Як выкарыстоўваць YARA для пашыранага выяўлення шкоднасных праграм

¿Як выкарыстоўваць YARA для пашыранага выяўлення шкоднасных праграм? Калі традыцыйныя антывірусныя праграмы дасягаюць сваіх межаў, а зламыснікі праслізгваюць праз усе магчымыя шчыліны, у гульню ўступае інструмент, які стаў незаменным у лабараторыях рэагавання на інцыдэнты: YARA, «швейцарскі нож» для барацьбы са шкоднаснымі праграмаміРаспрацаваны для апісання сямействаў шкоднаснага праграмнага забеспячэння з выкарыстаннем тэкставых і бінарных шаблонаў, ён дазваляе выйсці далёка за рамкі простага хэш-супастаўлення.

У правільных руках YARA не толькі дапамагае знайсці не толькі вядомыя ўзоры шкоднасных праграм, але і новыя варыянты, эксплойты нулявога дня і нават камерцыйныя наступальныя інструментыУ гэтым артыкуле мы падрабязна і практычна разгледзім, як выкарыстоўваць YARA для пашыранага выяўлення шкоднасных праграм, як пісаць надзейныя правілы, як іх тэставаць, як інтэграваць іх у такія платформы, як Veeam, або ваш уласны працоўны працэс аналізу, а таксама якія перадавыя практыкі прытрымліваецца прафесійная супольнасць.

Што такое YARA і чаму яна такая магутная ў выяўленні шкоднасных праграм?

YARA расшыфроўваецца як «Яшчэ адна рэкурсіўная абрэвіятура» і стала фактычным стандартам у аналізе пагроз, таму што Гэта дазваляе апісваць сямействы шкоднасных праграм з выкарыстаннем чытэльных, зразумелых і вельмі гнуткіх правілаў.Замест таго, каб спадзявацца выключна на статычныя антывірусныя сігнатуры, YARA працуе з шаблонамі, якія вы вызначаеце самі.

Асноўная ідэя простая: правіла YARA аналізуе файл (або памяць, або паток дадзеных) і правярае, ці выкананы шэраг умоў. умовы на аснове тэкставых радкоў, шаснаццатковых паслядоўнасцей, рэгулярных выразаў або ўласцівасцей файлаКалі ўмова выканана, ёсць «супадзенне», і вы можаце папярэдзіць, заблакаваць або правесці больш паглыблены аналіз.

Гэты падыход дазваляе службам бяспекі Выяўляць і класіфікаваць шкоднасныя праграмы ўсіх тыпаў: класічныя вірусы, чарвякі, траяны, праграмы-вымагальнікі, вэб-шэлы, крыптамайнеры, шкоднасныя макрасы і многае іншаеЁн не абмяжоўваецца пэўнымі пашырэннямі файлаў або фарматамі, таму ён таксама выяўляе замаскіраваны выканальны файл з пашырэннем .pdf або HTML-файл, які змяшчае вэб-шар.

Акрамя таго, YARA ўжо інтэграваная ў многія ключавыя сэрвісы і інструменты экасістэмы кібербяспекі: VirusTotal, пясочніцы, такія як Cuckoo, платформы рэзервовага капіявання, такія як Veeam, або рашэнні для пошуку пагроз ад вядучых вытворцаўТаму валоданне YARA стала амаль абавязковым для прасунутых аналітыкаў і даследчыкаў.

Пашыраныя прыклады выкарыстання YARA для выяўлення шкоднасных праграм

Адной з моцных бакоў YARA з'яўляецца тое, што яна імгненна адаптуецца да розных сцэнарыяў бяспекі, ад SOC да лабараторыі шкоднасных праграм. Тыя ж правілы распаўсюджваюцца як на аднаразовыя паляванні, так і на бесперапынны маніторынг..

