Nola erabili YARA malware aurreratuaren detekziorako

¿Nola erabili YARA malware aurreratua detektatzeko? Birusen aurkako programa tradizionalak mugara iristen direnean eta erasotzaileek zirrikitu guztietatik ihes egiten dutenean, intzidenteei erantzuteko laborategietan ezinbesteko bihurtu den tresna bat sartzen da jokoan: YARA, malwarea ehizatzeko “Suitzako labana”Testu- eta bit-ereduak erabiliz software gaiztoen familiak deskribatzeko diseinatua, hash parekatze soil bat baino askoz haratago joatea ahalbidetzen du.

Esku egokietan, YARA ez da soilik kokapenetarako balio ez bakarrik malware lagin ezagunak, baita aldaera berriak, zero-day ustiapenak eta baita tresna erasokor komertzialak ereArtikulu honetan, sakonki eta praktikoki aztertuko dugu nola erabili YARA malware aurreratuaren detekziorako, nola idatzi arau sendoak, nola probatu, nola integratu Veeam bezalako plataformetan edo zure analisi-lan-fluxuan, eta komunitate profesionalak jarraitzen dituen jardunbide egokienak.

Zer da YARA eta zergatik da hain indartsua malwarea detektatzeko?

YARAk “Yet Another Recursive Acronym” esan nahi du eta mehatxuen analisian de facto estandar bihurtu da, zeren eta Malware familiak deskribatzeko aukera ematen du, arau irakurgarri, argi eta oso malguak erabiliz.Antibirusen sinadura estatikoetan soilik oinarritu beharrean, YARAk zuk zeuk definitutako ereduekin funtzionatzen du.

Oinarrizko ideia sinplea da: YARA arau batek fitxategi bat (edo memoria, edo datu-jarioa) aztertzen du eta baldintza sorta bat betetzen den egiaztatzen du. testu-kateetan, sekuentzia hamaseitarretan, adierazpen erregularretan edo fitxategi-propietateetan oinarritutako baldintzakBaldintza betetzen bada, "bat-etortze" bat dago eta alerta bat bidali, blokeatu edo analisi sakonagoa egin dezakezu.

Ikuspegi honek segurtasun taldeei aukera ematen die Identifikatu eta sailkatu mota guztietako malwarea: birus klasikoak, harrak, troiarrak, ransomwarea, webshellak, kriptomeatzariak, makro gaiztoak eta askoz gehiagoEz dago fitxategi-luzapen edo formatu espezifikoetara mugatuta, beraz, .pdf luzapena duen exekutagarri mozorrotu bat edo webshell bat duen HTML fitxategi bat ere detektatzen du.

Gainera, YARA zibersegurtasun ekosistemako zerbitzu eta tresna gako askotan integratuta dago dagoeneko: VirusTotal, Cuckoo bezalako sandboxak, Veeam bezalako babeskopia plataformak edo goi mailako fabrikatzaileen mehatxu-ehiza irtenbideakBeraz, YARA menperatzea ia ezinbesteko baldintza bihurtu da analista eta ikertzaile aurreratuentzat.

YARAren erabilera kasu aurreratuak malwarea detektatzeko

YARAren indarguneetako bat da hainbat segurtasun-eszenatokitara eskularru baten moduan egokitzen dela, SOCetik hasi eta malware laborategiraino. Arau berberak aplikatzen dira bai ehiza puntualetan bai jarraipen jarraituan..

Kasurik zuzenena sortzea da malware espezifikoetarako edo familia osoetarako arau espezifikoakZure erakundea familia ezagun batean oinarritutako kanpaina batek erasotzen badu (adibidez, urruneko sarbideko troiar bat edo APT mehatxu bat), ezaugarri-kateak eta ereduak profilatu ditzakezu eta erlazionatutako lagin berriak azkar identifikatzen dituzten arauak sor ditzakezu.

Beste erabilera klasiko bat fokua da YARA sinaduretan oinarritutaArau hauek malware beraren aldaera anitzetan errepikatzen diren hash-ak, testu-kate oso zehatzak, kode-zatiak, erregistroko gakoak edo baita byte-sekuentzia espezifikoak ere aurkitzeko diseinatuta daude. Hala ere, kontuan izan kate hutsalak bakarrik bilatzen badituzu, positibo faltsuak sortzeko arriskua duzula.

