Kuidas kasutada YARA-t täiustatud pahavara tuvastamiseks

¿Kuidas kasutada YARA-t täiustatud pahavara tuvastamiseks? Kui traditsioonilised viirusetõrjeprogrammid jõuavad oma piirini ja ründajad lipsavad läbi iga võimaliku prao, tuleb mängu tööriist, mis on muutunud intsidentidele reageerimise laborites asendamatuks: YARA, pahavara jahtimise „Šveitsi nuga“See on loodud pahatahtliku tarkvara perekondade kirjeldamiseks teksti- ja binaarsete mustrite abil ning võimaldab minna kaugemale lihtsast räsi sobitamisest.

Õigetes kätes ei ole YARA ainult asukoha määramiseks mitte ainult teadaolevad pahavara näidised, vaid ka uued variandid, nullpäeva ärakasutamised ja isegi kommertslikud ründavad tööriistadSelles artiklis uurime põhjalikult ja praktiliselt, kuidas kasutada YARA-d täiustatud pahavara tuvastamiseks, kuidas kirjutada robustseid reegleid, kuidas neid testida, kuidas neid integreerida platvormidesse nagu Veeam või oma analüüsi töövoogu ning milliseid parimaid tavasid professionaalide kogukond järgib.

Mis on YARA ja miks see on pahavara tuvastamisel nii võimas?

YARA tähistab „Veel ühte rekursiivset lühendit“ ja sellest on saanud ohuanalüüsi de facto standard, kuna See võimaldab kirjeldada pahavara perekondi loetavate, selgete ja väga paindlike reeglite abil.Selle asemel, et toetuda ainult staatiliste viirusetõrje signatuuride peale, töötab YARA mustritega, mille te ise määratlete.

Põhiidee on lihtne: YARA reegel uurib faili (või mälu või andmevoogu) ja kontrollib, kas on täidetud teatud tingimused. tingimused, mis põhinevad tekstistringidel, heksadetsimaalsetel järjestustel, regulaaravaldistel või faili omadustelKui tingimus on täidetud, on olemas „vaste“ ja saate hoiatada, blokeerida või teha põhjalikumat analüüsi.

See lähenemisviis võimaldab turvameeskondadel Tuvastage ja liigitage igat tüüpi pahavara: klassikalised viirused, ussid, troojalased, lunavara, veebikoored, krüptokaevandajad, pahatahtlikud makrod ja palju muudSee ei piirdu kindlate faililaiendite või -vormingutega, seega tuvastab see ka varjatud käivitatava faili laiendiga .pdf või veebikesta sisaldava HTML-faili.

Lisaks on YARA juba integreeritud paljudesse küberturvalisuse ökosüsteemi võtmeteenustesse ja -tööriistadesse: VirusTotal, liivakastid nagu Cuckoo, varundusplatvormid nagu Veeam või tipptootjate ohujahi lahendusedSeetõttu on YARA valdamine arenenud analüütikute ja teadlaste jaoks peaaegu kohustuslikuks muutunud.

YARA täiustatud kasutusjuhud pahavara tuvastamisel

Üks YARA tugevusi on see, et see kohandub suurepäraselt mitmete turvastsenaariumidega, alates turvakeskusest kuni pahavara laborini. Samad reeglid kehtivad nii ühekordsete jahtide kui ka pideva seire puhul..

Kõige otsesem juhtum hõlmab loomist konkreetsed reeglid konkreetse pahavara või tervete pahavaraperede jaoksKui teie organisatsiooni ründab teadaoleval perekonnal põhinev kampaania (näiteks kaugjuurdepääsuga trooja või APT oht), saate profileerida iseloomulikke stringe ja mustreid ning luua reegleid, mis tuvastavad kiiresti uued seotud näidised.

Teine klassikaline kasutusala on keskendumine YARA allkirjade põhjalNeed reeglid on loodud räsikoodide, väga spetsiifiliste tekstistringide, koodijuppide, registrivõtmete või isegi sama pahavara mitmes variandis korduvate konkreetsete baitjärjestuste leidmiseks. Pidage siiski meeles, et kui otsite ainult triviaalseid stringe, on oht saada valepositiivseid tulemusi.

