Πώς να χρησιμοποιήσετε το YARA για προηγμένη ανίχνευση κακόβουλου λογισμικού

¿Πώς να χρησιμοποιήσετε το YARA για προηγμένη ανίχνευση κακόβουλου λογισμικού; Όταν τα παραδοσιακά προγράμματα προστασίας από ιούς φτάνουν στα όριά τους και οι εισβολείς ξεγλιστρούν από κάθε πιθανή ρωγμή, ένα εργαλείο που έχει γίνει απαραίτητο στα εργαστήρια αντιμετώπισης περιστατικών έρχεται στο προσκήνιο: YARA, το «ελβετικό μαχαίρι» για το κυνήγι κακόβουλου λογισμικούΣχεδιασμένο για να περιγράφει οικογένειες κακόβουλου λογισμικού χρησιμοποιώντας κειμενικά και δυαδικά μοτίβα, επιτρέπει την υπέρβαση της απλής αντιστοίχισης κατακερματισμού.

Στα σωστά χέρια, το YARA δεν είναι μόνο για τον εντοπισμό όχι μόνο γνωστά δείγματα κακόβουλου λογισμικού, αλλά και νέες παραλλαγές, exploits zero-day, ακόμη και εμπορικά επιθετικά εργαλείαΣε αυτό το άρθρο, θα εξερευνήσουμε σε βάθος και πρακτικά πώς να χρησιμοποιήσετε το YARA για προηγμένη ανίχνευση κακόβουλου λογισμικού, πώς να γράψετε ισχυρούς κανόνες, πώς να τους δοκιμάσετε, πώς να τους ενσωματώσετε σε πλατφόρμες όπως το Veeam ή στη δική σας ροή εργασίας ανάλυσης και ποιες βέλτιστες πρακτικές ακολουθεί η επαγγελματική κοινότητα.

Τι είναι το YARA και γιατί είναι τόσο ισχυρό στην ανίχνευση κακόβουλου λογισμικού;

Το YARA σημαίνει «Ένα ακόμα αναδρομικό ακρωνύμιο» και έχει γίνει ένα de facto πρότυπο στην ανάλυση απειλών επειδή Επιτρέπει την περιγραφή οικογενειών κακόβουλου λογισμικού χρησιμοποιώντας ευανάγνωστους, σαφείς και εξαιρετικά ευέλικτους κανόνες.Αντί να βασίζεται αποκλειστικά σε στατικές υπογραφές antivirus, το YARA λειτουργεί με μοτίβα που ορίζετε εσείς οι ίδιοι.

Η βασική ιδέα είναι απλή: ένας κανόνας YARA εξετάζει ένα αρχείο (ή μνήμη ή ροή δεδομένων) και ελέγχει εάν πληρούται μια σειρά από συνθήκες. συνθήκες που βασίζονται σε συμβολοσειρές κειμένου, δεκαεξαδικές ακολουθίες, κανονικές εκφράσεις ή ιδιότητες αρχείουΕάν πληρούται η συνθήκη, υπάρχει μια "αντιστοίχιση" και μπορείτε να ειδοποιήσετε, να αποκλείσετε ή να εκτελέσετε πιο εις βάθος ανάλυση.

Αυτή η προσέγγιση επιτρέπει στις ομάδες ασφαλείας Εντοπίστε και ταξινομήστε κακόβουλο λογισμικό όλων των τύπων: κλασικούς ιούς, worms, Trojans, ransomware, webshells, cryptominers, κακόβουλες μακροεντολές και πολλά άλλαΔεν περιορίζεται σε συγκεκριμένες επεκτάσεις ή μορφές αρχείων, επομένως ανιχνεύει επίσης ένα μεταμφιεσμένο εκτελέσιμο αρχείο με επέκταση .pdf ή ένα αρχείο HTML που περιέχει ένα webshell.

Επιπλέον, το YARA είναι ήδη ενσωματωμένο σε πολλές βασικές υπηρεσίες και εργαλεία του οικοσυστήματος κυβερνοασφάλειας: VirusTotal, sandboxes όπως το Cuckoo, πλατφόρμες δημιουργίας αντιγράφων ασφαλείας όπως το Veeam ή λύσεις κυνηγιού απειλών από κορυφαίους κατασκευαστέςΕπομένως, η γνώση του YARA έχει γίνει σχεδόν απαραίτητη για προχωρημένους αναλυτές και ερευνητές.

Προηγμένες περιπτώσεις χρήσης του YARA στην ανίχνευση κακόβουλου λογισμικού

Ένα από τα δυνατά σημεία του YARA είναι ότι προσαρμόζεται σαν γάντι σε πολλαπλά σενάρια ασφαλείας, από το SOC έως το εργαστήριο κακόβουλου λογισμικού. Οι ίδιοι κανόνες ισχύουν τόσο για τις μεμονωμένες κυνηγετικές δραστηριότητες όσο και για τη συνεχή παρακολούθηση..

