نحوه استفاده از YARA برای تشخیص پیشرفته بدافزار

یارا (YARA) امکان توصیف خانواده‌های بدافزار را با استفاده از قوانین انعطاف‌پذیر مبتنی بر رشته‌ها، الگوهای دودویی و ویژگی‌های فایل فراهم می‌کند.
قوانینی که به خوبی طراحی شده‌اند می‌توانند همه چیز را از باج‌افزار و APTها گرفته تا وب‌شِل‌ها و اکسپلویت‌های روز صفر در محیط‌های مختلف تشخیص دهند.
ادغام YARA در پشتیبان‌گیری‌ها، گردش‌های کاری پزشکی قانونی و ابزارهای سازمانی، دفاع را فراتر از نرم‌افزارهای آنتی‌ویروس سنتی تقویت می‌کند.
انجمن و مخازن قوانین YARA، اشتراک‌گذاری اطلاعات و بهبود مداوم تشخیص را آسان می‌کنند.

¿چگونه از YARA برای تشخیص پیشرفته بدافزار استفاده کنیم؟ وقتی برنامه‌های آنتی‌ویروس سنتی به محدودیت‌های خود می‌رسند و مهاجمان از هر شکاف ممکنی عبور می‌کنند، ابزاری که در آزمایشگاه‌های واکنش به حوادث ضروری شده است، وارد عمل می‌شود: یارا، «چاقوی سوئیسی» برای شکار بدافزاراین الگوریتم که برای توصیف خانواده‌های نرم‌افزارهای مخرب با استفاده از الگوهای متنی و دودویی طراحی شده است، فراتر از تطبیق هش ساده عمل می‌کند.

یارا در دستان مناسب، فقط برای مکان‌یابی نیست نه تنها نمونه‌های بدافزار شناخته‌شده، بلکه انواع جدید، اکسپلویت‌های روز صفر و حتی ابزارهای تهاجمی تجاریدر این مقاله، به طور عمیق و عملی بررسی خواهیم کرد که چگونه از YARA برای تشخیص پیشرفته بدافزار استفاده کنیم، چگونه قوانین قوی بنویسیم، چگونه آنها را آزمایش کنیم، چگونه آنها را در پلتفرم‌هایی مانند Veeam یا گردش کار تحلیلی خود ادغام کنیم و بهترین شیوه‌هایی که جامعه حرفه‌ای دنبال می‌کند را بررسی خواهیم کرد.

YARA چیست و چرا در تشخیص بدافزارها بسیار قدرتمند است؟

یارا (YARA) مخفف «مخفف Yet Another Recursive» است و به یک استاندارد بالفعل در تحلیل تهدید تبدیل شده است، زیرا این امکان را فراهم می‌کند تا خانواده‌های بدافزار را با استفاده از قوانین خوانا، واضح و بسیار انعطاف‌پذیر توصیف کنید.YARA به جای تکیه صرف بر امضاهای استاتیک آنتی‌ویروس، با الگوهایی که خودتان تعریف می‌کنید کار می‌کند.

ایده اصلی ساده است: یک قانون YARA یک فایل (یا حافظه یا جریان داده) را بررسی می‌کند و بررسی می‌کند که آیا مجموعه‌ای از شرایط برآورده شده است یا خیر. شرایط مبتنی بر رشته‌های متنی، توالی‌های هگزادسیمال، عبارات منظم یا ویژگی‌های فایلاگر شرط برقرار باشد، یک «تطابق» وجود دارد و می‌توانید هشدار دهید، مسدود کنید یا تجزیه و تحلیل عمیق‌تری انجام دهید.

این رویکرد به تیم‌های امنیتی اجازه می‌دهد شناسایی و طبقه‌بندی انواع بدافزارها: ویروس‌های کلاسیک، کرم‌ها، تروجان‌ها، باج‌افزارها، وب‌شِل‌ها، کریپتوماینرها، ماکروهای مخرب و موارد دیگراین ابزار به پسوندها یا فرمت‌های خاص فایل محدود نمی‌شود، بنابراین یک فایل اجرایی پنهان با پسوند .pdf یا یک فایل HTML حاوی webshell را نیز تشخیص می‌دهد.