YARA särab ka filtreerimise osas failitüübid või struktuurilised omadusedPE käivitatavatele failidele, Office'i dokumentidele, PDF-idele või praktiliselt igale vormingule kehtivaid reegleid on võimalik luua, kombineerides stringe selliste omadustega nagu faili suurus, konkreetsed päised (nt 0x5A4D PE käivitatavate failide puhul) või kahtlaste funktsioonide import.

Tänapäevases keskkonnas on selle kasutamine seotud inteligencia de amenazasAvalikud repositooriumid, uurimisaruanded ja IOC-kanalid tõlgitakse YARA reegliteks, mis on integreeritud SIEM-i, EDR-i, varundusplatvormidesse või liivakastidesse. See võimaldab organisatsioonidel tuvastada kiiresti uusi ohte, millel on ühiseid omadusi juba analüüsitud kampaaniatega.

YARA reeglite süntaksi mõistmine

YARA süntaks on üsna sarnane C-keelega, kuid lihtsamal ja täpsemal viisil. Iga reegel koosneb nimest, valikulisest metaandmete sektsioonist, stringi sektsioonist ja tingimata ka tingimuse sektsioonist.Edaspidi peitub jõud selles, kuidas sa seda kõike ühendad.

Lo primero es el reegli nimiSee peab minema kohe pärast märksõna rule (o regla Kui dokumenteerite hispaania keeles, on failis olev märksõna küll selline ruleja see peab olema kehtiv identifikaator: tühikuid, numbreid ja alakriipse ei ole. Hea mõte on järgida selget kokkulepet, näiteks midagi sellist nagu Pahavara_perekonna_variant o APT_Actor_Tool, mis võimaldab teil lühidalt tuvastada, mida see tuvastama on mõeldud.

Järgmisena tuleb sektsioon stringskus määrate mustrid, mida soovite otsida. Siin saate kasutada kolme peamist tüüpi: tekstistringid, heksadetsimaalsed jadad ja regulaaravaldisedTekstistringid sobivad ideaalselt inimloetavate koodijuppide, URL-ide, sisemiste sõnumite, teekonnanimede või esialgsete andmebaaside (PDB) jaoks. Kuueteistkümnendsüsteemis saab jäädvustada töötlemata baitimustreid, mis on väga kasulikud, kui kood on hägustatud, kuid säilitab teatud konstantsed järjestused.

Regulaaravaldised pakuvad paindlikkust, kui teil on vaja katta stringi väikeseid variatsioone, näiteks domeenide muutmist või koodi osade veidi muudetud versiooni. Lisaks lubavad nii stringid kui ka regulaaravaldised põgenemismärke suvaliste baitide esitamiseks., mis avab ukse väga täpsetele hübriidmustritele.

La sección condition See on ainus kohustuslik ja määrab, millal reeglit peetakse failiga "sobivaks". Seal kasutatakse Boole'i ​​ja aritmeetilisi tehteid (ja, või, mitte, +, -, *, /, suvaline, kõik, sisaldab jne.) väljendamaks peenemat tuvastusloogikat kui lihtne "kui see string ilmub".

Näiteks saate määrata, et reegel kehtib ainult siis, kui fail on teatud suurusest väiksem, kui kõik kriitilised stringid esinevad või kui esineb vähemalt üks mitmest stringist. Samuti saate kombineerida tingimusi, näiteks stringi pikkust, vastete arvu, failis olevaid konkreetseid nihkeid või faili enda suurust.Loovus teeb siin vahet üldiste reeglite ja kirurgiliste avastamiste vahel.

Lõpuks on teil valikuline jaotis metaIdeaalne perioodi dokumenteerimiseks. Tavaline on lisada autor, loomise kuupäev, kirjeldus, sisemine versioon, viide aruannetele või piletitele ja üldiselt igasugune teave, mis aitab hoidla korrastatuna ja teistele analüütikutele arusaadavana hoida.

