Hoe kinne jo YARA brûke foar avansearre malware-deteksje

¿Hoe kinne jo YARA brûke foar avansearre malware-deteksje? As tradisjonele antivirusprogramma's har grinzen berikke en oanfallers troch elke mooglike barst hinne glippe, komt in ark yn it spul dat ûnmisber wurden is yn ynsidintresponslaboratoria: YARA, it "Switserske mes" foar it jeien fan malwareUntworpen om famyljes fan kweade software te beskriuwen mei help fan tekstuele en binêre patroanen, makket it mooglik om folle fierder te gean as ienfâldige hash-matching.

Yn 'e goede hannen is YARA net allinich foar it lokalisearjen net allinich bekende malware-foarbylden, mar ek nije farianten, zero-day exploits, en sels kommersjele offensive arkYn dit artikel sille wy yngeand en praktysk ûndersykje hoe't jo YARA brûke kinne foar avansearre malware-deteksje, hoe't jo robuste regels skriuwe kinne, hoe't jo se testen kinne, hoe't jo se yntegrearje kinne yn platfoarms lykas Veeam of jo eigen analyseworkflow, en hokker bêste praktiken de profesjonele mienskip folget.

Wat is YARA en wêrom is it sa krêftich yn it opspoaren fan malware?

YARA stiet foar "Yet Another Recursive Acronym" en is in de facto standert wurden yn bedrigingsanalyse, om't It makket it mooglik om malware-famyljes te beskriuwen mei help fan lêsbere, dúdlike en tige fleksibele regels.Ynstee fan allinich te fertrouwen op statyske antivirus-hântekeningen, wurket YARA mei patroanen dy't jo sels definiearje.

It basisidee is ienfâldich: in YARA-regel ûndersiket in bestân (of ûnthâld, of gegevensstream) en kontrolearret oft oan in searje betingsten foldien wurdt. betingsten basearre op tekststrings, heksadesimale sekwinsjes, reguliere útdrukkings of triemeigenskippenAs oan de betingst foldien wurdt, is der in "oerienkomst" en kinne jo warskôgje, blokkearje of mear yngeande analyze útfiere.

Dizze oanpak makket it mooglik foar befeiligingsteams Identifisearje en klassifisearje malware fan alle soarten: klassike firussen, wjirms, Trojans, ransomware, webshells, kryptominers, kweade makro's, en folle mearIt is net beheind ta spesifike bestânsútwreidings of formaten, dus it detektearret ek in ferklaaid útfierber bestân mei in .pdf-útwreiding of in HTML-bestân mei in webshell.

Fierder is YARA al yntegrearre yn in protte wichtige tsjinsten en ark fan it cybersecurity-ekosysteem: VirusTotal, sandboxes lykas Cuckoo, reservekopyplatfoarms lykas Veeam, of oplossingen foar bedrigingsjacht fan topfabrikantenDêrom is it behearskjen fan YARA hast in eask wurden foar avansearre analysten en ûndersikers.

Avansearre gebrûksgefallen fan YARA yn malware-deteksje

Ien fan 'e sterke punten fan YARA is dat it him as in hanske oanpast oan meardere befeiligingsscenario's, fan 'e SOC oant it malware-laboratoarium. Deselde regels jilde foar sawol ienmalige jachten as trochgeande monitoaring..

It meast direkte gefal giet oer it meitsjen fan spesifike regels foar spesifike malware of hiele famyljesAs jo ​​organisaasje oanfallen wurdt troch in kampanje basearre op in bekende famylje (bygelyks in trojan foar tagong op ôfstân of in APT-bedriging), kinne jo karakteristike strings en patroanen profilearje en regels ynstelle dy't fluch nije relatearre foarbylden identifisearje.

In oar klassike gebrûk is de fokus fan YARA basearre op hantekeningenDizze regels binne ûntworpen om hashes, tige spesifike tekststrings, koadefragminten, registersleutels, of sels spesifike bytesekwinsjes te finen dy't werhelle wurde yn meardere farianten fan deselde malware. Hâld lykwols yn gedachten dat as jo allinich sykje nei triviale strings, jo it risiko rinne om falske positiven te generearjen.