Найбольш прамы выпадак тычыцца стварэння спецыяльныя правілы для канкрэтных шкоднасных праграм або цэлых сямействаўКалі ваша арганізацыя падвяргаецца атаке з боку кампаніі, заснаванай на вядомым сямействе вірусаў (напрыклад, траяна аддаленага доступу або APT-пагрозы), вы можаце прафіляваць характэрныя радкі і шаблоны і ствараць правілы, якія хутка ідэнтыфікуюць новыя звязаныя ўзоры.

Яшчэ адно класічнае выкарыстанне — гэта ўвага YARA на аснове подпісаўГэтыя правілы прызначаны для пошуку хэшаў, вельмі спецыфічных тэкставых радкоў, фрагментаў кода, ключоў рэестра або нават пэўных паслядоўнасцей байтаў, якія паўтараюцца ў некалькіх варыянтах аднаго і таго ж шкоднаснага праграмнага забеспячэння. Аднак майце на ўвазе, што калі вы шукаеце толькі трывіяльныя радкі, вы рызыкуеце атрымаць ілжыва спрацоўваючыя вынікі.

YARA таксама выдатна спраўляецца з фільтрацыяй тыпы файлаў або структурныя характарыстыкіМожна ствараць правілы, якія прымяняюцца да выканальных файлаў PE, офісных дакументаў, PDF-файлаў або практычна любога фармату, шляхам спалучэння радкоў з такімі ўласцівасцямі, як памер файла, пэўныя загалоўкі (напрыклад, 0x5A4D для выканальных файлаў PE) або падазроныя імпарты функцый.

У сучасных умовах яго выкарыстанне звязана з inteligencia de amenazasПублічныя рэпазіторыі, даследчыя справаздачы і стужкі IOC перакладаюцца ў правілы YARA, якія інтэгруюцца ў SIEM, EDR, платформы рэзервовага капіявання або пясочніцы. Гэта дазваляе арганізацыям хутка выяўляць новыя пагрозы, якія маюць агульныя характарыстыкі з ужо прааналізаванымі кампаніямі.

Разуменне сінтаксісу правілаў YARA

Сінтаксіс YARA вельмі падобны да сінтаксісу C, але больш просты і мэтанакіраваны. Кожнае правіла складаецца з назвы, неабавязковага раздзела метададзеных, раздзела радка і, абавязкова, раздзела ўмовы.Адгэтуль сіла заключаецца ў тым, як вы ўсё гэта спалучаеце.

Lo primero es el назва правілаЯно павінна ісці адразу пасля ключавога слова rule (o regla Калі вы дакументуеце на іспанскай мове, хоць ключавое слова ў файле будзе ruleі павінен быць сапраўдным ідэнтыфікатарам: без прабелаў, без лічбаў і без падкрэслівання. Рэкамендуецца прытрымлівацца выразнай канвенцыі, напрыклад, чагосьці накшталт Варыянт сямейства шкоднасных праграм o APT_Actor_Tool, што дазваляе адразу вызначыць, што менавіта ён павінен выяўляць.

Далей ідзе раздзел stringsдзе вы вызначаеце шаблоны, якія хочаце шукаць. Тут вы можаце выкарыстоўваць тры асноўныя тыпы: тэкставыя радкі, шаснаццатковыя паслядоўнасці і рэгулярныя выразыТэкставыя радкі ідэальна падыходзяць для чытэльных фрагментаў кода, URL-адрасоў, унутраных паведамленняў, імёнаў шляхоў або PDB. Шаснаццатковыя лікі дазваляюць фіксаваць неапрацаваныя байтавыя шаблоны, што вельмі карысна, калі код заблытаны, але захоўвае пэўныя канстантныя паслядоўнасці.

Рэгулярныя выразы забяспечваюць гнуткасць, калі вам трэба ахапіць невялікія змены ў радку, такія як змена даменаў або нязначна змененыя часткі кода. Акрамя таго, як радкі, так і рэгулярныя выразы дазваляюць экраніраваць адвольныя байты, што адкрывае дзверы для вельмі дакладных гібрыдных шаблонаў.