Praktilised näited YARA edasijõudnute reeglitest

Kõige eelneva perspektiivi seadmiseks on kasulik näha, kuidas lihtne reegel on üles ehitatud ja kuidas see muutub keerukamaks, kui mängu tulevad käivitatavad failid, kahtlased imporditud failid või korduvad käskude jadad. Alustame mängujoonlauaga ja suurendame suurust järk-järgult..

Minimaalne reegel saab sisaldada ainult stringi ja tingimust, mis muudab selle kohustuslikuks. Näiteks võite otsida konkreetset tekstistringi või pahavara fragmenti esindavat baitide järjestust. Sellisel juhul ütleks tingimus lihtsalt, et reegel on täidetud, kui see string või muster ilmub., ilma täiendavate filtriteta.

Reaalses maailmas jääb see aga napiks, sest Lihtsad ahelad genereerivad sageli palju valepositiivseid tulemusiSeepärast on tavaline kombineerida mitu stringi (teksti ja kuueteistkümnendsüsteemis) lisapiirangutega: fail ei tohi ületada teatud suurust, see peab sisaldama kindlaid päiseid või see aktiveeritakse ainult siis, kui igast määratletud rühmast leitakse vähemalt üks string.

Tüüpiline näide PE käivitatava faili analüüsist hõlmab mooduli importimist pe YARA-st, mis võimaldab teil pärida binaarfaili sisemisi omadusi: imporditud funktsioone, sektsioone, ajatempleid jne. Täiustatud reegel võib nõuda faili importimist Loo protsess desde Kernel32.dll ja mõned HTTP-funktsioonid saidilt wininet.dll, lisaks pahatahtlikule käitumisele viitavale konkreetsele stringile.

Selline loogika sobib ideaalselt asukoha määramiseks Troojalased, kellel on kaugühenduse või väljatungimise võimalusedisegi kui failinimed või teed ühest kampaaniast teise muutuvad. Oluline on keskenduda aluseks olevale käitumisele: protsesside loomine, HTTP-päringud, krüptimine, püsivus jne.

Teine väga tõhus tehnika on vaadata korduvate juhiste jadad sama perekonna näidiste vahel. Isegi kui ründajad pakendavad või hägustavad binaarfaili, kasutavad nad sageli uuesti koodi osi, mida on raske muuta. Kui pärast staatilist analüüsi leiate konstantseid juhiste plokke, saate sõnastada reegli, millel on metamärgid kuueteistkümnendsüsteemis stringides mis jäädvustab selle mustri, säilitades samal ajal teatud tolerantsi.

Nende „koodikäitumise-põhiste” reeglite abil on võimalik jälgida terveid pahavara kampaaniaid, näiteks PlugX/Korplugi või teiste APT-perekondade omiSa ei tuvasta ainult konkreetset räsi, vaid uurid ründajate niiöelda arendusstiili.

YARA kasutamine reaalsetes kampaaniates ja nullpäevaohtudes

YARA on oma väärtust tõestanud eriti keerukate ohtude ja nullpäevarünnakute valdkonnas, kus klassikalised kaitsemehhanismid saabuvad liiga hilja. Tuntud näide on YARA kasutamine Silverlighti ärakasutamise leidmiseks minimaalselt lekkinud teabe põhjal..

Sellisel juhul tuletati ründavate tööriistade arendamisele pühendunud ettevõttelt varastatud meilidest piisavalt mustreid, et luua konkreetsele ärakasutamisele suunatud reegel. Selle ühe reegli abil suutsid teadlased proovi jälgida kahtlaste failide meres.Tuvastage ärakasutamise oht ja sundige selle parandamist, hoides ära palju tõsisema kahju.

Sellised lood illustreerivad, kuidas YARA saab toimida kalavõrk failide meresKujutage ette oma ettevõtte võrku kui ookeani, mis on täis igasuguseid "kalu" (faile). Teie reeglid on nagu sektsioonid traalnootas: igas sektsioonis on kalad, mis vastavad kindlatele omadustele.

