አባባሎችን ለማቃለል እና ከመጠን በላይ ከባድ ሪጅክስን ለማስወገድ ይመከራል.
ያንን የላብራቶሪ ምርመራ ደረጃ ካለፉ በኋላ ማድረግ ይችላሉ። ደንቦቹን ወደ ምርት አካባቢ ያስተዋውቁበእርስዎ SIEM ውስጥም ይሁን የመጠባበቂያ ሲስተሞችዎ፣ የኢሜይል አገልጋዮች ወይም እነሱን ለማዋሃድ በፈለጉበት ቦታ። እና ቀጣይነት ያለው የግምገማ ዑደት ማቆየትዎን አይርሱ፡ ዘመቻዎች እየተሻሻሉ ሲሄዱ፣ የእርስዎ ደንቦች ወቅታዊ ማስተካከያዎች ያስፈልጋቸዋል።
መሳሪያዎች፣ ፕሮግራሞች እና የስራ ፍሰት ከYAR
ከኦፊሴላዊው ሁለትዮሽ ባሻገር፣ ብዙ ባለሙያዎች በየቀኑ አጠቃቀሙን ለማመቻቸት በYAR ዙሪያ ትናንሽ ፕሮግራሞችን እና ስክሪፕቶችን አዘጋጅተዋል። የተለመደው አቀራረብ ማመልከቻ መፍጠርን ያካትታል የራስዎን የደህንነት ኪት ያሰባስቡ በአቃፊ ውስጥ ያሉትን ሁሉንም ደንቦች በራስ-ሰር የሚያነብ እና ወደ የትንታኔ ማውጫ ውስጥ የሚተገበር.
እንደነዚህ ዓይነቶቹ የቤት ውስጥ መሳሪያዎች ብዙውን ጊዜ ከቀላል ማውጫ መዋቅር ጋር ይሰራሉ-አንድ አቃፊ ለ ከበይነመረቡ የወረዱ ደንቦች (ለምሳሌ "rulesyar") እና ሌላ አቃፊ ለ የሚተነተኑ አጠራጣሪ ፋይሎች (ለምሳሌ “ማልዌር”)። ፕሮግራሙ ሲጀመር ሁለቱም አቃፊዎች መኖራቸውን ያረጋግጣል, በስክሪኑ ላይ ያሉትን ደንቦች ይዘረዝራል እና ለአፈፃፀም ይዘጋጃል.
አንድ ቁልፍ ሲጫኑ እንደ "ማረጋገጥ ይጀምሩከዚያም አፕሊኬሽኑ የYARA executable ን ከተፈለገው መለኪያዎች ጋር ያስጀምራል፡ በአቃፊው ውስጥ ያሉትን ሁሉንም ፋይሎች መቃኘት፣ የንዑስ ማውጫዎች ተደጋጋሚ ትንተና፣ የውጤት ስታቲስቲክስ፣ ሜታዳታ ማተም ወዘተ.. ማንኛውም ግጥሚያዎች በውጤቶች መስኮት ውስጥ ይታያሉ ይህም የትኛው ፋይል ከየትኛው ህግ ጋር እንደሚመሳሰል ያሳያል።
ይህ የስራ ሂደት ለምሳሌ ወደ ውጭ በሚላኩ ኢሜይሎች ስብስብ ውስጥ ጉዳዮችን ለመለየት ያስችላል። ጉዳት የሌላቸው በሚመስሉ ፋይሎች ውስጥ የተደበቁ ተንኮል-አዘል ምስሎች፣ አደገኛ አባሪዎች ወይም የድረ-ገጽ ቅርፊቶችበኮርፖሬት አካባቢዎች ውስጥ ያሉ ብዙ የፎረንሲክ ምርመራዎች በዚህ አይነት ዘዴ ላይ በትክክል ይመረኮዛሉ።
YARAን በሚጠሩበት ጊዜ በጣም ጠቃሚ የሆኑትን መለኪያዎች በተመለከተ እንደሚከተሉት ያሉ አማራጮች ተለይተው ይታወቃሉ፡ -r በተደጋጋሚ መፈለግ፣ -S ስታቲስቲክስን ለማሳየት፣ -m ሜታዳታን ለማውጣት እና -w ማስጠንቀቂያዎችን ችላ ለማለትእነዚህን ባንዲራዎች በማጣመር ባህሪውን ከጉዳይዎ ጋር ማስተካከል ይችላሉ፡ በአንድ የተወሰነ ማውጫ ውስጥ ካለው ፈጣን ትንታኔ እስከ ውስብስብ የአቃፊ መዋቅር ሙሉ ቅኝት ድረስ።
የYARA ደንቦችን ሲጽፉ እና ሲጠብቁ ምርጥ ልምዶች
የደንቦችዎ ማከማቻ ሊስተካከል የማይችል ውጥንቅጥ እንዳይሆን ለመከላከል ተከታታይ ምርጥ ተሞክሮዎችን መተግበር ተገቢ ነው። የመጀመሪያው ወጥነት ባለው አብነቶች እና የስም አወጣጥ ደንቦች መስራት ነውማንኛውም ተንታኝ እያንዳንዱ ህግ ምን እንደሚሰራ በጨረፍታ እንዲረዳው.