YARA blinkt ek út as it giet om filterjen op bestânstypen of strukturele skaaimerkenIt is mooglik om regels te meitsjen dy't jilde foar PE-útfierbere bestannen, kantoardokuminten, PDF's, of praktysk elk formaat, troch strings te kombinearjen mei eigenskippen lykas bestânsgrutte, spesifike kopteksten (bygelyks 0x5A4D foar PE-útfierbere bestannen), of fertochte funksje-ymporten.

Yn moderne omjouwings is it gebrûk keppele oan de bedrigingsyntelliginsjeIepenbiere repositories, ûndersyksrapporten en IOC-feeds wurde oerset yn YARA-regels dy't yntegrearre binne yn SIEM, EDR, reservekopyplatfoarms of sandboxes. Dit makket it mooglik foar organisaasjes om fluch opkommende bedrigingen ûntdekke dy't skaaimerken diele mei kampanjes dy't al analysearre binne.

De syntaksis fan YARA-regels begripe

De syntaksis fan YARA is frij fergelykber mei dy fan C, mar op in ienfâldiger en mear rjochte manier. Elke regel bestiet út in namme, in opsjonele metadata-seksje, in tekenrige-seksje, en, needsaaklikerwize, in betingstseksje.Fan hjir ôf leit de krêft yn hoe't jo dat allegear kombinearje.

De earste is de regelnammeIt moat direkt nei it kaaiwurd komme regel (o regel As jo ​​yn it Spaansk dokumintearje, hoewol it kaaiwurd yn it bestân sil wêze regelen moat in jildige identifier wêze: gjin spaasjes, gjin getal en gjin ûnderstreek. It is in goed idee om in dúdlike konvinsje te folgjen, bygelyks soksawat as Malware_Famylje_Fariant o APT_Aktor_Tool, wêrtroch jo yn ien eachopslach kinne identifisearje wat it bedoeld is om te detektearjen.

Folgjende komt de seksje stringswêr't jo de patroanen definiearje dy't jo sykje wolle. Hjir kinne jo trije haadtypen brûke: tekststrings, heksadesimale sekwinsjes en reguliere útdrukkingsTekststrings binne ideaal foar minsklik lêsbere koadefragminten, URL's, ynterne berjochten, paadnammen of PDB's. Heksadesimalen litte jo rûge bytepatroanen fêstlizze, dy't tige nuttich binne as de koade fertsjustere is, mar bepaalde konstante sekwinsjes behâldt.

Reguliere útdrukkings jouwe fleksibiliteit as jo lytse fariaasjes yn in tekenrige moatte dekke, lykas it feroarjen fan domeinen of wat feroare dielen fan koade. Fierder tastean sawol strings as regex escapes om willekeurige bytes te fertsjintwurdigjen, wat de doar iepenet foar tige presys hybride patroanen.

Seksje betingst It is de ienige ferplichte en definiearret wannear't in regel beskôge wurdt as "oerienkommende" mei in bestân. Dêr brûke jo Booleaanske en rekkenkundige operaasjes (en, of, net, +, -, *, /, elk, alles, befettet, ensfh.) om finer deteksjelogika út te drukken as in ienfâldige "as dizze tekenrige ferskynt".

Bygelyks, jo kinne oanjaan dat de regel allinich jildich is as it bestân lytser is as in bepaalde grutte, as alle krityske tekenrige ferskine, of as teminsten ien fan ferskate tekenrige oanwêzich is. Jo kinne ek betingsten kombinearje lykas tekenrigelingte, oantal oerienkomsten, spesifike offsets yn it bestân, of de grutte fan it bestân sels.Kreativiteit makket hjir it ferskil tusken generike regels en sjirurgyske deteksjes.

Uteinlik hawwe jo de opsjonele seksje metaIdeaal foar it dokumintearjen fan 'e perioade. It is gewoan om op te nimmen auteur, oanmeitsjensdatum, beskriuwing, ynterne ferzje, ferwizing nei rapporten of kaartsjes en, yn 't algemien, alle ynformaasje dy't helpt om de repository organisearre en begryplik te hâlden foar oare analysten.