علاوه بر این، YARA در حال حاضر با بسیاری از سرویس‌ها و ابزارهای کلیدی اکوسیستم امنیت سایبری ادغام شده است: VirusTotal، sandboxهایی مانند Cuckoo، پلتفرم‌های پشتیبان‌گیری مانند Veeam یا راهکارهای شکار تهدید از تولیدکنندگان برتربنابراین، تسلط بر YARA تقریباً به یک الزام برای تحلیلگران و محققان پیشرفته تبدیل شده است.

موارد استفاده پیشرفته YARA در تشخیص بدافزار

یکی از نقاط قوت YARA این است که مانند یک دستکش با سناریوهای امنیتی متعدد، از مرکز عملیات امنیت (SOC) گرفته تا آزمایشگاه بدافزار، سازگار می‌شود. همین قوانین هم برای شکارهای تک‌مرحله‌ای و هم برای نظارت مداوم اعمال می‌شود..

مستقیم‌ترین مورد شامل ایجاد قوانین خاص برای بدافزارهای خاص یا کل خانواده‌هااگر سازمان شما توسط یک کمپین مبتنی بر یک خانواده شناخته‌شده (مثلاً یک تروجان دسترسی از راه دور یا یک تهدید APT) مورد حمله قرار گرفته است، می‌توانید رشته‌ها و الگوهای مشخصه را پروفایل کنید و قوانینی را ایجاد کنید که به سرعت نمونه‌های مرتبط جدید را شناسایی کنند.

یکی دیگر از کاربردهای کلاسیک، تمرکز بر یارا بر اساس امضاهااین قوانین برای یافتن هش‌ها، رشته‌های متنی بسیار خاص، قطعه کدها، کلیدهای رجیستری یا حتی توالی‌های بایت خاصی که در انواع مختلف یک بدافزار تکرار می‌شوند، طراحی شده‌اند. با این حال، به خاطر داشته باشید که اگر فقط رشته‌های بی‌اهمیت را جستجو کنید، خطر ایجاد نتایج مثبت کاذب را به جان می‌خرید.

یارا همچنین در فیلتر کردن بر اساس ... می‌درخشد. انواع فایل یا ویژگی‌های ساختاریمی‌توان با ترکیب رشته‌ها با ویژگی‌هایی مانند اندازه فایل، سرآیندهای خاص (مثلاً 0x5A4D برای فایل‌های اجرایی PE) یا وارد کردن توابع مشکوک، قوانینی ایجاد کرد که بر فایل‌های اجرایی PE، اسناد آفیس، PDFها یا تقریباً هر فرمتی اعمال شوند.

در محیط‌های مدرن، استفاده از آن مرتبط با inteligencia de amenazasمخازن عمومی، گزارش‌های تحقیقاتی و فیدهای IOC به قوانین YARA ترجمه می‌شوند که در SIEM، EDR، پلتفرم‌های پشتیبان‌گیری یا sandboxها ادغام می‌شوند. این امر به سازمان‌ها اجازه می‌دهد تا به سرعت تهدیدات نوظهوری را که ویژگی‌های مشترکی با کمپین‌های از پیش تحلیل‌شده دارند، شناسایی کنید..

درک سینتکس قوانین YARA

سینتکس یارا کاملاً شبیه به زبان C است، اما به روشی ساده‌تر و متمرکزتر. هر قانون شامل یک نام، یک بخش فراداده اختیاری، یک بخش رشته و لزوماً یک بخش شرط است.از اینجا به بعد، قدرت در این است که چگونه همه این‌ها را با هم ترکیب می‌کنید.

Lo primero es el نام قانونباید درست بعد از کلمه کلیدی قرار بگیرد rule (o regla اگر به زبان اسپانیایی مستندسازی کنید، اگرچه کلمه کلیدی موجود در فایل ... خواهد بود ruleو باید یک شناسه معتبر باشد: بدون فاصله، بدون عدد و بدون زیرخط. ایده خوبی است که از یک قرارداد واضح پیروی کنید، مثلاً چیزی شبیه به نوع_خانواده_بدافزار o ابزار بازیگر APT، که به شما امکان می‌دهد با یک نگاه مشخص کنید که قرار است چه چیزی را تشخیص دهد.