ብዙ ቡድኖች የሚያጠቃልለው መደበኛ ፎርማት ይቀበላሉ። ራስጌ ከሜታዳታ ጋር፣ የአደጋ አይነትን፣ ተዋናይ ወይም መድረክን የሚያመለክቱ መለያዎች፣ እና ምን እየተገኘ እንደሆነ ግልጽ መግለጫይህ ከውስጥ ብቻ ሳይሆን ከማህበረሰቡ ጋር ደንቦችን ሲያጋሩ ወይም ለህዝብ ማከማቻዎች ሲያዋጡ ጭምር ይረዳል።
ሌላው ምክር ሁልጊዜ ማስታወስ ነው YARA አንድ ተጨማሪ የመከላከያ ሽፋን ብቻ ነው።የጸረ-ቫይረስ ሶፍትዌርን ወይም ኢዲአርን አይተካም ይልቁንም በስልት ያሟላላቸዋል የእርስዎን ዊንዶውስ ፒሲ ይጠብቁበሐሳብ ደረጃ፣ YARA እንደ NIST ማዕቀፍ ባሉ ሰፊ የማመሳከሪያ ማዕቀፎች ውስጥ መግጠም አለበት፣ እሱም የንብረት መለየትን፣ ጥበቃን፣ ማግኘትን፣ ምላሽን እና መልሶ ማግኘትን ይመለከታል።
ከቴክኒካዊ እይታ አንጻር ጊዜ መስጠት ተገቢ ነው evitar falsos positivosይህ ከልክ ያለፈ አጠቃላይ ሕብረቁምፊዎችን ማስወገድ፣ በርካታ ሁኔታዎችን በማጣመር እና እንደ ኦፕሬተሮችን መጠቀምን ያካትታል all of o any of ጭንቅላትዎን ይጠቀሙ እና የፋይሉን መዋቅራዊ ባህሪያት ይጠቀሙ. በተንኮል አዘል ዌር ባህሪ ዙሪያ ያለው አመክንዮ ይበልጥ በተገለፀ መጠን የተሻለ ይሆናል።
በመጨረሻም ፣ የ ስሪት እና ወቅታዊ ግምገማ ወሳኝ ነው። የማልዌር ቤተሰቦች እየተሻሻሉ ይሄዳሉ፣ አመላካቾች ይለወጣሉ፣ እና ዛሬ የሚሰሩት ህጎች ይወድቃሉ ወይም ጊዜ ያለፈባቸው ሊሆኑ ይችላሉ። የእርስዎን ደንብ ስብስብ በየጊዜው መገምገም እና ማጥራት የሳይበር ደህንነት ድመት እና አይጥ ጨዋታ አካል ነው።
የYARA ማህበረሰብ እና የሚገኙ ሀብቶች
YARA እስካሁን የመጣበት ዋና ምክንያት የማኅበረሰቡ ጥንካሬ ነው። ተመራማሪዎች፣ የደህንነት ድርጅቶች እና የአለም ምላሽ ቡድኖች ህጎችን፣ ምሳሌዎችን እና ሰነዶችን ያለማቋረጥ ይጋራሉ።በጣም የበለጸገ ሥነ ምህዳር መፍጠር.