Kui oled lohistamise lõpetanud, on sul valimid, mis on rühmitatud sarnasuse järgi ründajate konkreetsete perekondade või rühmade suhtes: „sarnane liigiga X”, „sarnane liigiga Y” jne. Mõned neist näidistest võivad teile olla täiesti uued (uued binaarfailid, uued kampaaniad), kuid need sobivad teadaolevasse mustrisse, mis kiirendab teie klassifitseerimist ja vastamist.

YARAst selles kontekstis maksimumi saamiseks ühendavad paljud organisatsioonid täiendkoolitus, praktilised laborid ja kontrollitud katsekeskkonnadHeade reeglite kirjutamise kunstile on pühendatud spetsialiseeritud kursused, mis põhinevad sageli päris küberspionaaži juhtumitel ning kus õpilased harjutavad autentsete näidistega ja õpivad otsima "midagi" isegi siis, kui nad ei tea täpselt, mida nad otsivad.

YARA integreerimine varundus- ja taasteplatvormidesse

Üks valdkond, kuhu YARA ideaalselt sobib ja mis jääb tihtipeale märkamatuks, on varukoopiate kaitse. Kui varukoopiad on nakatunud pahavara või lunavaraga, saab taastamise abil kogu kampaania taaskäivitada.Seepärast on mõned tootjad YARA mootorid otse oma lahendustesse lisanud.

Järgmise põlvkonna varundusplatvorme saab käivitada YARA reeglipõhised analüüsiseansid taastepunktidelEesmärk on kahetine: leida viimane "puhas" punkt enne intsidenti ja tuvastada failides peidetud pahatahtlikku sisu, mida muud kontrollid poleks ehk käivitanud.

Nendes keskkondades hõlmab tüüpiline protsess valiku „Skannige taastepunkte YARA joonlauaga"analüüsitöö konfigureerimise ajal. Järgmisena määratakse reeglite faili tee (tavaliselt laiendiga .yara või .yar), mis on tavaliselt salvestatud varunduslahendusele omasesse konfiguratsioonikausta."

Täitmise ajal itereerib mootor koopias sisalduvate objektide vahel, rakendab reegleid ja See salvestab kõik vasted spetsiaalsesse YARA analüüsilogisse.Administraator saab neid logisid konsoolist vaadata, statistikat üle vaadata, näha, millised failid hoiatuse käivitasid, ja isegi jälgida, millistele masinatele ja konkreetsetele kuupäevadele iga vaste vastab.

Seda integratsiooni täiendavad muud mehhanismid, näiteks anomaaliate tuvastamine, varukoopia suuruse jälgimine, konkreetsete IOC-de otsimine või kahtlaste tööriistade analüüsAga kui tegemist on konkreetse lunavaraperekonna või kampaania jaoks kohandatud reeglitega, on YARA parim tööriist otsingu täpsustamiseks.

Kuidas YARA reegleid testida ja valideerida ilma võrku lõhkumata?

Kui olete hakanud oma reegleid kirjutama, on järgmine oluline samm nende põhjalik testimine. Liiga agressiivne reegel võib tekitada hulga valepositiivseid tulemusi, samas kui liiga leebe reegel võib lasta tegelikel ohtudel läbi lipsata.Sellepärast on testimise etapp sama oluline kui kirjutamise etapp.

Hea uudis on see, et selleks ei pea te looma laborit, mis on täis toimivat pahavara, ja nakatama poolt võrku. Selle teabe pakkumiseks on juba olemas hoidlad ja andmekogumid. tuntud ja kontrollitud pahavara näidised uurimisotstarbelSaate need näidised alla laadida isoleeritud keskkonda ja kasutada neid oma reeglite testplatvormina.

Tavapärane lähenemisviis on alustada YARA käivitamisest kohalikult käsurealt kaustas, mis sisaldab kahtlaseid faile. Kui teie reeglid vastavad nõuetele ja vaevu kattuvad puhastes failides, olete õigel teel.Kui need käivitavad liiga palju, on aeg stringe üle vaadata, tingimusi täpsustada või kehtestada täiendavaid piiranguid (suurus, import, nihked jne).