Η πιο άμεση περίπτωση αφορά τη δημιουργία συγκεκριμένοι κανόνες για συγκεκριμένο κακόβουλο λογισμικό ή ολόκληρες οικογένειεςΕάν ο οργανισμός σας δέχεται επίθεση από μια καμπάνια που βασίζεται σε μια γνωστή οικογένεια (για παράδειγμα, ένα trojan απομακρυσμένης πρόσβασης ή μια απειλή APT), μπορείτε να δημιουργήσετε προφίλ χαρακτηριστικών συμβολοσειρών και μοτίβων και να δημιουργήσετε κανόνες που εντοπίζουν γρήγορα νέα σχετικά δείγματα.

Μια άλλη κλασική χρήση είναι η εστίαση του YARA βασισμένο σε υπογραφέςΑυτοί οι κανόνες έχουν σχεδιαστεί για να εντοπίζουν hashes, πολύ συγκεκριμένες συμβολοσειρές κειμένου, τμήματα κώδικα, κλειδιά μητρώου ή ακόμα και συγκεκριμένες ακολουθίες byte που επαναλαμβάνονται σε πολλαπλές παραλλαγές του ίδιου κακόβουλου λογισμικού. Ωστόσο, λάβετε υπόψη ότι εάν αναζητάτε μόνο ασήμαντες συμβολοσειρές, κινδυνεύετε να δημιουργήσετε ψευδώς θετικά αποτελέσματα.

Η YARA διαπρέπει επίσης στο φιλτράρισμα τύποι αρχείων ή δομικά χαρακτηριστικάΕίναι δυνατό να δημιουργήσετε κανόνες που ισχύουν για εκτελέσιμα αρχεία PE, έγγραφα γραφείου, PDF ή σχεδόν οποιαδήποτε μορφή, συνδυάζοντας συμβολοσειρές με ιδιότητες όπως το μέγεθος αρχείου, συγκεκριμένες κεφαλίδες (π.χ., 0x5A4D για εκτελέσιμα αρχεία PE) ή εισαγωγές ύποπτων συναρτήσεων.

Στα σύγχρονα περιβάλλοντα, η χρήση του συνδέεται με πληροφορίες για απειλέςΤα δημόσια αποθετήρια, οι ερευνητικές αναφορές και οι ροές IOC μεταφράζονται σε κανόνες YARA που ενσωματώνονται σε SIEM, EDR, πλατφόρμες δημιουργίας αντιγράφων ασφαλείας ή sandboxes. Αυτό επιτρέπει στους οργανισμούς να γρήγορος εντοπισμός αναδυόμενων απειλών που έχουν κοινά χαρακτηριστικά με καμπάνιες που έχουν ήδη αναλυθεί.

Κατανόηση της σύνταξης των κανόνων YARA

Η σύνταξη της YARA είναι αρκετά παρόμοια με αυτή της C, αλλά με έναν απλούστερο και πιο εστιασμένο τρόπο. Κάθε κανόνας αποτελείται από ένα όνομα, μια προαιρετική ενότητα μεταδεδομένων, μια ενότητα συμβολοσειράς και, απαραίτητα, μια ενότητα συνθήκης.Από εδώ και στο εξής, η δύναμη βρίσκεται στο πώς τα συνδυάζεις όλα αυτά.

Το πρώτο είναι το όνομα κανόναΠρέπει να μπαίνει αμέσως μετά τη λέξη-κλειδί αποφανθεί (o χάρακας Εάν κάνετε έγγραφο στα Ισπανικά, παρόλο που η λέξη-κλειδί στο αρχείο θα είναι αποφανθείκαι πρέπει να είναι ένα έγκυρο αναγνωριστικό: χωρίς κενά, χωρίς αριθμούς και χωρίς υπογράμμιση. Είναι καλή ιδέα να ακολουθήσετε μια σαφή σύμβαση, για παράδειγμα κάτι σαν Κακόβουλο_πρόγραμμα_οικογένειας_παραλλαγή o Εργαλείο_ηθοποιού_APT, το οποίο σας επιτρέπει να προσδιορίσετε με μια ματιά τι προορίζεται να ανιχνεύσει.