YARAk ere distira egiten du iragazketari dagokionez fitxategi motak edo egitura-ezaugarriakPE exekutagarriei, bulegoko dokumentuei, PDFei edo ia edozein formaturi aplikatzen zaizkien arauak sor daitezke, kateak fitxategiaren tamaina, goiburu espezifikoak (adibidez, 0x5A4D PE exekutagarrietarako) edo funtzio inportazio susmagarriak bezalako propietateekin konbinatuz.

Ingurune modernoetan, bere erabilera lotuta dago mehatxuen inteligentziaBiltegi publikoak, ikerketa-txostenak eta IOC jarioak YARA arau bihurtzen dira, eta hauek SIEM, EDR, babeskopia-plataforma edo sandboxetan integratzen dira. Horri esker, erakundeek... Azkar detektatu lehendik aztertutako kanpainekin ezaugarriak partekatzen dituzten mehatxu berriak.

YARA arauen sintaxia ulertzea

YARAren sintaxia C-renaren nahiko antzekoa da, baina modu sinpleago eta zehatzago batean. Arau bakoitzak izen bat, metadatuen atal bat (aukerakoa), kate atal bat eta, nahitaez, baldintza atal bat ditu.Hemendik aurrera, boterea hori guztia nola konbinatzen duzun da.

Lehenengoa da arauaren izenaGako-hitzaren ondoren joan behar du araua (o arau Gaztelaniaz dokumentatzen baduzu, fitxategiko gako-hitza izango den arren arauaeta identifikatzaile baliozkoa izan behar du: ez tarterik, ez zenbakirik eta ez azpimarrarik. Ideia ona da konbentzio argi bat jarraitzea, adibidez, honelako zerbait Malware_Familia_Aldaera o APT_Aktore_Tresna, eta horri esker, begirada batean identifika dezakezu zer detektatu nahi den.

Ondoren dator atala kateaknon bilatu nahi dituzun ereduak definitzen dituzun. Hemen hiru mota nagusi erabil ditzakezu: testu-kateak, sekuentzia hamaseitarra eta adierazpen erregularrakTestu-kateak aproposak dira gizakiek irakur ditzaketen kode-zatietarako, URLetarako, barne-mezuetarako, bide-izenetarako edo PDBetarako. Hamaseitaleek byte-eredu gordinak atzematea ahalbidetzen dute, eta oso erabilgarriak dira kodea nahasita dagoenean baina sekuentzia konstante batzuk mantentzen dituenean.

Adierazpen erregularrek malgutasuna eskaintzen dute kate bateko aldaera txikiak estali behar dituzunean, hala nola domeinuak aldatzea edo kodearen zati apur bat aldatuak. Gainera, bai kateek bai regex-ek ihes-karaktereak byte arbitrarioak adierazteko aukera ematen dute., eta horrek atea irekitzen du eredu hibrido oso zehatzetarako.

Atala baldintza Derrigorrezko bakarra da eta arau bat fitxategi batekin "bat etortzen" dela definitzen du. Bertan eragiketa boolearrak eta aritmetikoak erabiltzen dituzu (eta, edo, ez, +, -, *, /, edozein, guztia, dauka, etab.) "kate hau agertzen bada" esaldi soil bat baino detekzio-logika finagoa adierazteko.

Adibidez, zehaztu dezakezu araua baliozkoa dela fitxategia tamaina jakin bat baino txikiagoa bada, kate kritiko guztiak agertzen badira edo hainbat kateetatik gutxienez bat badago soilik. Baldintzak ere konbina ditzakezu, hala nola katearen luzera, bat etortze kopurua, fitxategiko desplazamendu espezifikoak edo fitxategiaren beraren tamaina.Sormenak egiten du aldea arau generikoen eta detekzio kirurgikoen artean.

Azkenik, aukerako atala duzu metaGaraia dokumentatzeko aproposa. Ohikoa da sartzea egilea, sorrera data, deskribapena, barne bertsioa, txosten edo txartelen erreferentzia eta, oro har, biltegia antolatuta eta beste analistentzat ulergarria izaten laguntzen duen edozein informazio.