محتوای اختصاصی - اینجا را کلیک کنید ¿Cómo Saber si Alguien Espía Mi WhatsApp?

بخش بعدی می‌آید stringsجایی که الگوهایی را که می‌خواهید جستجو کنید تعریف می‌کنید. در اینجا می‌توانید از سه نوع اصلی استفاده کنید: رشته‌های متنی، توالی‌های هگزادسیمال و عبارات منظمرشته‌های متنی برای قطعه کدهای قابل خواندن توسط انسان، URLها، پیام‌های داخلی، نام‌های مسیر یا PDBها ایده‌آل هستند. هگزادسیمال‌ها به شما امکان می‌دهند الگوهای بایت خام را ثبت کنید، که در مواقعی که کد مبهم‌سازی شده است اما توالی‌های ثابت خاصی را حفظ می‌کند، بسیار مفید هستند.

عبارات منظم، انعطاف‌پذیری لازم را در مواقعی که نیاز به پوشش تغییرات کوچک در یک رشته دارید، مانند تغییر دامنه‌ها یا بخش‌های کمی تغییر یافته از کد، فراهم می‌کنند. علاوه بر این، هم رشته‌ها و هم regex اجازه می‌دهند که escapeها بایت‌های دلخواه را نمایش دهند.، که دریچه‌ای به سوی الگوهای ترکیبی بسیار دقیق می‌گشاید.

La sección condition این تنها مورد اجباری است و تعریف می‌کند که چه زمانی یک قانون، «مطابقت» با یک فایل در نظر گرفته می‌شود. در آنجا از عملیات بولی و حسابی استفاده می‌کنید (و، یا، نه، +، -، *، /، هر، همه، شامل، و غیره.) برای بیان منطق تشخیص دقیق‌تر از یک عبارت ساده‌ی «اگر این رشته ظاهر شود».

برای مثال، می‌توانید مشخص کنید که این قانون فقط در صورتی معتبر است که فایل از اندازه مشخصی کوچکتر باشد، اگر همه رشته‌های حیاتی ظاهر شوند، یا اگر حداقل یکی از چندین رشته وجود داشته باشد. همچنین می‌توانید شرایطی مانند طول رشته، تعداد تطابق‌ها، آفست‌های خاص در فایل یا اندازه خود فایل را با هم ترکیب کنید.خلاقیت در اینجا تفاوت بین قوانین عمومی و تشخیص‌های جراحی را ایجاد می‌کند.

در نهایت، بخش اختیاری را دارید metaایده‌آل برای مستندسازی آن دوره. رایج است که شامل شود نویسنده، تاریخ ایجاد، توضیحات، نسخه داخلی، ارجاع به گزارش‌ها یا تیکت‌ها و به طور کلی، هر اطلاعاتی که به سازماندهی و قابل فهم نگه داشتن مخزن برای سایر تحلیلگران کمک کند.

مثال‌های عملی از قوانین پیشرفته YARA

برای اینکه همه موارد فوق را در یک چشم‌انداز قرار دهیم، مفید است که ببینیم یک قانون ساده چگونه ساختار یافته و چگونه وقتی فایل‌های اجرایی، واردات مشکوک یا توالی‌های دستورالعمل تکراری وارد عمل می‌شوند، پیچیده‌تر می‌شود. بیایید با یک خط کش اسباب بازی شروع کنیم و به تدریج اندازه آن را افزایش دهیم..

یک قانون حداقلی می‌تواند فقط شامل یک رشته و شرطی باشد که آن را اجباری می‌کند. برای مثال، می‌توانید یک رشته متنی خاص یا یک توالی بایت که نماینده یک قطعه بدافزار است را جستجو کنید. در آن صورت، شرط به سادگی بیان می‌کند که اگر آن رشته یا الگو ظاهر شود، آن قانون برآورده شده است.، بدون فیلترهای بیشتر.