Teine oluline punkt on tagada, et teie reeglid ei kahjustaks jõudlust. Suurte kataloogide, täielike varukoopiate või massiivsete näidiskogude skannimisel... Halvasti optimeeritud reeglid võivad analüüsi aeglustada või tarbida rohkem ressursse kui soovitav.Seetõttu on soovitatav mõõta ajastust, lihtsustada keerulisi avaldisi ja vältida liiga raskeid regulaaravaldisi.

Pärast laboratoorsete testide läbimist olete võimeline Edendada reegleid tootmiskeskkonnasOlgu see siis teie SIEM-is, varundussüsteemides, meiliserverites või kus iganes soovite neid integreerida. Ja ärge unustage pidevat ülevaatustsüklit: kampaaniate arenedes vajavad teie reeglid perioodilisi kohandusi.

Tööriistad, programmid ja töövoog YARA-ga

Lisaks ametlikule binaarkoodile on paljud spetsialistid YARA ümber välja töötanud väikeseid programme ja skripte, et hõlbustada selle igapäevast kasutamist. Tüüpiline lähenemisviis hõlmab rakenduse loomist pane kokku oma turvakomplekt mis loeb automaatselt kõik kaustas olevad reeglid ja rakendab neid analüüsikataloogile.

Sellised omatehtud tööriistad töötavad tavaliselt lihtsa kataloogistruktuuriga: üks kaust faili jaoks internetist alla laaditud reeglid (näiteks „rulesyar”) ja teine ​​kaust selle jaoks kahtlased failid, mida analüüsida (näiteks „pahavara”). Programmi käivitamisel kontrollib see, kas mõlemad kaustad on olemas, kuvab ekraanil reeglid ja valmistub käivitamiseks.

Kui vajutate nuppu nagu „Alusta kontrollimistSeejärel käivitab rakendus YARA käivitatava faili soovitud parameetritega: kõigi kaustas olevate failide skannimine, alamkataloogide rekursiivne analüüs, statistika väljastamine, metaandmete printimine jne. Kõik vasted kuvatakse tulemuste aknas, näidates, milline fail vastas millisele reeglile.

See töövoog võimaldab näiteks tuvastada probleeme eksporditud meilide partiis. pahatahtlikud manustatud pildid, ohtlikud manused või veebikestad, mis on peidetud näiliselt süütutesse failidessePaljud kohtuekspertiisi uurimised ettevõtluskeskkonnas tuginevad just sellisele mehhanismile.

YARA käivitamisel kõige kasulikumate parameetrite osas paistavad silma järgmised valikud: -r rekursiivseks otsimiseks, -S statistika kuvamiseks, -m metaandmete hankimiseks ja -w hoiatuste ignoreerimiseksNeid lippe kombineerides saate käitumist vastavalt oma olukorrale kohandada: alates kiirest analüüsist konkreetses kataloogis kuni keeruka kaustastruktuuri täieliku skannimiseni.

Parimad tavad YARA reeglite kirjutamisel ja haldamisel

Selleks, et teie reeglite hoidlast ei saaks haldamatu segadus, on soovitatav rakendada mitmeid parimaid tavasid. Esimene on töötada ühtsete mallide ja nimetamiskonventsioonidegaet iga analüütik saaks lühidalt aru, mida iga reegel teeb.

Paljud meeskonnad võtavad kasutusele standardvormingu, mis sisaldab päis metaandmetega, ohu tüüpi, tegutsejat või platvormi tähistavad sildid ja selge kirjeldus tuvastatava kohtaSee aitab mitte ainult sisemiselt, vaid ka siis, kui jagate reegleid kogukonnaga või panustate avalikesse repositooriumitesse.