Praktyske foarbylden fan avansearre YARA-regels

Om al it boppesteande yn perspektyf te pleatsen, is it handich om te sjen hoe't in ienfâldige regel strukturearre is en hoe't it komplekser wurdt as útfierbere bestannen, fertochte ymporten of werhelle ynstruksjesekwinsjes yn it spul komme. Litte wy begjinne mei in boartersguodliniaal en stadichoan de grutte fergrutsje..

In minimale regel kin allinich in tekenrige en in betingst befetsje dy't it ferplicht makket. Jo kinne bygelyks sykje nei in spesifike tekststring of in bytesekwinsje dy't in malwarefragment fertsjintwurdiget. De betingst soe yn dat gefal gewoan oanjaan dat oan de regel foldien wurdt as dy tekenrige of patroan ferskynt., sûnder fierdere filters.

Yn 'e praktyk falt dit lykwols net ta, om't Ienfâldige keatlingen generearje faak in protte falske positivenDêrom is it gewoan om ferskate tekenrige (tekst en heksadesimaal) te kombinearjen mei ekstra beheiningen: dat it bestân in bepaalde grutte net grutter is, dat it spesifike kopteksten befettet, of dat it allinich aktivearre wurdt as teminsten ien tekenrige út elke definieare groep fûn wurdt.

In typysk foarbyld yn PE-útfierbere analyze omfettet it ymportearjen fan 'e module pe fan YARA, wêrmei jo ynterne eigenskippen fan it binêre bestân kinne opfreegje: ymportearre funksjes, seksjes, tiidstempels, ensfh. In avansearre regel kin fereaskje dat it bestân ymportearre wurdt MeitsjeProses fan Kernel32.dll en guon HTTP-funksjes fan wininet.dll, neist it befetsjen fan in spesifike tekenrige dy't oanjout op kwea-aardich gedrach.

Dit soarte logika is perfekt foar it lokalisearjen fan Trojanen mei ferbining op ôfstân of útfiltraasjemooglikhedensels as bestânsnammen of paden feroarje fan de iene kampanje nei de oare. It wichtige is om te fokusjen op it ûnderlizzende gedrach: prosesoanmeitsjen, HTTP-oanfragen, fersifering, persistinsje, ensfh.

In oare tige effektive technyk is om te sjen nei de sekwinsjes fan ynstruksjes dy't werhelle wurde tusken foarbylden út deselde famylje. Sels as oanfallers it binêre koade ynpakke of fertsjusterje, brûke se faak dielen fan koade opnij dy't lestich te feroarjen binne. As jo, nei statyske analyze, konstante blokken ynstruksjes fine, kinne jo in regel formulearje mei wildcards yn heksadesimale tekenrige dat dat patroan fangt wylst in bepaalde tolerânsje behâlden wurdt.

Mei dizze "op koadegedrach basearre" regels is it mooglik folgje hiele malwarekampanjes lykas dy fan PlugX/Korplug of oare APT-famyljesJo detektearje net allinich in spesifike hash, mar jo geane sa te sizzen achter de ûntwikkelingsstyl fan 'e oanfallers oan.

Gebrûk fan YARA yn echte kampanjes en nul-dei bedrigingen

YARA hat syn wearde bewiisd, benammen op it mêd fan avansearre bedrigingen en zero-day exploits, dêr't klassike beskermingsmeganismen te let oankomme. In bekend foarbyld is it gebrûk fan YARA om in exploit yn Silverlight te lokalisearjen op basis fan minimale lekte yntelliginsje..

Yn dat gefal waarden út e-mails stellen fan in bedriuw dat him wijd oan 'e ûntwikkeling fan offensive ark, genôch patroanen ôflaat om in regel te bouwen dy't rjochte wie op in spesifike eksploitaasje. Mei dy ienige regel koene de ûndersikers it stekproef folgje troch in see fan fertochte bestannen.Identifisearje de exploit en twinge de patching derfan ôf, om folle serieuzere skea te foarkommen.