La sección condition Гэта адзіны абавязковы пункт, які вызначае, калі правіла лічыцца «супадзеннем» з файлам. Тут выкарыстоўваюцца лагічныя і арыфметычныя аперацыі (і, або, не, +, -, *, /, любы, усе, змяшчае і г.д.) каб выказаць больш тонкую логіку выяўлення, чым проста «калі гэты радок з'явіцца».

Напрыклад, можна ўказаць, што правіла дзейнічае толькі ў тым выпадку, калі памер файла меншы за пэўны значэнне, калі прысутнічаюць усе крытычныя радкі або калі прысутнічае хаця б адзін з некалькіх радкоў. Вы таксама можаце камбінаваць такія ўмовы, як даўжыня радка, колькасць супадзенняў, пэўныя зрушэнні ў файле або памер самога файла.Тут крэатыўнасць адрознівае агульныя правілы ад хірургічных выяўленняў.

Нарэшце, у вас ёсць дадатковы раздзел metaІдэальна падыходзіць для дакументавання перыяду. Звычайна ўключаюць аўтар, дата стварэння, апісанне, унутраная версія, спасылка на справаздачы або заяўкі і, у цэлым, любая інфармацыя, якая дапамагае падтрымліваць парадак у рэпазітарыі і яго разуменне для іншых аналітыкаў.

Практычныя прыклады пашыраных правілаў YARA

Каб зразумець усё вышэйсказанае, карысна ўбачыць, як структуравана простае правіла і як яно становіцца больш складаным, калі ў гульню ўступаюць выканальныя файлы, падазроны імпарт або паўтаральныя паслядоўнасці інструкцый. Пачнем з лінейкі-цацачкі і паступова павялічваем памер..

Мінімальнае правіла можа ўтрымліваць толькі радок і ўмову, якая робіць яго абавязковым. Напрыклад, вы можаце шукаць пэўны тэкставы радок або паслядоўнасць байтаў, якія прадстаўляюць фрагмент шкоднаснага праграмнага забеспячэння. У такім выпадку ўмова проста будзе сцвярджаць, што правіла выканана, калі гэты радок або шаблон з'яўляецца., без дадатковых фільтраў.

Аднак у рэальных умовах гэтага недастаткова, таму што Простыя ланцужкі часта генеруюць шмат ілжывых спрацоўванняўВось чаму звычайна аб'ядноўваюць некалькі радкоў (тэкставыя і шаснаццатковыя) з дадатковымі абмежаваннямі: файл не павінен перавышаць пэўнага памеру, ён павінен утрымліваць пэўныя загалоўкі або ён павінен актывавацца толькі ў тым выпадку, калі знойдзены хаця б адзін радок з кожнай вызначанай групы.

Тыповы прыклад аналізу выканальных PE-файлаў уключае імпарт модуля pe з YARA, што дазваляе запытваць унутраныя ўласцівасці двайковага файла: імпартаваныя функцыі, раздзелы, часавыя меткі і г.д. Пашыранае правіла можа запатрабаваць імпартаваць файл CreateProcess з Kernel32.dll і некаторыя функцыі HTTP з Файл wininet.dll, акрамя таго, што змяшчае пэўны радок, які сведчыць пра шкоднасныя паводзіны.

Гэты тып логікі ідэальна падыходзіць для пошуку Траяны з магчымасцямі дыстанцыйнага падключэння або вываду дадзеныхнават калі назвы файлаў або шляхі змяняюцца ад адной кампаніі да іншай. Важна засяродзіцца на асноўнай паводзінах: стварэнне працэсаў, HTTP-запыты, шыфраванне, захаванне і г.д.