Στη συνέχεια έρχεται η ενότητα χορδέςόπου ορίζετε τα μοτίβα που θέλετε να αναζητήσετε. Εδώ μπορείτε να χρησιμοποιήσετε τρεις κύριους τύπους: συμβολοσειρές κειμένου, δεκαεξαδικές ακολουθίες και κανονικές εκφράσειςΟι συμβολοσειρές κειμένου είναι ιδανικές για αποσπάσματα κώδικα, URL, εσωτερικά μηνύματα, ονόματα διαδρομών ή PDB αναγνώσιμα από τον άνθρωπο. Τα δεκαεξαδικά σάς επιτρέπουν να καταγράφετε ακατέργαστα μοτίβα byte, τα οποία είναι πολύ χρήσιμα όταν ο κώδικας είναι συσκοτισμένος αλλά διατηρεί ορισμένες σταθερές ακολουθίες.

Οι κανονικές εκφράσεις παρέχουν ευελιξία όταν χρειάζεται να καλύψετε μικρές παραλλαγές σε μια συμβολοσειρά, όπως αλλαγή τομέων ή ελαφρώς τροποποιημένα μέρη κώδικα. Επιπλέον, τόσο οι συμβολοσειρές όσο και το regex επιτρέπουν στα escapes να αναπαριστούν αυθαίρετα bytes., το οποίο ανοίγει την πόρτα σε πολύ ακριβή υβριδικά μοτίβα.

Τμήμα κατάσταση Είναι το μόνο υποχρεωτικό και ορίζει πότε ένας κανόνας θεωρείται ότι "ταιριάζει" με ένα αρχείο. Εκεί χρησιμοποιείτε λογικές και αριθμητικές πράξεις (και, ή, όχι, +, -, *, /, οποιοδήποτε, όλα, περιέχει, κ.λπ.) για να εκφράσει λεπτότερη λογική ανίχνευσης από ένα απλό "αν εμφανιστεί αυτή η συμβολοσειρά".

Για παράδειγμα, μπορείτε να καθορίσετε ότι ο κανόνας είναι έγκυρος μόνο εάν το αρχείο είναι μικρότερο από ένα συγκεκριμένο μέγεθος, εάν εμφανίζονται όλες οι κρίσιμες συμβολοσειρές ή εάν υπάρχει τουλάχιστον μία από πολλές συμβολοσειρές. Μπορείτε επίσης να συνδυάσετε συνθήκες όπως το μήκος συμβολοσειράς, τον αριθμό των αντιστοιχίσεων, συγκεκριμένες μετατοπίσεις στο αρχείο ή το μέγεθος του ίδιου του αρχείου.Η δημιουργικότητα εδώ κάνει τη διαφορά μεταξύ γενικών κανόνων και χειρουργικών ανιχνεύσεων.

Τέλος, έχετε την προαιρετική ενότητα μεταΙδανικό για την καταγραφή της περιόδου. Είναι σύνηθες να συμπεριλαμβάνεται συγγραφέας, ημερομηνία δημιουργίας, περιγραφή, εσωτερική έκδοση, αναφορά σε αναφορές ή αιτήματα και, γενικά, οποιαδήποτε πληροφορία που βοηθά στη διατήρηση της οργάνωσης και της κατανόησης του αποθετηρίου από άλλους αναλυτές.

Πρακτικά παραδείγματα προηγμένων κανόνων YARA

Για να θέσουμε όλα τα παραπάνω σε προοπτική, είναι χρήσιμο να δούμε πώς δομείται ένας απλός κανόνας και πώς γίνεται πιο περίπλοκος όταν εμπλέκονται εκτελέσιμα αρχεία, ύποπτες εισαγωγές ή επαναλαμβανόμενες ακολουθίες εντολών. Ας ξεκινήσουμε με ένα χάρακα παιχνιδιών και ας αυξήσουμε σταδιακά το μέγεθος..

Ένας ελάχιστος κανόνας μπορεί να περιέχει μόνο μια συμβολοσειρά και μια συνθήκη που τον καθιστά υποχρεωτικό. Για παράδειγμα, θα μπορούσατε να αναζητήσετε μια συγκεκριμένη συμβολοσειρά κειμένου ή μια ακολουθία byte που αντιπροσωπεύει ένα τμήμα κακόβουλου λογισμικού. Η συνθήκη, σε αυτήν την περίπτωση, θα δηλώνει απλώς ότι ο κανόνας πληρούται εάν εμφανιστεί αυτή η συμβολοσειρά ή το μοτίβο., χωρίς περαιτέρω φίλτρα.

Ωστόσο, σε πραγματικές συνθήκες αυτό δεν είναι εφικτό, επειδή Οι απλές αλυσίδες συχνά παράγουν πολλά ψευδώς θετικά αποτελέσματαΓι' αυτό είναι σύνηθες να συνδυάζονται αρκετές συμβολοσειρές (κειμένου και δεκαεξαδικές) με πρόσθετους περιορισμούς: το αρχείο να μην υπερβαίνει ένα συγκεκριμένο μέγεθος, να περιέχει συγκεκριμένες κεφαλίδες ή να ενεργοποιείται μόνο εάν βρεθεί τουλάχιστον μία συμβολοσειρά από κάθε καθορισμένη ομάδα.