با این حال، در شرایط واقعی این امر کافی نیست، زیرا زنجیره‌های ساده اغلب مثبت‌های کاذب زیادی ایجاد می‌کنندبه همین دلیل است که ترکیب چندین رشته (متن و هگزادسیمال) با محدودیت‌های اضافی رایج است: اینکه فایل از اندازه مشخصی تجاوز نکند، حاوی سرآیندهای خاصی باشد، یا اینکه فقط در صورتی فعال شود که حداقل یک رشته از هر گروه تعریف شده پیدا شود.

یک مثال معمول در تحلیل فایل‌های اجرایی PE شامل وارد کردن ماژول است. pe از YARA، که به شما امکان می‌دهد ویژگی‌های داخلی فایل باینری را جستجو کنید: توابع وارد شده، بخش‌ها، مهرهای زمانی و غیره. یک قانون پیشرفته می‌تواند الزام کند که فایل وارد شود CreateProcess desde Kernel32.dll و برخی از توابع HTTP از wininet.dll، علاوه بر این که حاوی یک رشته خاص است که نشان‌دهنده رفتار مخرب است.

این نوع منطق برای مکان‌یابی عالی است تروجان‌هایی با قابلیت اتصال از راه دور یا استخراج اطلاعاتحتی وقتی نام فایل‌ها یا مسیرها از یک کمپین به کمپین دیگر تغییر می‌کنند. نکته مهم این است که روی رفتار اساسی تمرکز کنیم: ایجاد فرآیند، درخواست‌های HTTP، رمزگذاری، ماندگاری و غیره.

یکی دیگر از تکنیک‌های بسیار مؤثر، نگاه کردن به توالی دستورالعمل‌هایی که تکرار می‌شوند بین نمونه‌هایی از یک خانواده. حتی اگر مهاجمان فایل باینری را بسته‌بندی یا مبهم‌سازی کنند، اغلب از بخش‌هایی از کد که تغییر آنها دشوار است، دوباره استفاده می‌کنند. اگر پس از تجزیه و تحلیل استاتیک، بلوک‌های ثابتی از دستورالعمل‌ها را پیدا کردید، می‌توانید با ... یک قانون تدوین کنید. کاراکترهای جایگزین در رشته‌های هگزادسیمال که آن الگو را ثبت می‌کند و در عین حال تلورانس خاصی را حفظ می‌کند.

با این قوانین «مبتنی بر رفتار کد» این امکان وجود دارد ردیابی کل کمپین‌های بدافزاری مانند کمپین‌های PlugX/Korplug یا سایر خانواده‌های APTشما فقط یک هش خاص را تشخیص نمی‌دهید، بلکه به اصطلاح، سبک توسعه‌ی مهاجمان را دنبال می‌کنید.

استفاده از YARA در کمپین‌های واقعی و تهدیدات روز صفر

یارا (YARA) ارزش خود را به ویژه در زمینه تهدیدات پیشرفته و اکسپلویت‌های روز صفر (zero-day) که مکانیزم‌های حفاظتی کلاسیک خیلی دیر از راه می‌رسند، ثابت کرده است. یک مثال شناخته‌شده، استفاده از YARA برای یافتن یک آسیب‌پذیری در Silverlight از طریق حداقل اطلاعات فاش‌شده است..

در آن مورد، از ایمیل‌های دزدیده شده از شرکتی که به توسعه ابزارهای تهاجمی اختصاص داشت، الگوهای کافی برای ساخت یک قانون جهت‌دار برای یک سوءاستفاده خاص استنباط شد. با همین قانون واحد، محققان توانستند نمونه را از میان انبوهی از فایل‌های مشکوک ردیابی کنند.آسیب‌پذیری را شناسایی کرده و وصله‌های امنیتی آن را اعمال کنید تا از آسیب‌های جدی‌تر جلوگیری شود.

این نوع داستان‌ها نشان می‌دهند که چگونه یارا می‌تواند به عنوان تور ماهیگیری در دریایی از پرونده‌هاشبکه شرکتی خود را مانند اقیانوسی پر از «ماهی» (فایل) از انواع مختلف تصور کنید. قوانین شما مانند محفظه‌هایی در یک تور ماهیگیری هستند: هر محفظه ماهی‌هایی را که با ویژگی‌های خاصی مطابقت دارند، نگه می‌دارد.