Яшчэ адзін вельмі эфектыўны метад - гэта паглядзець на паслядоўнасці інструкцый, якія паўтараюцца паміж узорамі з аднаго сямейства. Нават калі зламыснікі пакуюць або заблытваюць двайковы файл, яны часта паўторна выкарыстоўваюць часткі кода, якія цяжка змяніць. Калі пасля статычнага аналізу вы знойдзеце пастаянныя блокі інструкцый, вы можаце сфармуляваць правіла з дапамогай падстаноўныя сімвалы ў шаснаццатковых радках які фіксуе гэты заканамернасць, захоўваючы пры гэтым пэўную талерантнасць.

З дапамогай гэтых правілаў, «заснаваных на паводзінах кода», гэта магчыма адсочваць цэлыя кампаніі шкоднасных праграм, такія як PlugX/Korplug або іншыя сямействы APTВы не проста выяўляеце пэўны хэш, але і пераследуеце стыль распрацоўкі, так бы мовіць, зламыснікаў.

Выкарыстанне YARA ў рэальных кампаніях і пры пагрозах нулявога дня

YARA даказала сваю каштоўнасць, асабліва ў галіне перадавых пагроз і эксплойтаў нулявога дня, дзе класічныя механізмы абароны прыходзяць у дзеянне занадта позна. Вядомым прыкладам з'яўляецца выкарыстанне YARA для выяўлення эксплойта ў Silverlight па мінімальнай колькасці ўцечак разведвальных дадзеных..

У гэтым выпадку з электронных лістоў, скрадзеных у кампаніі, якая займаецца распрацоўкай наступальных інструментаў, было выведзена дастаткова заканамернасцей для стварэння правіла, арыентаванага на канкрэтны эксплойт. З дапамогай гэтага адзінага правіла даследчыкі змаглі прасачыць узор праз мора падазроных файлаў.Вызначце эксплойт і прымусова выпраўце яго, каб прадухіліць значна больш сур'ёзную шкоду.

Гэтыя тыпы гісторый ілюструюць, як YARA можа функцыянаваць як рыбалоўная сетка ў моры файлаўУявіце сабе вашу карпаратыўную сетку як акіян, поўны «рыбы» (файлаў) усіх відаў. Вашы правілы падобныя да адсекаў у тралавой сетцы: у кожным адсеку знаходзіцца рыба, якая адпавядае пэўным характарыстыкам.

Калі вы скончыце перацягванне, у вас ёсць узоры, згрупаваныя па падабенстве з пэўнымі сем'ямі або групамі нападнікаў: «падобны да віду X», «падобны да віду Y» і г.д. Некаторыя з гэтых узораў могуць быць для вас цалкам новымі (новыя бінарныя файлы, новыя кампаніі), але яны ўпісваюцца ў вядомую схему, што паскарае вашу класіфікацыю і адказ.

Каб атрымаць максімальную карысць ад YARA ў гэтым кантэксце, многія арганізацыі аб'ядноўваюць намаганні павышэнне кваліфікацыі, практычныя лабараторыі і кантраляваныя эксперыментальныя ўмовыІснуюць вузкаспецыялізаваныя курсы, прысвечаныя выключна мастацтву напісання добрых правілаў, часта заснаваных на рэальных выпадках кібершпіянажу, на якіх студэнты практыкуюцца з аўтэнтычнымі ўзорамі і вучацца шукаць «нешта», нават калі яны дакладна не ведаюць, што шукаюць.

Інтэграцыя YARA ў платформы рэзервовага капіявання і аднаўлення

Адной з абласцей, дзе YARA ідэальна падыходзіць і якая часта застаецца незаўважанай, з'яўляецца абарона рэзервовых копій. Калі рэзервовыя копіі заражаныя шкоднасным праграмным забеспячэннем або праграмай-вымагальнікам, аднаўленне можа перазапусціць усю кампанію.Вось чаму некаторыя вытворцы ўключылі рухавікі YARA непасрэдна ў свае рашэнні.

Могуць быць запушчаны платформы рэзервовага капіявання наступнага пакалення Сеансы аналізу кропак аднаўлення на аснове правілаў YARAМэта двайная: знайсці апошнюю «чыстую» кропку перад інцыдэнтам і выявіць шкоднасны кантэнт, схаваны ў файлах, які, магчыма, не быў запушчаны іншымі праверкамі.