Ένα τυπικό παράδειγμα στην ανάλυση εκτελέσιμων PE περιλαμβάνει την εισαγωγή της ενότητας pe από το YARA, το οποίο σας επιτρέπει να υποβάλετε ερώτημα για εσωτερικές ιδιότητες του δυαδικού αρχείου: εισαγόμενες συναρτήσεις, ενότητες, χρονικές σημάνσεις κ.λπ. Ένας προηγμένος κανόνας θα μπορούσε να απαιτήσει την εισαγωγή του αρχείου Δημιουργία επεξεργασίας από Kernel32.dll και κάποια συνάρτηση HTTP από wininet.dll, εκτός από το ότι περιέχει μια συγκεκριμένη συμβολοσειρά που υποδεικνύει κακόβουλη συμπεριφορά.

Αυτός ο τύπος λογικής είναι ιδανικός για τον εντοπισμό Trojans με δυνατότητες απομακρυσμένης σύνδεσης ή εξαγωγήςακόμα και όταν τα ονόματα αρχείων ή οι διαδρομές αλλάζουν από τη μία καμπάνια στην άλλη. Το σημαντικό είναι να εστιάσετε στην υποκείμενη συμπεριφορά: δημιουργία διεργασιών, αιτήματα HTTP, κρυπτογράφηση, διατήρηση κ.λπ.

Μια άλλη πολύ αποτελεσματική τεχνική είναι να εξετάσουμε ακολουθίες εντολών που επαναλαμβάνονται μεταξύ δειγμάτων από την ίδια οικογένεια. Ακόμα κι αν οι εισβολείς συσκευάσουν ή αποκρύψουν το δυαδικό αρχείο, συχνά επαναχρησιμοποιούν τμήματα κώδικα που είναι δύσκολο να αλλάξουν. Εάν, μετά από στατική ανάλυση, βρείτε σταθερά μπλοκ εντολών, μπορείτε να διατυπώσετε έναν κανόνα με μπαλαντέρ σε δεκαεξαδικές συμβολοσειρές που αποτυπώνει αυτό το μοτίβο διατηρώντας παράλληλα μια ορισμένη ανοχή.

Με αυτούς τους κανόνες «βασισμένους στη συμπεριφορά κώδικα» είναι δυνατό παρακολούθηση ολόκληρων καμπανιών κακόβουλου λογισμικού όπως αυτές των PlugX/Korplug ή άλλων οικογενειών APTΔεν ανιχνεύετε απλώς ένα συγκεκριμένο hash, αλλά ακολουθείτε το στυλ ανάπτυξης, ας πούμε, των επιτιθέμενων.

Χρήση του YARA σε πραγματικές καμπάνιες και απειλές zero-day

Το YARA έχει αποδείξει την αξία του, ειδικά στον τομέα των προηγμένων απειλών και των zero-day exploits, όπου οι κλασικοί μηχανισμοί προστασίας φτάνουν πολύ αργά. Ένα πολύ γνωστό παράδειγμα είναι η χρήση του YARA για τον εντοπισμό ενός exploit στο Silverlight από ελάχιστες διαρροές πληροφοριών..

Σε αυτήν την περίπτωση, από email που κλάπηκαν από μια εταιρεία που ασχολείται με την ανάπτυξη επιθετικών εργαλείων, εξήχθησαν επαρκή μοτίβα για τη δημιουργία ενός κανόνα προσανατολισμένου σε ένα συγκεκριμένο exploit. Με αυτόν τον μοναδικό κανόνα, οι ερευνητές μπόρεσαν να εντοπίσουν το δείγμα μέσα από μια θάλασσα ύποπτων αρχείων.Εντοπίστε το exploit και επιβάλετε την ενημέρωση κώδικα, αποτρέποντας πολύ πιο σοβαρές ζημιές.

Αυτού του είδους οι ιστορίες δείχνουν πώς το YARA μπορεί να λειτουργήσει ως δίχτυ ψαρέματος σε μια θάλασσα από αρχείαΦανταστείτε το εταιρικό σας δίκτυο ως έναν ωκεανό γεμάτο «ψάρια» (αρχεία) κάθε είδους. Οι κανόνες σας είναι σαν διαμερίσματα σε ένα δίχτυ τράτας: κάθε διαμέρισμα περιέχει τα ψάρια που ταιριάζουν σε συγκεκριμένα χαρακτηριστικά.

