Mar a chleachdas tu YARA airson lorg malware adhartach

¿Ciamar a chleachdas tu YARA airson lorg malware adhartach? Nuair a ruigeas prògraman antivirus traidiseanta an crìochan agus nuair a bhios luchd-ionnsaigh a’ teicheadh ​​tro gach sgàineadh a tha comasach, thig inneal a tha air fàs riatanach ann an deuchainn-lannan freagairt tachartais a-steach don gheama: YARA, an “sgian Eilbheiseach” airson malware a shealgAir a dhealbhadh gus teaghlaichean de bhathar-bog droch-rùnach a mhìneachadh a’ cleachdadh phàtranan teacsa is dà-chànanach, leigidh e le bhith a’ dol fada seachad air maidseadh hash sìmplidh.

Anns na làmhan ceart, chan ann airson a bhith a’ lorg a-mhàin a tha YARA chan e a-mhàin sampallan malware aithnichte, ach cuideachd caochlaidhean ùra, cleasan neoni-latha, agus eadhon innealan oilbheumach malairteachSan artaigil seo, nì sinn sgrùdadh domhainn agus practaigeach air mar a chleachdas tu YARA airson lorg malware adhartach, mar a sgrìobhas tu riaghailtean làidir, mar a nì thu deuchainn orra, mar a chuireas tu iad an sàs ann an àrd-ùrlaran mar Veeam no an sruth-obrach anailis agad fhèin, agus dè na cleachdaidhean as fheàrr a leanas a’ choimhearsnachd phroifeasanta.

Dè a th’ ann an YARA agus carson a tha e cho cumhachdach ann a bhith a’ lorg malware?

Tha YARA a’ seasamh airson “Yet Another Recursive Acronym” agus tha e air a bhith na inbhe de facto ann an mion-sgrùdadh bagairtean oir… Leigidh e le teaghlaichean malware a mhìneachadh le bhith a’ cleachdadh riaghailtean a tha furasta an leughadh, soilleir agus gu math sùbailte.An àite a bhith an urra ri ainmean-sgrìobhte statach an-aghaidh bhìoras a-mhàin, bidh YARA ag obair le pàtrain a mhìnicheas tu fhèin.

Tha am bun-bheachd sìmplidh: bidh riaghailt YARA a’ sgrùdadh faidhle (no cuimhne, no sruth dàta) agus a’ dèanamh cinnteach a bheil sreath de chumhachan air an coinneachadh. cumhaichean stèidhichte air sreangan teacsa, sreathan heicsidheach, abairtean cunbhalach, no feartan faidhleMa thèid coinneachadh ris a’ chumha, tha “maids” ann agus faodaidh tu rabhadh a thoirt seachad, bacadh a chur air, no mion-sgrùdadh nas doimhne a dhèanamh.

Leigidh an dòigh-obrach seo le sgiobaidhean tèarainteachd Comharraich agus seòrsaich malware de gach seòrsa: bhìorasan clasaigeach, cnuimhean, Trojans, ransomware, webshells, cryptominers, macros droch-rùnach, agus mòran a bharrachdChan eil e cuingealaichte ri leudachaidhean no cruthan faidhle sònraichte, agus mar sin bidh e cuideachd a’ lorg faidhle so-ghnìomhaichte falaichte le leudachadh .pdf no faidhle HTML anns a bheil slige-lìn.

A bharrachd air sin, tha YARA mu thràth air a thoirt a-steach do mhòran sheirbheisean is innealan cudromach ann an eag-shiostam saidhbear-thèarainteachd: VirusTotal, bogsaichean gainmhich mar Cuckoo, àrd-ùrlaran cùl-taic mar Veeam, no fuasglaidhean seilg bagairtean bho luchd-saothrachaidh den chiad ìreMar sin, tha e cha mhòr riatanach do luchd-anailis agus luchd-rannsachaidh adhartach a bhith comasach air YARA a mhaighstireachd.

Cùisean cleachdaidh adhartach de YARA ann an lorg malware

Is e aon de na neartan aig YARA gu bheil e ag atharrachadh gu furasta gu iomadh suidheachadh tèarainteachd, bhon SOC chun obair-lann malware. Tha na h-aon riaghailtean a’ buntainn ri seilg aon-uaire agus sgrùdadh leantainneach..