ዋናው የማጣቀሻ ነጥብ ነው በ GitHub ላይ የYARA ይፋዊ ማከማቻእዚያም የመሣሪያውን የቅርብ ጊዜ ስሪቶች፣ የምንጭ ኮድ እና የሰነድ አገናኞችን ያገኛሉ። ከዚያ ሆነው የፕሮጀክቱን ሂደት መከታተል፣ ጉዳዮችን ሪፖርት ማድረግ ወይም ከፈለጉ ማሻሻያዎችን ማበርከት ይችላሉ።
እንደ ReadTheDocs ባሉ መድረኮች ላይ የሚገኘው ኦፊሴላዊው ሰነድ ያቀርባል የተሟላ የአገባብ መመሪያ፣ የሚገኙ ሞጁሎች፣ የሕግ ምሳሌዎች እና የአጠቃቀም ማጣቀሻዎችእንደ ፒኢ ኢንስፔክሽን፣ ELF፣ የማስታወሻ ደንቦች ወይም ከሌሎች መሳሪያዎች ጋር መቀላቀልን የመሳሰሉ በጣም የላቁ ተግባራትን ለመጠቀም አስፈላጊ ግብአት ነው።
በተጨማሪም፣ ከመላው አለም የተውጣጡ ተንታኞች የሚገኙበት የYARA ህጎች እና ፊርማዎች የማህበረሰብ ማከማቻዎች አሉ። ለአገልግሎት ዝግጁ የሆኑ ስብስቦችን ወይም ከፍላጎትዎ ጋር ሊጣጣሙ የሚችሉ ስብስቦችን ያትማሉ።እነዚህ ማከማቻዎች በተለይ ለተወሰኑ ማልዌር ቤተሰቦች ደንቦችን፣ የብዝበዛ ኪቶች፣ ተንኮለኛ ጥቅም ላይ የዋሉ የፔንቴቲንግ መሳሪያዎችን፣ ዌብሼሎችን፣ ክሪፕቶሚነሮችን እና ሌሎችንም ያካትታሉ።
በትይዩ, ብዙ አምራቾች እና የምርምር ቡድኖች ይሰጣሉ በYAR የተወሰነ ስልጠና ከመሰረታዊ ደረጃዎች እስከ በጣም የላቁ ኮርሶችእነዚህ ተነሳሽነቶች ብዙ ጊዜ ምናባዊ ቤተ ሙከራዎችን እና በገሃዱ ዓለም ሁኔታዎች ላይ የተመሰረቱ ልምምዶችን ያካትታሉ። አንዳንዶቹ ለትርፍ ላልሆኑ ድርጅቶች ወይም አካላት በተለይ ለታለመ ጥቃት ተጋላጭ ለሆኑ ድርጅቶች በነጻ ይሰጣሉ።
ይህ አጠቃላይ ስነ-ምህዳር ማለት በትንሽ ቁርጠኝነት የመጀመሪያውን መሰረታዊ ህጎችዎን ከመፃፍ ወደ መሄድ ይችላሉ። ውስብስብ ዘመቻዎችን ለመከታተል እና ከዚህ በፊት ታይቶ የማያውቅ ስጋቶችን ለመለየት የሚያስችል የተራቀቁ ስብስቦችን ማዘጋጀትእና፣ YAARAን ከተለምዷዊ ጸረ-ቫይረስ፣ ደህንነቱ የተጠበቀ ምትኬ እና የአስጊ መረጃን በማጣመር ተንኮል-አዘል ተዋናዮችን በበይነመረብ ላይ ለሚዘዋወሩ ነገሮች በጣም አስቸጋሪ ያደርጋቸዋል።
ከላይ ከተጠቀሱት ሁሉ ጋር, YARA ከቀላል የትዕዛዝ-መስመር መገልገያ የበለጠ እንደሆነ ግልጽ ነው. pieza clave በማንኛውም የላቀ የማልዌር ማወቂያ ስልት፣ እንደ ተንታኝ እና ከእርስዎ የአስተሳሰብ መንገድ ጋር የሚስማማ ተለዋዋጭ መሳሪያ እና ሀ የጋራ ቋንቋ በዓለም ዙሪያ ያሉ ላቦራቶሪዎችን፣ ኤስኦሲዎችን እና የምርምር ማህበረሰቦችን የሚያገናኝ፣ እያንዳንዱ አዲስ ህግ ከጊዜ ወደ ጊዜ ከተራቀቁ ዘመቻዎች ሌላ የጥበቃ ሽፋን እንዲጨምር ያስችለዋል።
ከትንሽነቱ ጀምሮ ስለ ቴክኖሎጂ ፍቅር ነበረው። በዘርፉ ወቅታዊ መረጃ ማግኘት እና ከሁሉም በላይ መግባባት እወዳለሁ። ለዚያም ነው በቴክኖሎጂ እና በቪዲዮ ጌም ድረ-ገጾች ላይ ለብዙ አመታት ለግንኙነት የወሰንኩት። ስለ አንድሮይድ፣ ዊንዶውስ፣ ማክኦኤስ፣ አይኦኤስ፣ ኔንቲዶ ወይም ወደ አእምሮዬ ስለሚመጣው ሌላ ተዛማጅ ርዕስ ስጽፍ ታገኙኛላችሁ።