Όταν τελειώσετε το drag, έχετε δείγματα ομαδοποιημένα κατά ομοιότητα με συγκεκριμένες οικογένειες ή ομάδες επιτιθέμενων: «παρόμοιο με το είδος Χ», «παρόμοιο με το είδος Υ», κ.λπ. Μερικά από αυτά τα δείγματα μπορεί να είναι εντελώς καινούργια για εσάς (νέα δυαδικά αρχεία, νέες καμπάνιες), αλλά ταιριάζουν σε ένα γνωστό μοτίβο, το οποίο επιταχύνει την ταξινόμηση και την αντίδρασή σας.

Για να αξιοποιήσουν στο έπακρο το YARA σε αυτό το πλαίσιο, πολλοί οργανισμοί συνδυάζουν προηγμένη εκπαίδευση, πρακτικά εργαστήρια και ελεγχόμενα περιβάλλοντα πειραματισμούΥπάρχουν εξειδικευμένα μαθήματα αφιερωμένα αποκλειστικά στην τέχνη της σύνταξης καλών κανόνων, συχνά βασισμένα σε πραγματικές περιπτώσεις κυβερνοκατασκοπείας, στα οποία οι μαθητές εξασκούνται με αυθεντικά δείγματα και μαθαίνουν να αναζητούν «κάτι» ακόμα και όταν δεν ξέρουν ακριβώς τι ψάχνουν.

Ενσωματώστε το YARA σε πλατφόρμες δημιουργίας αντιγράφων ασφαλείας και ανάκτησης

Ένας τομέας στον οποίο το YARA ταιριάζει απόλυτα και ο οποίος συχνά περνάει κάπως απαρατήρητος, είναι η προστασία των αντιγράφων ασφαλείας. Εάν τα αντίγραφα ασφαλείας έχουν μολυνθεί με κακόβουλο λογισμικό ή ransomware, μια επαναφορά μπορεί να επανεκκινήσει ολόκληρη την καμπάνια.Γι' αυτόν τον λόγο ορισμένοι κατασκευαστές έχουν ενσωματώσει κινητήρες YARA απευθείας στις λύσεις τους.

Μπορούν να λανσαριστούν πλατφόρμες δημιουργίας αντιγράφων ασφαλείας επόμενης γενιάς Συνεδρίες ανάλυσης βασισμένες σε κανόνες YARA σε σημεία επαναφοράςΟ στόχος είναι διττός: να εντοπιστεί το τελευταίο «καθαρό» σημείο πριν από ένα περιστατικό και να εντοπιστεί κακόβουλο περιεχόμενο κρυμμένο σε αρχεία που ενδέχεται να μην έχουν ενεργοποιηθεί από άλλους ελέγχους.

Σε αυτά τα περιβάλλοντα, η τυπική διαδικασία περιλαμβάνει την επιλογή μιας επιλογής όπως «Σάρωση σημείων επαναφοράς με χάρακα YARA"κατά τη διάρκεια της διαμόρφωσης μιας εργασίας ανάλυσης. Στη συνέχεια, καθορίζεται η διαδρομή προς το αρχείο κανόνων (συνήθως με την επέκταση .yara ή .yar), το οποίο συνήθως αποθηκεύεται σε έναν φάκελο διαμόρφωσης που αφορά συγκεκριμένα τη λύση δημιουργίας αντιγράφων ασφαλείας."

Κατά την εκτέλεση, η μηχανή επαναλαμβάνει τα αντικείμενα που περιέχονται στο αντίγραφο, εφαρμόζει τους κανόνες και Καταγράφει όλες τις αντιστοιχίσεις σε ένα συγκεκριμένο αρχείο καταγραφής ανάλυσης YARA.Ο διαχειριστής μπορεί να δει αυτά τα αρχεία καταγραφής από την κονσόλα, να ελέγξει τα στατιστικά στοιχεία, να δει ποια αρχεία ενεργοποίησαν την ειδοποίηση, ακόμη και να εντοπίσει σε ποιους υπολογιστές και σε ποια συγκεκριμένη ημερομηνία αντιστοιχεί κάθε αντιστοίχιση.

Αυτή η ενσωμάτωση συμπληρώνεται από άλλους μηχανισμούς, όπως π. ανίχνευση ανωμαλιών, παρακολούθηση μεγέθους αντιγράφων ασφαλείας, αναζήτηση συγκεκριμένων IOC ή ανάλυση ύποπτων εργαλείωνΑλλά όταν πρόκειται για κανόνες προσαρμοσμένους σε μια συγκεκριμένη οικογένεια ή καμπάνια ransomware, το YARA είναι το καλύτερο εργαλείο για τη βελτίωση αυτής της αναζήτησης.