У такіх асяроддзях тыповы працэс прадугледжвае выбар опцыі «Сканіруйце кропкі аднаўлення з дапамогай лінейкі YARAпадчас канфігурацыі задання аналізу. Далей паказваецца шлях да файла правілаў (звычайна з пашырэннем .yara або .yar), які звычайна захоўваецца ў тэчцы канфігурацыі, характэрнай для рашэння рэзервовага капіявання.

Падчас выканання рухавічок перабірае аб'екты, якія змяшчаюцца ў копіі, прымяняе правілы і Ён запісвае ўсе супадзенні ў спецыяльны журнал аналізу YARA.Адміністратар можа праглядаць гэтыя журналы з кансолі, праглядаць статыстыку, бачыць, якія файлы выклікалі папярэджанне, і нават адсочваць, якім машынам і канкрэтнай даце адпавядае кожнае супадзенне.

Гэтая інтэграцыя дапаўняецца іншымі механізмамі, такімі як выяўленне анамалій, маніторынг памеру рэзервовай копіі, пошук пэўных IOC або аналіз падазроных інструментаўАле калі гаворка ідзе пра правілы, адаптаваныя да канкрэтнага сямейства або кампаніі вымагальнікаў, YARA — найлепшы інструмент для ўдасканалення такога пошуку.

Як праверыць і праверыць правілы YARA, не парушаючы працу вашай сеткі

Пасля таго, як вы пачнеце пісаць свае ўласныя правілы, наступным важным крокам будзе іх старанна праверыць. Занадта агрэсіўнае правіла можа прывесці да патоку ілжывых спрацоўванняў, а занадта слабое — дапусціць, каб рэальныя пагрозы праслізнулі.Вось чаму этап тэставання гэтак жа важны, як і этап напісання.

Добрая навіна заключаецца ў тым, што вам не трэба ствараць лабараторыю, поўную працоўных шкоднасных праграм, і заразіць палову сеткі, каб зрабіць гэта. Ужо існуюць рэпазіторыі і наборы даных, якія прапануюць гэтую інфармацыю. вядомыя і кантраляваныя ўзоры шкоднасных праграм для даследчых мэтВы можаце загрузіць гэтыя ўзоры ў ізаляванае асяроддзе і выкарыстоўваць іх у якасці тэставай пляцоўкі для вашых правілаў.

Звычайны падыход — пачаць з лакальнага запуску YARA з каманднага радка ў каталогу, які змяшчае падазроныя файлы. Калі вашы правілы супадаюць там, дзе павінны, і амаль не парушаюць працу ў чыстых файлах, вы на правільным шляху.Калі яны занадта часта спрацоўваюць, пара перагледзець радкі, удасканаліць умовы або ўвесці дадатковыя абмежаванні (памер, імпарт, зрушэнне і г.д.).

Яшчэ адзін важны момант — пераканацца, што вашы правілы не пагаршаюць прадукцыйнасць. Пры сканаванні вялікіх каталогаў, поўных рэзервовых копій або масіўных калекцый узораў, Дрэнна аптымізаваныя правілы могуць запаволіць аналіз або спажываць больш рэсурсаў, чым хацелася б.Таму рэкамендуецца вымяраць таймінг, спрашчаць складаныя выразы і пазбягаць празмерна складаных рэгулярных выразаў.

Пасля праходжання гэтага этапу лабараторных выпрабаванняў вы зможаце Укараніце правілы ў вытворчае асяроддзеНезалежна ад таго, ці гэта ваша SIEM-сістэма, сістэмы рэзервовага капіявання, серверы электроннай пошты ці любое іншае месца, дзе вы хочаце іх інтэграваць. І не забывайце падтрымліваць пастаянны цыкл праверкі: па меры развіцця кампаній вашы правілы будуць патрабаваць перыядычнай карэкціроўкі.