Teine soovitus on alati meeles pidada, et YARA on vaid üks kaitsekiht juurdeSee ei asenda viirusetõrjetarkvara ega EDR-i, vaid pigem täiendab neid strateegiate osas, mis on suunatud Kaitske oma Windowsi arvutitIdeaalis peaks YARA sobima laiematesse tugiraamistikesse, näiteks NIST-i raamistikku, mis käsitleb ka varade tuvastamist, kaitset, avastamist, reageerimist ja taastamist.

Tehnilisest vaatenurgast tasub sellele aega pühendada evitar falsos positivosSee hõlmab liiga üldiste stringide vältimist, mitme tingimuse kombineerimist ja selliste operaatorite kasutamist nagu all of o any of Kasuta oma pead ja kasuta ära faili struktuurilisi omadusi. Mida täpsem on pahavara käitumise loogika, seda parem.

Lõpuks, hoidke distsipliini versioonimine ja perioodiline ülevaatamine See on ülioluline. Pahavara perekonnad arenevad, indikaatorid muutuvad ja täna toimivad reeglid võivad osutuda ebapiisavaks või vananeda. Reeglite komplekti perioodiline ülevaatamine ja täiustamine on osa küberturvalisuse kassi ja hiire mängust.

YARA kogukond ja saadaolevad ressursid

Üks peamisi põhjuseid, miks YARA on nii kaugele jõudnud, on selle kogukonna tugevus. Teadlased, turvafirmad ja reageerimismeeskonnad üle maailma jagavad pidevalt reegleid, näiteid ja dokumentatsiooni.luues väga rikkaliku ökosüsteemi.

Peamine tugipunkt on YARA ametlik repositoorium GitHubisSealt leiad tööriista uusimad versioonid, lähtekoodi ja lingid dokumentatsioonile. Sealt saad jälgida projekti edenemist, teatada probleemidest või soovi korral panustada täiustustesse.

Ametlik dokumentatsioon, mis on saadaval platvormidel nagu ReadTheDocs, pakub täielik süntaksijuhend, saadaolevad moodulid, reeglite näited ja kasutusviitedSee on oluline ressurss kõige arenenumate funktsioonide, näiteks PE-kontrolli, ELF-i, mälureeglite või teiste tööriistadega integratsioonide ärakasutamiseks.

Lisaks on olemas YARA reeglite ja allkirjade kogukonnahoidlad, kus analüütikud üle kogu maailma Nad avaldavad kasutusvalmis kollektsioone või kollektsioone, mida saab teie vajadustele kohandada.Need repositooriumid sisaldavad tavaliselt reegleid konkreetsete pahavaraperekondade, ärakasutamiskomplektide, pahatahtlikult kasutatud penetratsioonitestimise tööriistade, veebikestade, krüptokaevandajate ja palju muu kohta.

Paralleelselt pakuvad paljud tootjad ja uurimisrühmad Spetsiifiline koolitus YARA-s, alates algtasemest kuni väga edasijõudnute kursusteniNeed algatused hõlmavad sageli virtuaallaboreid ja praktilisi harjutusi, mis põhinevad reaalsetel stsenaariumidel. Mõned neist pakutakse isegi tasuta mittetulundusühingutele või üksustele, mis on suunatud rünnakute suhtes eriti haavatavad.

See ökosüsteem tähendab, et väikese pühendumusega saate oma esimeste põhireeglite kirjutamisest edasi liikuda arendada keerukaid pakette, mis on võimelised jälgima keerulisi kampaaniaid ja tuvastama enneolematuid ohteJa kombineerides YARA-d traditsioonilise viirusetõrje, turvalise varundamise ja ohuanalüüsiga, muudate internetis uitavate pahatahtlike tegutsejate jaoks asjad märkimisväärselt raskemaks.

Kõige eelneva põhjal on selge, et YARA on palju enamat kui lihtne käsurea utiliit: see on pieza clave mis tahes täiustatud pahavara tuvastamise strateegias paindlik tööriist, mis kohandub teie analüütiku ja a mõtlemisviisiga ühine keel mis ühendab laboreid, SOC-e ja teaduskogukondi üle maailma, võimaldades iga uue reegliga lisada veelgi kaitsekihi üha keerukamate kampaaniate vastu.