YARA arau aurreratuen adibide praktikoak

Goiko guztia perspektiban jartzeko, lagungarria da ikustea nola egituratzen den arau sinple bat eta nola bihurtzen den konplexuagoa fitxategi exekutagarriak, inportazio susmagarriak edo errepikakorrak diren instrukzio-sekuentziak jokoan sartzen direnean. Has gaitezen jostailuzko erregela batekin eta pixkanaka handituko dugu tamaina..

Gutxieneko arau batek kate bat eta derrigorrezkoa egiten duen baldintza bat baino ez ditu izan behar. Adibidez, malware zati baten ordezkari den testu-kate espezifiko bat edo byte-sekuentzia bat bilatu dezakezu. Baldintzak, kasu horretan, besterik gabe adieraziko luke araua betetzen dela kate edo eredu hori agertzen bada., iragazki gehiagorik gabe.

Hala ere, benetako munduko testuinguruetan hori ez da nahikoa, zeren eta Kate sinpleek askotan positibo faltsu asko sortzen dituzteHorregatik ohikoa da hainbat kate (testuzkoak eta hamaseitar) konbinatzea murrizketa gehigarriekin: fitxategiak ez dezala tamaina jakin bat gainditzen, goiburu espezifikoak izan ditzala edo talde bakoitzeko gutxienez kate bat aurkitzen bada bakarrik aktibatzea.

PE exekutagarrien analisian ohiko adibide bat modulua inportatzea da. pe YARA-tik, bitarraren barne-propietateak kontsultatzeko aukera ematen duena: inportatutako funtzioak, atalak, denbora-zigiluak, etab. Arau aurreratu batek fitxategia inportatzea eska dezake SortuProzesua tik Kernel32.dll eta HTTP funtzio batzuk hemendik wininet.dll, portaera gaiztoa adierazten duen kate espezifiko bat edukitzeaz gain.

Logika mota hau ezin hobea da aurkitzeko Urruneko konexioa edo esfiltrazio gaitasuna duten troiarrakfitxategi-izenak edo bideak kanpaina batetik bestera aldatzen direnean ere. Garrantzitsuena azpiko portaeran zentratzea da: prozesuen sorrera, HTTP eskaerak, enkriptatzea, iraunkortasuna, etab.

Beste teknika oso eraginkor bat begiratzea da errepikatzen diren instrukzio-segidak familia bereko laginen artean. Erasotzaileek bitarra paketatu edo nahasi arren, askotan aldatzea zailak diren kode zatiak berrerabiltzen dituzte. Analisi estatikoaren ondoren, instrukzio-bloke konstanteak aurkitzen badituzu, arau bat formula dezakezu honekin karaktere komodinak kate hamaseitarretan eredu hori jasotzen duena, tolerantzia jakin bat mantenduz.

"Kode-portaeran oinarritutako" arau hauekin posible da PlugX/Korplug edo beste APT familien malware kanpaina osoak jarraituEz duzu hash espezifiko bat detektatzen bakarrik, erasotzaileen garapen estiloaren atzetik joaten zara, nolabait esateko.

YARAren erabilera benetako kanpainetan eta zero-day mehatxuetan

YARAk bere balioa frogatu du batez ere mehatxu aurreratuen eta zero-day ustiapenen arloan, non babes-mekanismo klasikoak berandu iristen diren. Adibide ezagun bat YARA erabiltzea da Silverlight-en ustiapen bat aurkitzeko, inteligentzia filtrazio minimo batetik abiatuta..

Kasu horretan, tresna erasokorrak garatzen dituen enpresa bati lapurtutako mezu elektronikoetatik, nahikoa eredu ondorioztatu ziren ustiapen espezifiko bati zuzendutako arau bat eraikitzeko. Arau bakarrarekin, ikertzaileek lagina fitxategi susmagarrien itsaso batean jarraitzea lortu zuten.Identifikatu ustiapena eta behartu haren adabakitzea, kalte askoz larriagoak saihestuz.

Istorio mota hauek YARAk nola funtziona dezakeen erakusten dute arrantza sarea fitxategi itsaso bateanImajinatu zure enpresa-sarea mota guztietako "arrain" (fitxategi)z betetako ozeano bat bezala. Zure arauak sare bateko konpartimentuen antzekoak dira: konpartimentu bakoitzak ezaugarri espezifikoei egokitzen zaizkien arrainak gordetzen ditu.