Πώς να δοκιμάσετε και να επικυρώσετε τους κανόνες YARA χωρίς να διαταράξετε το δίκτυό σας

Μόλις αρχίσετε να γράφετε τους δικούς σας κανόνες, το επόμενο κρίσιμο βήμα είναι να τους δοκιμάσετε διεξοδικά. Ένας υπερβολικά επιθετικός κανόνας μπορεί να δημιουργήσει μια πλημμύρα ψευδώς θετικών αποτελεσμάτων, ενώ ένας υπερβολικά χαλαρός μπορεί να αφήσει να ξεφύγουν πραγματικές απειλές.Γι' αυτό το λόγο η φάση των δοκιμών είναι εξίσου σημαντική με τη φάση της γραφής.

Τα καλά νέα είναι ότι δεν χρειάζεται να δημιουργήσετε ένα εργαστήριο γεμάτο με λειτουργικό κακόβουλο λογισμικό και να μολύνετε το μισό δίκτυο για να το κάνετε αυτό. Υπάρχουν ήδη αποθετήρια και σύνολα δεδομένων που προσφέρουν αυτές τις πληροφορίες. γνωστά και ελεγχόμενα δείγματα κακόβουλου λογισμικού για ερευνητικούς σκοπούςΜπορείτε να κατεβάσετε αυτά τα δείγματα σε ένα απομονωμένο περιβάλλον και να τα χρησιμοποιήσετε ως πλατφόρμα δοκιμών για τους κανόνες σας.

Η συνήθης προσέγγιση είναι να ξεκινήσετε εκτελώντας το YARA τοπικά, από τη γραμμή εντολών, σε έναν κατάλογο που περιέχει ύποπτα αρχεία. Αν οι κανόνες σας ταιριάζουν εκεί που πρέπει και σπάνε ελάχιστα σε καθαρά αρχεία, τότε είστε στο σωστό δρόμο.Εάν ενεργοποιούνται πάρα πολύ, ήρθε η ώρα να ελέγξετε τις συμβολοσειρές, να βελτιώσετε τις συνθήκες ή να εισαγάγετε πρόσθετους περιορισμούς (μέγεθος, εισαγωγές, μετατοπίσεις κ.λπ.).

Ένα άλλο βασικό σημείο είναι να διασφαλίσετε ότι οι κανόνες σας δεν θέτουν σε κίνδυνο την απόδοση. Κατά τη σάρωση μεγάλων καταλόγων, πλήρων αντιγράφων ασφαλείας ή μαζικών συλλογών δειγμάτων, Οι κακώς βελτιστοποιημένοι κανόνες μπορούν να επιβραδύνουν την ανάλυση ή να καταναλώσουν περισσότερους πόρους από τους επιθυμητούς.Επομένως, συνιστάται η μέτρηση των χρονισμών, η απλοποίηση των περίπλοκων εκφράσεων και η αποφυγή υπερβολικά βαριάς regex.

Αφού περάσετε από αυτό το στάδιο εργαστηριακών δοκιμών, θα είστε σε θέση να Προώθηση των κανόνων στο περιβάλλον παραγωγήςΕίτε πρόκειται για το SIEM σας, τα συστήματα δημιουργίας αντιγράφων ασφαλείας σας, τους διακομιστές email ή οπουδήποτε θέλετε να τα ενσωματώσετε. Και μην ξεχνάτε να διατηρείτε έναν συνεχή κύκλο αναθεώρησης: καθώς οι καμπάνιες εξελίσσονται, οι κανόνες σας θα χρειάζονται περιοδικές προσαρμογές.

Εργαλεία, προγράμματα και ροή εργασίας με το YARA

Πέρα από το επίσημο δυαδικό αρχείο, πολλοί επαγγελματίες έχουν αναπτύξει μικρά προγράμματα και σενάρια γύρω από το YARA για να διευκολύνουν την καθημερινή χρήση του. Μια τυπική προσέγγιση περιλαμβάνει τη δημιουργία μιας εφαρμογής για συναρμολογήστε το δικό σας κιτ ασφαλείας που διαβάζει αυτόματα όλους τους κανόνες σε έναν φάκελο και τους εφαρμόζει σε έναν κατάλογο ανάλυσης.

Αυτοί οι τύποι αυτοσχέδιων εργαλείων συνήθως λειτουργούν με μια απλή δομή καταλόγου: έναν φάκελο για το κανόνες που έχουν ληφθεί από το Διαδίκτυο (για παράδειγμα, “rulesyar”) και έναν άλλο φάκελο για το ύποπτα αρχεία που θα αναλυθούν (για παράδειγμα, «κακόβουλο λογισμικό»). Όταν ξεκινά το πρόγραμμα, ελέγχει ότι υπάρχουν και οι δύο φάκελοι, εμφανίζει τους κανόνες στην οθόνη και προετοιμάζεται για εκτέλεση.