Інструменты, праграмы і працоўны працэс з YARA

Акрамя афіцыйнага двайковага файла, многія спецыялісты распрацавалі невялікія праграмы і скрыпты вакол YARA, каб палегчыць яго штодзённае выкарыстанне. Тыповы падыход прадугледжвае стварэнне прыкладання для сабраць свой уласны камплект бяспекі які аўтаматычна зчытвае ўсе правілы ў тэчцы і прымяняе іх да каталога аналізу.

Гэтыя тыпы самаробных інструментаў звычайна працуюць з простай структурай каталогаў: адна тэчка для правілы, спампаваныя з Інтэрнэту (напрыклад, «rulesyar») і яшчэ адну тэчку для падазроныя файлы, якія будуць прааналізаваны (напрыклад, «шкоднаснае праграмнае забеспячэнне»). Пры запуску праграма правярае існаванне абедзвюх тэчак, выводзіць на экран спіс правілаў і рыхтуецца да выканання.

Калі вы націскаеце кнопку, напрыклад, «Пачаць праверкуЗатым праграма запускае выканальны файл YARA з патрэбнымі параметрамі: сканаванне ўсіх файлаў у тэчцы, рэкурсіўны аналіз падкаталогаў, вывад статыстыкі, друк метададзеных і г.д. Любыя супадзенні адлюстроўваюцца ў акне вынікаў, паказваючы, які файл адпавядае якому правілу.

Гэты працоўны працэс дазваляе, напрыклад, выяўляць праблемы ў партыі экспартаваных электронных лістоў. шкоднасныя ўбудаваныя выявы, небяспечныя ўкладанні або вэб-абалонкі, схаваныя ў, здавалася б, бяскрыўдных файлахШматлікія судова-медыцынскія расследаванні ў карпаратыўным асяроддзі абапіраюцца менавіта на гэты тып механізму.

Што да найбольш карысных параметраў пры выкліку YARA, то тут вылучаюцца такія опцыі, як наступныя: -r для рэкурсіўнага пошуку, -S для адлюстравання статыстыкі, -m для здабывання метададзеных і -w для ігнаравання папярэджанняў.Камбінуючы гэтыя сцягі, вы можаце наладзіць паводзіны ў адпаведнасці з вашым канкрэтным выпадкам: ад хуткага аналізу ў пэўным каталогу да поўнага сканавання складанай структуры папак.

Найлепшыя практыкі па напісанні і падтрыманні правілаў YARA

Каб ваша сховішча правілаў не ператварылася ў некіравальны беспарадак, рэкамендуецца прымяніць шэраг перадавых практык. Па-першае, трэба працаваць з узгодненымі шаблонамі і правіламі найменнякаб любы аналітык мог адразу зразумець, што робіць кожнае правіла.

Многія каманды выкарыстоўваюць стандартны фармат, які ўключае загаловак з метададзенымі, тэгамі, якія паказваюць тып пагрозы, суб'екта або платформу, і выразным апісаннем таго, што выяўляеццаГэта дапамагае не толькі ўнутры кампаніі, але і калі вы дзеліцеся правіламі з супольнасцю або ўносіце свой уклад у публічныя рэпазіторыі.

Яшчэ адна рэкамендацыя — заўсёды памятаць, што YARA — гэта яшчэ адзін узровень абароныЯно не замяняе антывіруснае праграмнае забеспячэнне або EDR, а хутчэй дапаўняе іх у стратэгіях Абараніце свой ПК з WindowsУ ідэале, YARA павінна адпавядаць больш шырокім эталонным структурам, такім як структура NIST, якая таксама ахоплівае ідэнтыфікацыю, абарону, выяўленне, рэагаванне і аднаўленне актываў.