Arrastatzea amaitzen duzunean, baduzu erasotzaileen familia edo talde espezifikoekiko antzekotasunaren arabera taldekatutako laginak: “X espeziearen antzekoa”, “Y espeziearen antzekoa”, etab. Lagin horietako batzuk guztiz berriak izan daitezke zuretzat (binario berriak, kanpaina berriak), baina ezagun den eredu batean sartzen dira, eta horrek zure sailkapena eta erantzuna bizkortzen ditu.

Testuinguru honetan YARAtik etekinik handiena ateratzeko, erakunde askok konbinatzen dituzte prestakuntza aurreratua, laborategi praktikoak eta esperimentazio-ingurune kontrolatuakBadaude arau onak idazteko arteari esklusiboki eskainitako ikastaro oso espezializatuak, askotan ziberespioitza kasu errealetan oinarrituta, non ikasleek benetako laginekin praktikatzen duten eta "zerbait" bilatzen ikasten duten, nahiz eta zehazki zer bilatzen ari diren ez jakin.

Integratu YARA babeskopia eta berreskuratze plataformetan

YARAk primeran egokitzen den arlo bat, eta askotan oharkabean pasatzen dena, babeskopien babesa da. Babeskopiak malware edo ransomware batekin kutsatuta badaude, leheneratze batek kanpaina osoa berrabiarazi dezake.Horregatik, fabrikatzaile batzuek YARA motorrak zuzenean txertatu dituzte beren irtenbideetan.

Hurrengo belaunaldiko babeskopia plataformak abiarazi daitezke YARA arauetan oinarritutako analisi saioak leheneratze puntuetanHelburua bikoitza da: gorabehera baten aurreko azken "garbi" puntua kokatzea eta beste egiaztapenek eragin ez dituzten fitxategietan ezkutatutako eduki gaiztoa detektatzea.

Ingurune hauetan, ohiko prozesuak “aukera” bat hautatzea dakar.Eskaneatu leheneratze puntuak YARA erregela batekin"analisi-lan baten konfigurazioan zehar. Ondoren, arau-fitxategirako bidea zehazten da (normalean .yara edo .yar luzapenarekin), eta normalean babeskopia-soluziorako berariazko konfigurazio-karpeta batean gordetzen da."

Exekuzioan zehar, motorrak kopian dauden objektuak iteratatzen ditu, arauak aplikatzen ditu eta Partida guztiak YARA analisi erregistro espezifiko batean erregistratzen ditu.Administratzaileak erregistro hauek kontsolatik ikus ditzake, estatistikak berrikusi, zein fitxategik eragin duten alerta ikusi eta baita bat-etortze bakoitza zein makinari eta data zehatzi dagokien ere.

Integrazio hau beste mekanismo batzuek osatzen dute, hala nola anomalia detekzioa, babeskopien tamainaren monitorizazioa, IOC espezifikoak bilatzea edo tresna susmagarrien azterketaBaina ransomware familia edo kanpaina espezifiko bati egokitutako arauei dagokienez, YARA da bilaketa hori fintzeko tresnarik onena.

Nola probatu eta balioztatu YARA arauak zure sarea hautsi gabe

Zure arauak idazten hasten zarenean, hurrengo urrats garrantzitsua sakonki probatzea da. Arau oldarkorregi batek positibo faltsu uholde bat sor dezake, eta arau laxoegi batek, berriz, benetako mehatxuak igarotzen utz ditzake.Horregatik da probak egiteko fasea idazketa fasea bezain garrantzitsua.

Berri ona da ez duzula malwarez betetako laborategi bat sortu eta sarearen erdia kutsatu behar horretarako. Informazio hori eskaintzen duten biltegiak eta datu-multzoak badaude dagoeneko. ikerketa-helburuetarako malware lagin ezagun eta kontrolatuakLagin horiek ingurune isolatu batera deskargatu eta zure arauen proba-ohe gisa erabil ditzakezu.

Ohiko ikuspegia YARA lokalki exekutatzea da, komando-lerrotik, fitxategi susmagarriak dituen direktorio batean. Zure arauak bat badatoz behar bezala eta fitxategi garbietan ia ez badira hausten, bide onetik zoaz.Gehiegi eragiten badute, garaia da kateak berrikusteko, baldintzak fintzeko edo murrizketa gehigarriak (tamaina, inportazioak, desplazamenduak, etab.) sartzeko.