Tha a’ chùis as dìriche a’ toirt a-steach cruthachadh riaghailtean sònraichte airson malware sònraichte no teaghlaichean slànMa tha iomairt stèidhichte air teaghlach aithnichte (mar eisimpleir, Trojan ruigsinneachd iomallach no bagairt APT) a’ toirt ionnsaigh air a’ bhuidhinn agad, faodaidh tu sreangan is pàtrain sònraichte a phròifileadh agus riaghailtean a thogail a chomharraicheas sampallan ùra co-cheangailte gu sgiobalta.

Is e cleachdadh clasaigeach eile fòcas YARA stèidhichte air ainmean-sgrìobhteTha na riaghailtean seo air an dealbhadh gus hashes, sreangan teacsa gu math sònraichte, criomagan còd, iuchraichean clàraidh, no eadhon sreathan sònraichte byte a lorg a thèid ath-aithris ann an iomadh caochladh den aon malware. Ach, cumaibh cuimhne ma nì sibh sgrùdadh airson sreangan beaga a-mhàin, tha cunnart ann gun tèid toraidhean meallta a chruthachadh.

Tha YARA cuideachd a’ deàrrsadh nuair a thig e gu sìoladh a rèir seòrsaichean faidhlichean no feartan structarailTha e comasach riaghailtean a chruthachadh a tha a’ buntainn ri faidhlichean PE a ghabhas ruith, sgrìobhainnean oifis, PDFan, no cha mhòr cruth sam bith, le bhith a’ cothlamadh sreangan le feartan leithid meud faidhle, cinn-sgrìobhaidh sònraichte (me, 0x5A4D airson faidhlichean PE a ghabhas ruith), no in-mhalairt ghnìomhan amharasach.

Ann an àrainneachdan an latha an-diugh, tha a chleachdadh ceangailte ris an fiosrachadh mu bhagairtTha stòran-dàta poblach, aithisgean rannsachaidh, agus biadhan IOC air an eadar-theangachadh gu riaghailtean YARA a tha air an amalachadh ann an SIEM, EDR, àrd-ùrlaran cùl-taic, no bogsaichean gainmhich. Leigidh seo le buidhnean lorg gu sgiobalta bagairtean a tha a’ tighinn am bàrr aig a bheil feartan co-roinnte ri iomairtean a chaidh an sgrùdadh mar-thà.

A’ tuigsinn co-chàradh riaghailtean YARA

Tha co-chàradh YARA gu math coltach ri co-chàradh C, ach ann an dòigh nas sìmplidhe agus nas fòcaichte. Tha gach riaghailt a’ toirt a-steach ainm, earrann meata-dhàta roghainneil, earrann sreang, agus, gu riatanach, earrann cumha.Bho seo a-mach, tha a’ chumhachd anns an dòigh anns a bheil thu a’ cothlamadh sin uile.

Is e a ’chiad fhear an ainm riaghailtFeumaidh e a dhol dìreach às dèidh a’ phrìomh fhacal riaghailt (o riaghailt Ma nì thu sgrìobhainn ann an Spàinntis, ged a bhios am prìomh fhacal san fhaidhle riaghailtagus feumaidh e bhith na chomharraiche dligheach: gun àiteachan, gun àireamh, agus gun loidhne-ìosal. ’S e deagh bheachd a th’ ann cleachdadh soilleir a leantainn, mar eisimpleir rudeigin mar Caochladh_Teaghlach_Malware o Inneal_Actair_APT, a leigeas leat faighinn a-mach sa bhad dè a tha e an dùil a lorg.

An ath rud thig an earrann stringsfar a bheil thu a’ mìneachadh nam pàtrain a tha thu airson a lorg. An seo faodaidh tu trì prìomh sheòrsaichean a chleachdadh: sreangan teacsa, sreathan heicsidheach, agus abairtean cunbhalachTha sreangan teacsa freagarrach airson pìosan còd, URLan, teachdaireachdan a-staigh, ainmean shlighean, no PDBan a ghabhas leughadh le daoine. Leigidh hexadecimals leat pàtrain byte amh a ghlacadh, rud a tha glè fheumail nuair a tha an còd air a dhìomhaireachd ach a chumas sreathan seasmhach sònraichte.