محتوای اختصاصی - اینجا را کلیک کنید ¿Cómo detectar un gas?

وقتی کشیدن را تمام کردید، باید نمونه‌هایی که بر اساس شباهت به خانواده‌ها یا گروه‌های خاصی از مهاجمان گروه‌بندی شده‌اند: «شبیه به گونه X»، «شبیه به گونه Y» و غیره. برخی از این نمونه‌ها ممکن است برای شما کاملاً جدید باشند (باینری‌های جدید، کمپین‌های جدید)، اما در یک الگوی شناخته‌شده قرار می‌گیرند که طبقه‌بندی و پاسخ شما را سرعت می‌بخشد.

برای بهره‌مندی هرچه بیشتر از YARA در این زمینه، بسیاری از سازمان‌ها با هم ترکیب می‌شوند آموزش پیشرفته، آزمایشگاه‌های عملی و محیط‌های آزمایش کنترل‌شدهدوره‌های بسیار تخصصی وجود دارد که منحصراً به هنر نوشتن قوانین خوب اختصاص داده شده‌اند، که اغلب مبتنی بر موارد واقعی جاسوسی سایبری هستند، و در آنها دانشجویان با نمونه‌های معتبر تمرین می‌کنند و یاد می‌گیرند که حتی وقتی دقیقاً نمی‌دانند دنبال چه چیزی هستند، به دنبال «چیزی» بگردند.

ادغام YARA در پلتفرم‌های پشتیبان‌گیری و بازیابی

یکی از حوزه‌هایی که YARA کاملاً در آن جای می‌گیرد و اغلب تا حدودی نادیده گرفته می‌شود، حفاظت از پشتیبان‌ها است. اگر نسخه‌های پشتیبان به بدافزار یا باج‌افزار آلوده شده باشند، بازیابی می‌تواند کل کمپین را مجدداً راه‌اندازی کند.به همین دلیل است که برخی از تولیدکنندگان موتورهای YARA را مستقیماً در راه‌حل‌های خود گنجانده‌اند.

پلتفرم‌های پشتیبان‌گیری نسل بعدی می‌توانند راه‌اندازی شوند جلسات تحلیل مبتنی بر قانون YARA روی نقاط بازیابیهدف دوگانه است: یافتن آخرین نقطه "پاک" قبل از وقوع حادثه و شناسایی محتوای مخرب پنهان در فایل‌هایی که ممکن است توسط سایر بررسی‌ها فعال نشده باشند.

در این محیط‌ها، فرآیند معمول شامل انتخاب گزینه‌ای از «اسکن نقاط بازیابی با خط‌کش YARA«در طول پیکربندی یک کار تحلیلی. در مرحله بعد، مسیر فایل قوانین مشخص می‌شود (معمولاً با پسوند .yara یا .yar)، که معمولاً در یک پوشه پیکربندی مخصوص راهکار پشتیبان‌گیری ذخیره می‌شود.»

در حین اجرا، موتور اشیاء موجود در کپی را مرور می‌کند، قوانین را اعمال می‌کند و این ابزار تمام تطابق‌ها را در یک گزارش تحلیل خاص YARA ثبت می‌کند.مدیر سیستم می‌تواند این گزارش‌ها را از طریق کنسول مشاهده کند، آمار را بررسی کند، ببیند کدام فایل‌ها باعث ایجاد هشدار شده‌اند و حتی ماشین‌ها و تاریخ دقیق هر مورد منطبق را ردیابی کند.

این ادغام توسط مکانیسم‌های دیگری مانند تشخیص ناهنجاری، نظارت بر اندازه پشتیبان، جستجوی IOC های خاص یا تجزیه و تحلیل ابزارهای مشکوکاما وقتی صحبت از قوانین متناسب با یک خانواده یا کمپین باج‌افزاری خاص می‌شود، YARA بهترین ابزار برای اصلاح آن جستجو است.