Beste puntu garrantzitsu bat da zure arauek errendimendua ez kaltetzea ziurtatzea. Direktorio handiak, babeskopia osoak edo lagin bilduma masiboak eskaneatzen dituzunean, Gaizki optimizatutako arauek analisia moteldu edo nahi baino baliabide gehiago kontsumitu ditzakete.Beraz, komenigarria da denborak neurtzea, adierazpen konplikatuak sinplifikatzea eta regex gehiegi astunak saihestea.

Laborategiko probak gainditu ondoren, gai izango zara Sustatu arauak ekoizpen inguruneraZure SIEM-ean, zure babeskopia sistemetan, posta elektronikoko zerbitzarietan edo integratu nahi dituzun edozein lekutan izan. Eta ez ahaztu etengabeko berrikuspen ziklo bat mantentzea: kanpainek eboluzionatzen duten heinean, zure arauek aldizkako doikuntzak beharko dituzte.

Tresnak, programak eta lan-fluxua YARArekin

Bitar ofizialaz harago, profesional askok programa eta script txikiak garatu dituzte YARAren inguruan, eguneroko erabilera errazteko. Ohiko ikuspegi batek aplikazio bat sortzea dakar muntatu zure segurtasun-kit propioa karpeta bateko arau guztiak automatikoki irakurtzen eta analisi-direktorio batera aplikatzen dituena.

Etxeko tresna mota hauek normalean direktorio-egitura sinple batekin funtzionatzen dute: karpeta bat Internetetik deskargatutako arauak (adibidez, “arauak”) eta beste karpeta bat aztertu beharreko fitxategi susmagarriak (adibidez, “malware”). Programa abiarazten denean, bi karpetak existitzen direla egiaztatzen du, arauak pantailan zerrendatzen ditu eta exekuziorako prestatzen du.

" bezalako" botoia sakatzeanHasi egiaztapenaOndoren, aplikazioak YARA exekutagarria abiarazten du nahi diren parametroekin: karpetako fitxategi guztiak eskaneatzea, azpidirektorioen analisi errekurtsiboa, estatistikak ateratzea, metadatuak inprimatzea, etab. Bat datozen guztiak emaitzen leiho batean bistaratzen dira, zein fitxategik zein araurekin bat egin duen adieraziz.

Lan-fluxu honek, adibidez, esportatutako mezu elektronikoen multzo batean arazoak detektatzea ahalbidetzen du. txertatutako irudi gaiztoak, eranskin arriskutsuak edo itxuraz kaltegabeak diren fitxategietan ezkutatutako webshell-akEnpresen ingurune forentseetako ikerketa asko mekanismo mota honetan oinarritzen dira, hain zuzen ere.

YARA abiaraztean parametro erabilgarrienei dagokienez, honako aukerak nabarmentzen dira: -r errekurtsiboki bilatzeko, -S estatistikak bistaratzeko, -m metadatuak ateratzeko eta -w abisuak alde batera uztekoBandera hauek konbinatuz, portaera zure kasura egokitu dezakezu: direktorio espezifiko bateko analisi azkar batetik hasi eta karpeta-egitura konplexu baten eskaneatu oso bateraino.

YARA arauak idazteko eta mantentzeko jardunbide egokiak

Zure arauen biltegia kudeatu ezin den nahaspila bihur ez dadin, komeni da jardunbide egoki batzuk aplikatzea. Lehenengoa txantiloi eta izendapen-konbentzio koherenteekin lan egitea da.edozein analistak begirada batean uler dezan arau bakoitzak zer egiten duen.

Talde askok formatu estandar bat hartzen dute, honako hauek barne hartzen dituena: goiburua metadatuekin, mehatxu mota, aktorea edo plataforma adierazten duten etiketekin eta detektatzen ari denaren deskribapen argi batekinHonek ez du barne mailan bakarrik laguntzen, baita komunitatearekin arauak partekatzen dituzunean edo biltegi publikoetan laguntzen duzunean ere.

Beste gomendio bat beti gogoratzea da YARA defentsa geruza bat gehiago besterik ez daEz du birusen aurkako softwarea edo EDR ordezkatzen, baizik eta osagarri gisa balio du estrategietan. Babestu zure Windows ordenagailuaIdealki, YARA erreferentzia-esparru zabalagoetan sartu beharko litzateke, hala nola NIST esparruan, zeinak aktiboen identifikazioa, babesa, detekzioa, erantzuna eta berreskurapena ere jorratzen dituen.