Bidh abairtean cunbhalach a’ toirt sùbailteachd nuair a dh’ fheumas tu atharrachaidhean beaga ann an sreang a chòmhdach, leithid atharrachadh raointean no pàirtean de chòd a chaidh atharrachadh beagan. A bharrachd air sin, leigidh an dà chuid sreangan agus regex le teicheadh ​​​​bytes a riochdachadh gu neo-riaghailteach, a dh’fhosglas an doras gu pàtrain measgaichte glè mhionaideach.

Earrann staid ’S e seo an aon riaghailt èigneachail agus tha e a’ mìneachadh cuin a thathar den bheachd gu bheil riaghailt “a’ freagairt” ri faidhle. An sin, bidh thu a’ cleachdadh obrachaidhean Boolean agus àireamhachd (agus, no, chan eil, +, -, *, /, gin, uile, anns a bheil, msaa.) gus loidsig lorgaidh nas grinne a chur an cèill na “ma nochdas an sreang seo” sìmplidh.

Mar eisimpleir, faodaidh tu a shònrachadh nach eil an riaghailt dligheach ach ma tha am faidhle nas lugha na meud sònraichte, ma nochdas na sreangan cudromach uile, no ma tha co-dhiù aon de ghrunn sreangan an làthair. Faodaidh tu cuideachd cumhaichean leithid fad sreang, àireamh de gheamannan, co-dhùnaidhean sònraichte san fhaidhle, no meud an fhaidhle fhèin a chur còmhla.Is e cruthachalachd an seo an diofar eadar riaghailtean coitcheann agus lorgaidhean lannsaichte.

Mu dheireadh, tha an earrann roghainneil agad metaFreagarrach airson an ùine a chlàradh. Tha e cumanta a bhith a’ toirt a-steach ùghdar, ceann-latha cruthachaidh, tuairisgeul, dreach a-staigh, iomradh air aithisgean no tiogaidean agus, san fharsaingeachd, fiosrachadh sam bith a chuidicheas le bhith a’ cumail an tasglann eagraichte agus so-thuigsinn do luchd-anailis eile.

Eisimpleirean practaigeach de riaghailtean adhartach YARA

Gus na tha gu h-àrd a chur ann an co-theacsa, tha e feumail faicinn mar a tha riaghailt shìmplidh air a structaradh agus mar a bhios i nas iom-fhillte nuair a thig faidhlichean so-ghnìomhaichte, in-mhalairt amharasach, no sreathan stiùiridh ath-aithriseach an sàs. Tòisichidh sinn le riaghailt dèideag agus mean air mhean meudaichidh sinn e..

Chan fhaod riaghailt as ìsle ach sreang agus cumha a tha ga dhèanamh èigneachail a bhith ann. Mar eisimpleir, dh’ fhaodadh tu sreang teacsa sònraichte no sreath byte a lorg a tha a’ riochdachadh criomag malware. Bhiodh an cumha, sa chùis sin, dìreach ag ràdh gu bheil an riaghailt air a coinneachadh ma nochdas an sreang no am pàtran sin., gun sìoltachain a bharrachd.

Ach, ann an suidheachaidhean fìor, chan eil seo a’ soirbheachadh, oir Bidh slabhraidhean sìmplidh gu tric a’ gineadh mòran de dhearbhaidhean mealltaSin as coireach gu bheil e cumanta grunn shreangan (teacsa agus heicsidheach) a chur còmhla le cuingealachaidhean a bharrachd: nach bi am faidhle nas motha na meud sònraichte, gu bheil cinn-sgrìobhaidh sònraichte ann, no nach tèid a ghnìomhachadh ach ma lorgar co-dhiù aon sreang bho gach buidheann mhìnichte.

Tha eisimpleir àbhaisteach ann an anailis PE a ghabhas cur an gnìomh a’ toirt a-steach a bhith a’ toirt a-steach am modúl pe bho YARA, a leigeas leat ceistean a chur mu fheartan a-staigh an dà-fhaidhle: gnìomhan a chaidh a thoirt a-steach, earrannan, stampaichean-ama, msaa. Dh’ fhaodadh riaghailt adhartach iarraidh gun tèid am faidhle a thoirt a-steach PròiseasCruthaich bho Kernel32.dll agus beagan gnìomh HTTP bho wininet.dll, a bharrachd air sreang shònraichte a bhith ann a tha a’ nochdadh giùlan droch-rùnach.