Όταν πατάτε ένα κουμπί όπως «Έναρξη ελέγχουΣτη συνέχεια, η εφαρμογή εκκινεί το εκτελέσιμο αρχείο YARA με τις επιθυμητές παραμέτρους: σάρωση όλων των αρχείων στον φάκελο, αναδρομική ανάλυση υποκαταλόγων, εξαγωγή στατιστικών, εκτύπωση μεταδεδομένων κ.λπ. Οποιεσδήποτε αντιστοιχίες εμφανίζονται σε ένα παράθυρο αποτελεσμάτων, υποδεικνύοντας ποιο αρχείο αντιστοιχούσε σε ποιον κανόνα.

Αυτή η ροή εργασίας επιτρέπει, για παράδειγμα, τον εντοπισμό προβλημάτων σε μια παρτίδα εξαγόμενων email. κακόβουλες ενσωματωμένες εικόνες, επικίνδυνα συνημμένα ή webshells κρυμμένα σε φαινομενικά αβλαβή αρχείαΠολλές εγκληματολογικές έρευνες σε εταιρικά περιβάλλοντα βασίζονται ακριβώς σε αυτόν τον τύπο μηχανισμού.

Όσον αφορά τις πιο χρήσιμες παραμέτρους κατά την κλήση του YARA, ξεχωρίζουν επιλογές όπως οι ακόλουθες: -r για αναδρομική αναζήτηση, -S για εμφάνιση στατιστικών, -m για εξαγωγή μεταδεδομένων και -w για αγνόηση προειδοποιήσεωνΣυνδυάζοντας αυτές τις σημαίες, μπορείτε να προσαρμόσετε τη συμπεριφορά στην περίπτωσή σας: από μια γρήγορη ανάλυση σε έναν συγκεκριμένο κατάλογο έως μια πλήρη σάρωση μιας σύνθετης δομής φακέλων.

Βέλτιστες πρακτικές κατά τη σύνταξη και τη διατήρηση κανόνων YARA

Για να αποτρέψετε το αποθετήριο κανόνων σας από το να γίνει ένα μη διαχειρίσιμο χάος, συνιστάται να εφαρμόσετε μια σειρά από βέλτιστες πρακτικές. Το πρώτο είναι να εργαστείτε με συνεπή πρότυπα και συμβάσεις ονοματοδοσίαςέτσι ώστε οποιοσδήποτε αναλυτής να μπορεί να καταλάβει με μια ματιά τι κάνει κάθε κανόνας.

Πολλές ομάδες υιοθετούν μια τυποποιημένη μορφή που περιλαμβάνει κεφαλίδα με μεταδεδομένα, ετικέτες που υποδεικνύουν τον τύπο απειλής, τον δράστη ή την πλατφόρμα και μια σαφή περιγραφή του τι ανιχνεύεταιΑυτό βοηθάει όχι μόνο εσωτερικά, αλλά και όταν μοιράζεστε κανόνες με την κοινότητα ή συνεισφέρετε σε δημόσια αποθετήρια.

Μια άλλη συμβουλή είναι να θυμάστε πάντα ότι Το YARA είναι απλώς ένα ακόμη επίπεδο άμυνας.Δεν αντικαθιστά το λογισμικό προστασίας από ιούς ή το EDR, αλλά μάλλον τα συμπληρώνει σε στρατηγικές για Προστατέψτε τον υπολογιστή σας με WindowsΙδανικά, το YARA θα πρέπει να εντάσσεται σε ευρύτερα πλαίσια αναφοράς, όπως το πλαίσιο NIST, το οποίο ασχολείται επίσης με την αναγνώριση, την προστασία, την ανίχνευση, την αντιμετώπιση και την ανάκτηση περιουσιακών στοιχείων.

Από τεχνικής άποψης, αξίζει να αφιερωθεί χρόνος για να αποφύγετε τα ψευδώς θετικάΑυτό περιλαμβάνει την αποφυγή υπερβολικά γενικών συμβολοσειρών, τον συνδυασμό πολλών συνθηκών και τη χρήση τελεστών όπως όλα o οποιοδήποτε από Χρησιμοποιήστε το μυαλό σας και επωφεληθείτε από τις δομικές ιδιότητες του αρχείου. Όσο πιο συγκεκριμένη είναι η λογική που περιβάλλει τη συμπεριφορά του κακόβουλου λογισμικού, τόσο το καλύτερο.