Ikuspegi tekniko batetik, merezi du denbora eskaintzea saihestu positibo faltsuakHorrek kate generikoegiak saihestea, hainbat baldintza konbinatzea eta operadoreak erabiltzea dakar, hala nola: dena o edozein Erabili burua eta aprobetxatu fitxategiaren egitura-propietateak. Zenbat eta zehatzagoa izan malwarearen portaeraren inguruko logika, orduan eta hobeto.

Azkenik, diziplina mantendu bertsioen berrikuspena eta aldizkako berrikuspena Ezinbestekoa da. Malware familiak eboluzionatzen dute, adierazleak aldatzen dira, eta gaur egun funtzionatzen duten arauak huts egin edo zaharkitu egin daitezke. Arau-multzoa aldian-aldian berrikustea eta fintzea zibersegurtasunaren katuaren eta saguaren jokoaren parte da.

YARA komunitatea eta eskuragarri dauden baliabideak

YARA hain urrun iristeko arrazoi nagusietako bat bere komunitatearen indarra da. Mundu osoko ikertzaileek, segurtasun-enpresek eta erantzun-taldeek etengabe partekatzen dituzte arauak, adibideak eta dokumentazioa.ekosistema oso aberatsa sortuz.

Erreferentzia puntu nagusia da YARAren biltegi ofiziala GitHub-enBertan tresnaren azken bertsioak, iturburu-kodea eta dokumentaziorako estekak aurkituko dituzu. Bertatik proiektuaren aurrerapena jarraitu, arazoak jakinarazi edo hobekuntzak egin ditzakezu, nahi izanez gero.

ReadTheDocs bezalako plataformetan eskuragarri dagoen dokumentazio ofizialak eskaintzen du sintaxi gida osoa, eskuragarri dauden moduluak, arau adibideak eta erabilera erreferentziakEzinbesteko baliabidea da funtzio aurreratuenak aprobetxatzeko, hala nola PE ikuskapena, ELF, memoria arauak edo beste tresna batzuekin integrazioak.

Horrez gain, YARA arau eta sinaduren biltegi komunitarioak daude, non mundu osoko analistek... Erabiltzeko prest dauden bildumak edo zure beharretara egokitu daitezkeen bildumak argitaratzen dituzte.Biltegi hauek normalean malware familia espezifikoetarako arauak, ustiapen kitek, gaizki erabilitako pentesting tresnak, webshell-ak, kriptomeatzariak eta askoz gehiago izaten dituzte.

Aldi berean, fabrikatzaile eta ikerketa talde askok eskaintzen dute YARAko prestakuntza espezifikoa, oinarrizko mailetatik hasi eta oso aurreratutako ikastaroetarainoEkimen hauek askotan laborategi birtualak eta benetako munduko eszenatokietan oinarritutako ariketa praktikoak barne hartzen dituzte. Batzuk doan eskaintzen zaizkie irabazi-asmorik gabeko erakundeei edo eraso zuzenduen aurrean bereziki zaurgarriak diren entitateei.

Ekosistema oso honek esan nahi du, dedikazio pixka batekin, zure lehen oinarrizko arauak idaztetik hasi eta... kanpaina konplexuak jarraitzeko eta aurrekaririk gabeko mehatxuak detektatzeko gai diren suite sofistikatuak garatuEta, YARA birusen aurkako sistema tradizionalarekin, babeskopia seguruekin eta mehatxuen adimenarekin konbinatuz, gauzak askoz zailagoak dira Interneten dabiltzan aktore gaiztoentzat.

Goian esandako guztiarekin, argi dago YARA komando-lerroko utilitate soil bat baino askoz gehiago dela: bat da funtsezko pieza malware detektatzeko edozein estrategia aurreratutan, analista eta analista gisa zure pentsamoldera egokitzen den tresna malgu bat hizkuntza arrunta mundu osoko laborategiak, SOCak eta ikerketa-komunitateak lotzen dituena, arau berri bakoitzak gero eta sofistikatuagoak diren kanpaina batzuen aurkako babes-geruza bat gehitzeko aukera emanez.