Dit soarte ferhalen yllustrearje hoe't YARA kin funksjonearje as fisknet yn in see fan triemmenStel jo jo bedriuwsnetwurk foar as in oseaan fol mei "fisken" (bestannen) fan alle soarten. Jo regels binne as kompartiminten yn in trawlnet: elk kompartimint befettet de fisk dy't oan spesifike skaaimerken foldogge.

As jo ​​klear binne mei slepen, hawwe jo foarbylden groepearre op oerienkomst mei spesifike famyljes of groepen oanfallers: "fergelykber mei Soart X", "fergelykber mei Soart Y", ensfh. Guon fan dizze foarbylden kinne folslein nij foar jo wêze (nije binêre bestannen, nije kampanjes), mar se passe yn in bekend patroan, wat jo klassifikaasje en reaksje fersnelt.

Om it measte út YARA te heljen yn dizze kontekst, kombinearje in protte organisaasjes avansearre training, praktyske laboratoaria en kontroleare eksperimintele omjouwingsDer binne tige spesjalisearre kursussen dy't allinnich wijd binne oan 'e keunst fan it skriuwen fan goede regels, faak basearre op echte gefallen fan cyberspionaazje, wêryn studinten oefenje mei autentike foarbylden en leare om te sykjen nei "iets", sels as se net krekt witte wat se sykje.

Yntegrearje YARA yn backup- en herstelplatfoarms

Ien gebiet dêr't YARA perfekt yn past, en dat faak wat ûnopmurken bliuwt, is de beskerming fan reservekopyen. As reservekopyen ynfekteare binne mei malware of ransomware, kin in weromsetaksje in hiele kampanje opnij starte.Dêrom hawwe guon fabrikanten YARA-motoren direkt yn har oplossingen yntegrearre.

Backupplatfoarms fan 'e folgjende generaasje kinne lansearre wurde YARA regelbasearre analysesesjes oer herstelpuntenIt doel is twafâldich: it lêste "skjinne" punt foar in ynsidint fine en kweade ynhâld opspoare dy't ferburgen is yn bestannen dy't miskien net troch oare kontrôles aktivearre binne.

Yn dizze omjouwings giet it typyske proses oer it selektearjen fan in opsje fan "Scan herstelpunten mei in YARA-liniaal"tidens de konfiguraasje fan in analysetaak. Folgjende wurdt it paad nei it regelbestân oantsjutte (meastal mei de útwreiding .yara of .yar), dat typysk opslein is yn in konfiguraasjemap spesifyk foar de reservekopy-oplossing."

Tidens de útfiering iterearret de motor troch de objekten dy't yn 'e kopy befette binne, past de regels ta, en It registrearret alle wedstriden yn in spesifyk YARA-analyselogboek.De behearder kin dizze logs fanút de konsole besjen, statistiken kontrolearje, sjen hokker bestannen de warskôging aktivearre hawwe, en sels traceerje hokker masines en spesifike datum elke oerienkomst oerienkomt mei.

Dizze yntegraasje wurdt oanfolle troch oare meganismen lykas anomaliedeteksje, reservekopygruttemonitoring, sykjen nei spesifike IOC's, of analyse fan fertochte arkMar as it giet om regels dy't oanpast binne oan in spesifike ransomware-famylje of kampanje, is YARA it bêste ark foar it ferfine fan dy sykaksje.

Hoe kinne jo YARA-regels testen en validearje sûnder jo netwurk te brekken

As jo ​​ienris begjinne mei it skriuwen fan jo eigen regels, is de folgjende krúsjale stap om se yngeand te testen. In te agressive regel kin in oerstreaming fan falske positiven generearje, wylst in te lakse regel echte bedrigingen trochlitte kin.Dêrom is de testfaze like wichtich as de skriuwfaze.

It goede nijs is dat jo gjin laboratoarium fol wurkjende malware hoege op te setten en de helte fan it netwurk te ynfektearjen om dit te dwaan. Der besteane al repositories en datasets dy't dizze ynformaasje oanbiede. bekende en kontroleare malware-samples foar ûndersyksdoelenJo kinne dy foarbylden downloade yn in isolearre omjouwing en se brûke as testgebiet foar jo regels.