چگونه قوانین YARA را بدون ایجاد اختلال در شبکه آزمایش و اعتبارسنجی کنیم؟

وقتی شروع به نوشتن قوانین خودتان کردید، قدم مهم بعدی آزمایش کامل آنهاست. یک قانون بیش از حد تهاجمی می‌تواند سیلی از نتایج مثبت کاذب ایجاد کند، در حالی که یک قانون بیش از حد سهل‌گیرانه می‌تواند باعث شود تهدیدهای واقعی از قلم بیفتند.به همین دلیل مرحله آزمایش به همان اندازه مرحله نوشتن مهم است.

خبر خوب این است که برای انجام این کار نیازی به راه‌اندازی آزمایشگاهی پر از بدافزارهای فعال و آلوده کردن نیمی از شبکه ندارید. مخازن و مجموعه داده‌هایی وجود دارند که این اطلاعات را ارائه می‌دهند. نمونه‌های بدافزار شناخته‌شده و کنترل‌شده برای اهداف تحقیقاتیشما می‌توانید آن نمونه‌ها را در یک محیط ایزوله دانلود کنید و از آنها به عنوان بستری برای آزمایش قوانین خود استفاده کنید.

رویکرد معمول این است که با اجرای YARA به صورت محلی، از خط فرمان، روی یک دایرکتوری حاوی فایل‌های مشکوک شروع کنیم. اگر قوانین شما در جاهایی که باید، مطابقت دارند و به ندرت در فایل‌های تمیز نقض می‌شوند، در مسیر درستی هستید.اگر آنها بیش از حد فعال می‌شوند، وقت آن است که رشته‌ها را بررسی کنید، شرایط را اصلاح کنید یا محدودیت‌های بیشتری (اندازه، واردات، جبران خسارت و غیره) اعمال کنید.

نکته کلیدی دیگر این است که مطمئن شوید قوانین شما عملکرد را به خطر نمی‌اندازند. هنگام اسکن دایرکتوری‌های بزرگ، پشتیبان‌گیری کامل یا مجموعه‌های نمونه عظیم، قوانینی که به خوبی بهینه نشده‌اند می‌توانند تحلیل را کند کرده یا منابع بیشتری از حد مطلوب مصرف کنند.بنابراین، توصیه می‌شود زمان‌بندی‌ها را اندازه‌گیری کنید، عبارات پیچیده را ساده کنید و از عبارات منظم بیش از حد سنگین خودداری کنید.

پس از گذراندن آن مرحله آزمایش آزمایشگاهی، شما قادر خواهید بود قوانین را به محیط تولید منتقل کنیدچه در SIEM شما باشد، چه در سیستم‌های پشتیبان‌گیری، سرورهای ایمیل یا هر جایی که می‌خواهید آنها را ادغام کنید. و فراموش نکنید که یک چرخه بررسی مداوم را حفظ کنید: با تکامل کمپین‌ها، قوانین شما نیاز به تنظیمات دوره‌ای خواهند داشت.

ابزارها، برنامه‌ها و گردش کار با YARA

شناسایی فایل‌های بدون فایل

فراتر از فایل باینری رسمی، بسیاری از متخصصان برنامه‌ها و اسکریپت‌های کوچکی را پیرامون YARA توسعه داده‌اند تا استفاده روزانه از آن را تسهیل کنند. یک رویکرد معمول شامل ایجاد یک برنامه برای کیت امنیتی خودتان را بسازید که به طور خودکار تمام قوانین موجود در یک پوشه را می‌خواند و آنها را در یک دایرکتوری تجزیه و تحلیل اعمال می‌کند.

این نوع ابزارهای خانگی معمولاً با یک ساختار دایرکتوری ساده کار می‌کنند: یک پوشه برای قوانین دانلود شده از اینترنت (برای مثال، “rulesyar”) و پوشه دیگری برای فایل‌های مشکوک برای تجزیه و تحلیل (برای مثال، «بدافزار»). وقتی برنامه شروع به کار می‌کند، بررسی می‌کند که هر دو پوشه وجود دارند، قوانین را روی صفحه فهرست می‌کند و برای اجرا آماده می‌شود.

وقتی دکمه‌ای مثل «شروع تأییدسپس برنامه، فایل اجرایی YARA را با پارامترهای مورد نظر اجرا می‌کند: اسکن تمام فایل‌های موجود در پوشه، تحلیل بازگشتی زیرشاخه‌ها، نمایش آمار، چاپ فراداده و غیره. هرگونه تطابق در یک پنجره نتایج نمایش داده می‌شود که نشان می‌دهد کدام فایل با کدام قانون مطابقت دارد.