Τέλος, διατηρήστε πειθαρχία έκδοση και περιοδική αναθεώρηση Είναι κρίσιμο. Οι οικογένειες κακόβουλου λογισμικού εξελίσσονται, οι δείκτες αλλάζουν και οι κανόνες που λειτουργούν σήμερα ενδέχεται να μην επαρκούν ή να καταστούν παρωχημένοι. Η περιοδική αναθεώρηση και βελτίωση του συνόλου κανόνων σας αποτελεί μέρος του παιχνιδιού της γάτας με το ποντίκι στην κυβερνοασφάλεια.

Η κοινότητα YARA και οι διαθέσιμοι πόροι

Ένας από τους κύριους λόγους που η YARA έχει φτάσει μέχρι εδώ είναι η δύναμη της κοινότητάς της. Ερευνητές, εταιρείες ασφαλείας και ομάδες αντιμετώπισης προβλημάτων από όλο τον κόσμο μοιράζονται συνεχώς κανόνες, παραδείγματα και τεκμηρίωση.δημιουργώντας ένα πολύ πλούσιο οικοσύστημα.

Το κύριο σημείο αναφοράς είναι η Το επίσημο αποθετήριο του YARA στο GitHubΕκεί θα βρείτε τις πιο πρόσφατες εκδόσεις του εργαλείου, τον πηγαίο κώδικα και συνδέσμους προς την τεκμηρίωση. Από εκεί μπορείτε να παρακολουθείτε την πρόοδο του έργου, να αναφέρετε προβλήματα ή να συνεισφέρετε βελτιώσεις, αν θέλετε.

Η επίσημη τεκμηρίωση, διαθέσιμη σε πλατφόρμες όπως το ReadTheDocs, προσφέρει ένας πλήρης οδηγός σύνταξης, διαθέσιμες ενότητες, παραδείγματα κανόνων και αναφορές χρήσηςΕίναι ένας απαραίτητος πόρος για την αξιοποίηση των πιο προηγμένων λειτουργιών, όπως η επιθεώρηση PE, το ELF, οι κανόνες μνήμης ή οι ενσωματώσεις με άλλα εργαλεία.

Επιπλέον, υπάρχουν κοινοτικά αποθετήρια κανόνων και υπογραφών YARA όπου αναλυτές από όλο τον κόσμο Δημοσιεύουν έτοιμες προς χρήση συλλογές ή συλλογές που μπορούν να προσαρμοστούν στις ανάγκες σας.Αυτά τα αποθετήρια συνήθως περιλαμβάνουν κανόνες για συγκεκριμένες οικογένειες κακόβουλου λογισμικού, κιτ εκμετάλλευσης, κακόβουλα χρησιμοποιούμενα εργαλεία διείσδυσης, webshells, cryptominers και πολλά άλλα.

Παράλληλα, πολλοί κατασκευαστές και ερευνητικές ομάδες προσφέρουν Εξειδικευμένη εκπαίδευση στο YARA, από βασικά επίπεδα έως πολύ προχωρημένα μαθήματαΑυτές οι πρωτοβουλίες συχνά περιλαμβάνουν εικονικά εργαστήρια και πρακτικές ασκήσεις βασισμένες σε σενάρια πραγματικού κόσμου. Ορισμένες μάλιστα προσφέρονται δωρεάν σε μη κερδοσκοπικούς οργανισμούς ή οντότητες που είναι ιδιαίτερα ευάλωτες σε στοχευμένες επιθέσεις.

Αυτό το οικοσύστημα σημαίνει ότι, με λίγη αφοσίωση, μπορείτε να προχωρήσετε από τη σύνταξη των πρώτων βασικών κανόνων σας στο ανάπτυξη εξελιγμένων σουιτών ικανών να παρακολουθούν πολύπλοκες καμπάνιες και να ανιχνεύουν πρωτοφανείς απειλέςΚαι, συνδυάζοντας το YARA με το παραδοσιακό antivirus, το ασφαλές αντίγραφο ασφαλείας και την πληροφόρηση για απειλές, δυσκολεύετε σημαντικά τα πράγματα για κακόβουλους παράγοντες που περιφέρονται στο διαδίκτυο.

Με όλα τα παραπάνω, είναι σαφές ότι το YARA είναι κάτι πολύ περισσότερο από ένα απλό βοηθητικό πρόγραμμα γραμμής εντολών: είναι ένα βασικό κομμάτι σε οποιαδήποτε προηγμένη στρατηγική ανίχνευσης κακόβουλου λογισμικού, ένα ευέλικτο εργαλείο που προσαρμόζεται στον τρόπο σκέψης σας ως αναλυτής και κοινή γλώσσα που συνδέει εργαστήρια, SOC και ερευνητικές κοινότητες σε όλο τον κόσμο, επιτρέποντας σε κάθε νέο κανόνα να προσθέτει ένα ακόμη επίπεδο προστασίας έναντι ολοένα και πιο εξελιγμένων καμπανιών.