De gewoane oanpak is om te begjinnen troch YARA lokaal út te fieren, fan 'e kommandorigel, tsjin in map mei fertochte bestannen. As jo ​​regels oerienkomme wêr't se moatte en amper brekke yn skjinne bestannen, binne jo op it goede spoar.As se tefolle triggerje, is it tiid om strings te besjen, betingsten te ferfine, of ekstra beheiningen yn te fieren (grutte, ymporten, offsets, ensfh.).

In oar wichtich punt is om te soargjen dat jo regels de prestaasjes net yn gefaar bringe. By it scannen fan grutte mappen, folsleine reservekopyen of massive foarbyldkolleksjes, Min optimalisearre regels kinne de analyse fertrage of mear boarnen ferbrûke as winske.Dêrom is it oan te rieden om timings te mjitten, yngewikkelde útdrukkingen te ferienfâldigjen en te swiere regex te foarkommen.

Nei it trochjaan fan dy laboratoariumtestfaze, sille jo kinne Promoot de regels yn 'e produksjeomjouwingOft it no yn jo SIEM is, jo reservekopysystemen, e-postservers, of wêr't jo se ek yntegrearje wolle. En ferjit net om in trochgeande resinsjesyklus te behâlden: as kampanjes evoluearje, sille jo regels periodike oanpassingen nedich hawwe.

Tools, programma's en workflow mei YARA

Neist it offisjele binêre bestân hawwe in protte professionals lytse programma's en skripts om YARA hinne ûntwikkele om it deistich gebrûk te fasilitearjen. In typyske oanpak omfettet it meitsjen fan in applikaasje foar stel dyn eigen feiligenskit gear dat automatysk alle regels yn in map lêst en se tapast op in analysemap.

Dizze soarten selsmakke ark wurkje meastentiids mei in ienfâldige mapstruktuer: ien map foar de regels dy't fan it ynternet downloade binne (bygelyks, “rulesyar”) en in oare map foar de fertochte bestannen dy't analysearre wurde moatte (bygelyks, "malware"). As it programma start, kontrolearret it oft beide mappen besteane, listet de regels op it skerm en makket him klear foar útfiering.

As jo ​​op in knop drukke lykas "Begjin kontrôleDe applikaasje start dan it YARA-útfierbere bestân mei de winske parameters: it scannen fan alle bestannen yn 'e map, rekursive analyze fan submappen, it útfieren fan statistiken, it printsjen fan metadata, ensfh. Alle oerienkomsten wurde werjûn yn in resultatenfinster, dat oanjout hokker bestân oerienkomt mei hokker regel.

Dizze workflow makket bygelyks it mooglik om problemen yn in batch fan eksportearre e-mails te detektearjen. kweade ynbêde ôfbyldings, gefaarlike taheaksels, of webshells ferburgen yn skynber ûnskuldige bestannenIn protte forensyske ûndersiken yn bedriuwsomjouwings fertrouwe krekt op dit soarte meganisme.

Oangeande de nuttichste parameters by it oproppen fan YARA, falle opsjes lykas de folgjende op: -r om rekursyf te sykjen, -S om statistiken wer te jaan, -m om metadata te ekstrahearjen, en -w om warskôgings te negearjenTroch dizze flaggen te kombinearjen kinne jo it gedrach oanpasse oan jo gefal: fan in rappe analyze yn in spesifike map oant in folsleine scan fan in komplekse mapstruktuer.

Bêste praktiken by it skriuwen en ûnderhâlden fan YARA-regels

Om te foarkommen dat jo regelrepository in ûnbehearskbere puinhoop wurdt, is it oan te rieden om in searje bêste praktiken ta te passen. De earste is om te wurkjen mei konsekwinte sjabloanen en nammekonvinsjessadat elke analist yn ien eachopslach begripe kin wat elke regel docht.

In protte teams brûke in standertformaat dat omfettet koptekst mei metadata, tags dy't it type bedriging, akteur of platfoarm oanjaan, en in dúdlike beskriuwing fan wat ûntdutsen wurdtDit helpt net allinich yntern, mar ek as jo regels diele mei de mienskip of bydrage oan iepenbiere repositories.