محتوای اختصاصی - اینجا را کلیک کنید ¿Signal Houseparty tiene una opción de autodestrucción de mensajes?

این گردش کار، برای مثال، امکان تشخیص مشکلات در دسته‌ای از ایمیل‌های صادر شده را فراهم می‌کند. تصاویر جاسازی‌شده‌ی مخرب، پیوست‌های خطرناک یا وب‌شِل‌های پنهان‌شده در فایل‌های به‌ظاهر بی‌خطربسیاری از تحقیقات قانونی در محیط‌های شرکتی دقیقاً به این نوع مکانیسم متکی هستند.

در مورد پارامترهای مفید هنگام فراخوانی YARA، گزینه‌هایی مانند موارد زیر برجسته هستند: ‎-r برای جستجوی بازگشتی، -S برای نمایش آمار، -m برای استخراج فراداده و -w برای نادیده گرفتن هشدارهابا ترکیب این پرچم‌ها می‌توانید رفتار را متناسب با مورد خود تنظیم کنید: از یک تحلیل سریع در یک دایرکتوری خاص گرفته تا اسکن کامل یک ساختار پوشه پیچیده.

بهترین شیوه‌ها هنگام نوشتن و نگهداری قوانین YARA

برای جلوگیری از تبدیل شدن مخزن قوانین به یک آشفتگی غیرقابل مدیریت، توصیه می‌شود مجموعه‌ای از بهترین شیوه‌ها را به کار بگیرید. اولین مورد، کار با قالب‌ها و قراردادهای نامگذاری سازگار است.به طوری که هر تحلیلگری بتواند با یک نگاه بفهمد که هر قانون چه کاری انجام می‌دهد.

بسیاری از تیم‌ها یک قالب استاندارد را اتخاذ می‌کنند که شامل موارد زیر است: یک سرصفحه با فراداده، برچسب‌هایی که نوع تهدید، عامل یا پلتفرم را نشان می‌دهند و شرح روشنی از آنچه شناسایی می‌شوداین نه تنها به صورت داخلی مفید است، بلکه وقتی قوانین را با جامعه به اشتراک می‌گذارید یا در مخازن عمومی مشارکت می‌کنید، نیز مفید است.

توصیه دیگر این است که همیشه به یاد داشته باشید که یارا فقط یک لایه دفاعی دیگر استاین جایگزین نرم‌افزار آنتی‌ویروس یا EDR نمی‌شود، بلکه آنها را در استراتژی‌ها تکمیل می‌کند. از رایانه ویندوزی خود محافظت کنیددر حالت ایده‌آل، YARA باید در چارچوب‌های مرجع گسترده‌تری مانند چارچوب NIST قرار گیرد که به شناسایی، حفاظت، تشخیص، پاسخ و بازیابی دارایی‌ها نیز می‌پردازد.

از نظر فنی، ارزشش را دارد که برایش وقت بگذارید. evitar falsos positivosاین شامل اجتناب از رشته‌های بیش از حد عمومی، ترکیب چندین شرط و استفاده از عملگرهایی مانند all of o any of از مغزتان استفاده کنید و از ویژگی‌های ساختاری فایل بهره ببرید. هرچه منطق پیرامون رفتار بدافزار دقیق‌تر باشد، بهتر است.

در نهایت، نظم و انضباط را رعایت کنید نسخه‌بندی و بررسی دوره‌ای این بسیار مهم است. خانواده‌های بدافزار تکامل می‌یابند، شاخص‌ها تغییر می‌کنند و قوانینی که امروزه کار می‌کنند ممکن است ناکارآمد یا منسوخ شوند. بررسی و اصلاح دوره‌ای مجموعه قوانین شما بخشی از بازی موش و گربه امنیت سایبری است.