З тэхнічнага пункту гледжання, варта прысвяціць час evitar falsos positivosГэта прадугледжвае пазбяганне занадта агульных радкоў, камбінаванне некалькіх умоў і выкарыстанне такіх аператараў, як all of o any of Выкарыстоўвайце свой розум і структурныя ўласцівасці файла. Чым больш канкрэтная логіка паводзін шкоднаснага праграмнага забеспячэння, тым лепш.

Нарэшце, падтрымлівайце дысцыпліну кіраванне версіямі і перыядычны агляд Гэта вельмі важна. Сямействы шкоднасных праграм развіваюцца, індыкатары змяняюцца, і правілы, якія працуюць сёння, могуць не спраўджвацца з працаздольнасцю або састарэць. Перыядычны перагляд і ўдасканаленне набору правілаў — частка гульні ў кошкі-мышкі ў кібербяспецы.

Супольнасць YARA і даступныя рэсурсы

Адной з галоўных прычын, чаму YARA дасягнула такога поспеху, з'яўляецца сіла яе супольнасці. Даследчыкі, ахоўныя фірмы і групы рэагавання з усяго свету пастаянна дзеляцца правіламі, прыкладамі і дакументацыяй.стварэнне вельмі багатай экасістэмы.

Галоўным арыенцірам з'яўляецца Афіцыйны рэпазітар YARA на GitHubТам вы знойдзеце апошнія версіі інструмента, зыходны код і спасылкі на дакументацыю. Адтуль вы можаце сачыць за прагрэсам праекта, паведамляць пра праблемы або ўносіць свой уклад у паляпшэнні, калі хочаце.

Афіцыйная дакументацыя, даступная на такіх платформах, як ReadTheDocs, прапануе поўны дапаможнік па сінтаксісе, даступныя модулі, прыклады правілаў і спасылкі на выкарыстаннеГэта важны рэсурс для выкарыстання найбольш перадавых функцый, такіх як праверка PE, ELF, правілы памяці або інтэграцыя з іншымі інструментамі.

Акрамя таго, існуюць супольныя рэпазіторыі правілаў і сігнатур YARA, дзе аналітыкі з усяго свету... Яны публікуюць гатовыя да выкарыстання зборнікі або зборнікі, якія можна адаптаваць да вашых патрэб.Гэтыя рэпазіторыі звычайна ўключаюць правілы для пэўных сямействаў шкоднасных праграм, эксплойты, шкоднасныя інструменты для пентэставання, вэб-шэлы, крыптамайнеры і многае іншае.

Паралельна, многія вытворцы і даследчыя групы прапануюць Спецыяльная падрыхтоўка ў YARA, ад базавых узроўняў да вельмі прасунутых курсаўГэтыя ініцыятывы часта ўключаюць віртуальныя лабараторыі і практычныя заняткі, заснаваныя на рэальных сцэнарыях. Некаторыя з іх нават прапануюцца бясплатна некамерцыйным арганізацыям або структурам, асабліва ўразлівым да мэтанакіраваных нападаў.

Уся гэтая экасістэма азначае, што прыклаўшы невялікую ўвагу, вы можаце перайсці ад напісання першых асноўных правілаў да распрацоўваць складаныя комплексы, здольныя адсочваць складаныя кампаніі і выяўляць беспрэцэдэнтныя пагрозыА спалучэнне YARA з традыцыйным антывірусам, бяспечным рэзервовым капіяваннем і аналітыкай пагроз значна ўскладняе жыццё зламыснікам, якія блукаюць па Інтэрнэце.

З усяго вышэйсказанага відавочна, што YARA — гэта значна больш, чым простая ўтыліта каманднага радка: гэта pieza clave у любой перадавой стратэгіі выяўлення шкоднасных праграм, гнуткі інструмент, які адаптуецца да вашага мыслення як аналітыка і агульная мова які злучае лабараторыі, SOC і даследчыя супольнасці па ўсім свеце, дазваляючы кожнаму новаму правілу дадаваць яшчэ адзін узровень абароны ад усё больш складаных кампаній.