In oare oanbefelling is om altyd te ûnthâlden dat YARA is gewoan noch ien laach fan ferdigeningIt ferfangt gjin antivirussoftware of EDR, mar komplementearret se leaver yn strategyen foar Beskermje jo Windows PCIdeaallik soe YARA passe moatte binnen bredere referinsjekaders, lykas it NIST-raamwurk, dat ek giet oer it identifisearjen, beskermjen, deteksje, respons en herstel fan aktiva.

Fanút technysk eachpunt is it de muoite wurdich om tiid te besteegjen oan foarkomme falske positivenDit omfettet it foarkommen fan te generike strings, it kombinearjen fan ferskate betingsten en it brûken fan operators lykas alles o ien fan Brûk dyn ferstân en meitsje gebrûk fan 'e strukturele eigenskippen fan it bestân. Hoe spesifiker de logika om it gedrach fan 'e malware hinne, hoe better.

As lêste, hâld in dissipline fan ferzjebehear en periodike resinsje It is krúsjaal. Malwarefamyljes ûntwikkelje, yndikatoaren feroarje, en de regels dy't hjoed wurkje kinne tekoartkomme of ferâldere reitsje. It periodyk besjen en ferfine fan jo regelset is ûnderdiel fan it kat-en-mûs-spul fan cyberfeiligens.

De YARA-mienskip en beskikbere boarnen

Ien fan 'e wichtichste redenen wêrom't YARA sa fier kommen is, is de sterkte fan har mienskip. Undersykers, befeiligingsbedriuwen en responsteams fan oer de hiele wrâld diele kontinu regels, foarbylden en dokumintaasje.it meitsjen fan in tige ryk ekosysteem.

It wichtichste referinsjepunt is de YARA's offisjele repository op GitHubDêr fine jo de lêste ferzjes fan 'e ark, de boarnekoade en keppelings nei de dokumintaasje. Fan dêrút kinne jo de foarútgong fan it projekt folgje, problemen melde of ferbetteringen bydrage as jo wolle.

De offisjele dokumintaasje, beskikber op platfoarms lykas ReadTheDocs, biedt in folsleine syntaksisgids, beskikbere modules, regelfoarbylden en gebrûksreferinsjesIt is in essensjele boarne foar it benutten fan 'e meast avansearre funksjes, lykas PE-ynspeksje, ELF, ûnthâldregels, of yntegraasjes mei oare ark.

Derneist binne der mienskipsrepositories fan YARA-regels en hantekeningen dêr't analysten fan oer de hiele wrâld Se publisearje klear-foar-gebrûk kolleksjes of kolleksjes dy't oanpast wurde kinne oan jo behoeften.Dizze repositories befetsje typysk regels foar spesifike malware-famyljes, exploitkits, kwea-aardich brûkte pentesting-ark, webshells, kryptominers, en folle mear.

Parallel biede in protte fabrikanten en ûndersyksgroepen oan Spesifike training by YARA, fan basisnivo's oant tige avansearre kursussenDizze inisjativen omfetsje faak firtuele laboratoaria en praktyske oefeningen basearre op echte senario's. Guon wurde sels fergees oanbean oan non-profit organisaasjes of entiteiten dy't benammen kwetsber binne foar rjochte oanfallen.

Dit hiele ekosysteem betsjut dat jo, mei in bytsje tawijing, kinne gean fan it skriuwen fan jo earste basisregels nei ûntwikkelje ferfine suites dy't komplekse kampanjes kinne folgje en noch nea earder sjoen bedrigingen kinne opspoareEn, troch YARA te kombinearjen mei tradisjonele antivirus, feilige reservekopy en bedrigingsyntelliginsje, meitsje jo dingen flink dreger foar kweade akteurs dy't op it ynternet swalkje.

Mei al it boppesteande is it dúdlik dat YARA folle mear is as in ienfâldich kommandorigelprogramma: it is in kaai ​​stik yn elke avansearre malware-deteksjestrategy, in fleksibel ark dat him oanpast oan jo manier fan tinken as analist en in mienskiplike taal dat laboratoaria, SOC's en ûndersyksmienskippen oer de hiele wrâld ferbynt, wêrtroch elke nije regel in ekstra laach beskerming tafoeget tsjin hieltyd ferfine kampanjes.