جامعه یارا و منابع موجود

یکی از دلایل اصلی موفقیت یارا تا به اینجا، قدرت جامعه‌ی آن است. محققان، شرکت‌های امنیتی و تیم‌های واکنش از سراسر جهان به‌طور مداوم قوانین، مثال‌ها و مستندات را به اشتراک می‌گذارند.ایجاد یک اکوسیستم بسیار غنی.

نکته اصلی مرجع این است که مخزن رسمی YARA در گیت‌هابدر آنجا می‌توانید آخرین نسخه‌های ابزار، کد منبع و پیوندهایی به مستندات را پیدا کنید. از آنجا می‌توانید پیشرفت پروژه را دنبال کنید، مشکلات را گزارش دهید یا در صورت تمایل در بهبودها مشارکت کنید.

مستندات رسمی، که در پلتفرم‌هایی مانند ReadTheDocs موجود است، ارائه می‌دهد یک راهنمای کامل سینتکس، ماژول‌های موجود، مثال‌های قواعد و مراجع استفادهاین یک منبع ضروری برای بهره‌گیری از پیشرفته‌ترین توابع، مانند بازرسی PE، ELF، قوانین حافظه یا ادغام با ابزارهای دیگر است.

علاوه بر این، مخازن عمومی از قوانین و امضاهای YARA وجود دارد که تحلیلگران از سراسر جهان در آن حضور دارند. آنها مجموعه‌های آماده برای استفاده یا مجموعه‌هایی را منتشر می‌کنند که می‌توانند با نیازهای شما سازگار شوند.این مخازن معمولاً شامل قوانینی برای خانواده‌های خاص بدافزار، کیت‌های بهره‌برداری، ابزارهای تست نفوذ مخرب، وب‌شِل‌ها، کریپتوماینرها و موارد دیگر هستند.

به موازات آن، بسیاری از تولیدکنندگان و گروه‌های تحقیقاتی ارائه می‌دهند آموزش‌های ویژه در یارا، از سطوح پایه تا دوره‌های بسیار پیشرفتهاین ابتکارات اغلب شامل آزمایشگاه‌های مجازی و تمرین‌های عملی مبتنی بر سناریوهای دنیای واقعی می‌شوند. برخی از آنها حتی به صورت رایگان به سازمان‌های غیرانتفاعی یا نهادهایی که به ویژه در برابر حملات هدفمند آسیب‌پذیر هستند، ارائه می‌شوند.

کل این اکوسیستم به این معنی است که با کمی فداکاری، می‌توانید از نوشتن اولین قوانین اساسی خود به توسعه مجموعه‌های پیچیده‌ای که قادر به ردیابی کمپین‌های پیچیده و شناسایی تهدیدهای بی‌سابقه باشندو با ترکیب YARA با آنتی‌ویروس‌های سنتی، پشتیبان‌گیری امن و هوش تهدید، کار را برای عوامل مخربی که در اینترنت پرسه می‌زنند، به طور قابل توجهی دشوارتر می‌کنید.

با توجه به تمام موارد فوق، واضح است که YARA چیزی فراتر از یک ابزار خط فرمان ساده است: این یک ... pieza clave در هر استراتژی پیشرفته تشخیص بدافزار، ابزاری انعطاف‌پذیر که با طرز فکر شما به عنوان یک تحلیلگر سازگار می‌شود و ... زبان مشترک که آزمایشگاه‌ها، مراکز عملیات امنیتی (SOC) و جوامع تحقیقاتی در سراسر جهان را به هم متصل می‌کند و به هر قانون جدید اجازه می‌دهد تا لایه دیگری از محافظت در برابر کمپین‌های پیچیده‌تر را اضافه کند.

مقاله مرتبط:

نحوه شناسایی بدافزارهای خطرناک بدون فایل در ویندوز 11

کریستین گارسیا

از کودکی علاقه زیادی به فناوری داشت. من عاشق به روز بودن در این بخش و مهمتر از همه، برقراری ارتباط با آن هستم. به همین دلیل است که من سال‌هاست که به ارتباطات در وب‌سایت‌های فناوری و بازی‌های ویدیویی اختصاص داده‌ام. می‌توانید در مورد Android، Windows، MacOS، iOS، Nintendo یا هر موضوع مرتبط دیگری که به ذهنم می‌آید بنویسم.