Tha an seòrsa loidsig seo foirfe airson a lorg Trojans le comasan ceangail no exfiltration iomallacheadhon nuair a dh’atharraicheas ainmean faidhlichean no slighean bho aon iomairt gu iomairt eile. Is e an rud cudromach fòcas a chuir air a’ ghiùlan bunaiteach: cruthachadh phròiseasan, iarrtasan HTTP, crioptachadh, buan-sheasmhachd, msaa.

Is e dòigh eile a tha gu math èifeachdach sùil a thoirt air an sreathan de stiùiridhean a thèid ath-aithris eadar sampallan bhon aon teaghlach. Fiù ma phacaigeas no ma dh’fhailicheas luchd-ionnsaigh am binary, bidh iad gu tric ag ath-chleachdadh pàirtean de chòd a tha duilich atharrachadh. Ma lorgas tu blocaichean cunbhalach de stiùiridhean às deidh mion-sgrùdadh statach, faodaidh tu riaghailt a chruthachadh le cairtean fiadhaich ann an sreangan heicsidheach a ghlacas am pàtran sin agus aig an aon àm a’ cumail suas fulangas sònraichte.

Leis na riaghailtean “stèidhichte air giùlan còd” seo tha e comasach cùm sùil air iomairtean malware gu lèir mar an fheadhainn aig PlugX/Korplug no teaghlaichean APT eileChan e a-mhàin gu bheil thu a’ lorg hash sònraichte, ach bidh thu a’ leantainn stoidhle leasachaidh, mar gum biodh, an luchd-ionnsaigh.

Cleachdadh YARA ann an iomairtean fìor agus bagairtean neoni-latha

Tha YARA air a luach a dhearbhadh gu sònraichte ann an raon bhagairtean adhartach agus cleasan neoni-latha, far a bheil dòighean dìon clasaigeach a’ ruighinn ro fhadalach. Is e eisimpleir ainmeil cleachdadh YARA gus ionnsaigh a lorg ann an Silverlight bho fhiosrachadh a chaidh a leigeil a-mach gu ìre bheag..

Anns a’ chùis sin, bho phuist-d a chaidh a ghoid bho chompanaidh a bha coisrigte do leasachadh innealan oilbheumach, chaidh pàtrain gu leòr a thoirt a-mach gus riaghailt a thogail a bha ag amas air ionnsaigh shònraichte. Leis an aon riaghailt sin, bha na luchd-rannsachaidh comasach air an sampall a lorg tro mhuir de fhaidhlichean amharasach.Comharraich an ionnsaigh agus cuir às dha, a’ cur casg air milleadh mòran nas miosa.

Tha na seòrsaichean sgeulachdan seo a’ sealltainn mar as urrainn do YARA obrachadh mar lìon iasgaich ann am muir de fhaidhlicheanSmaoinich air lìonra do chorporra mar chuan làn “èisg” (faidhlichean) de gach seòrsa. Tha na riaghailtean agad coltach ri roinnean ann an lìon-tràlaidh: bidh gach roinn a’ cumail an èisg a tha a’ freagairt air feartan sònraichte.

Nuair a bhios tu deiseil leis an tarraing, bidh agad sampallan air an cruinneachadh a rèir coltais ri teaghlaichean no buidhnean sònraichte de luchd-ionnsaigh: “coltach ri Gnè X”, “coltach ri Gnè Y”, msaa. Is dòcha gu bheil cuid de na sampallan seo gu tur ùr dhut (binary ùra, iomairtean ùra), ach tha iad a’ freagairt ri pàtran aithnichte, a luathaicheas do sheòrsachadh agus do fhreagairt.

Gus a’ chuid as fheàrr fhaighinn à YARA san cho-theacsa seo, bidh mòran bhuidhnean a’ tighinn còmhla trèanadh adhartach, deuchainn-lannan practaigeach agus àrainneachdan deuchainn fo smachdTha cùrsaichean gu math sònraichte ann a tha coisrigte gu sònraichte do ealain sgrìobhadh riaghailtean math, gu tric stèidhichte air fìor chùisean de spionadh saidhbear, anns am bi oileanaich a’ cleachdadh le sampallan dearbhte agus ag ionnsachadh mar a lorgas iad “rudeigin” eadhon nuair nach eil fios aca dè dìreach a tha iad a’ sireadh.

Amalaich YARA ann an àrd-ùrlaran cùl-taic is ath-bheothachaidh

Is e aon raon anns a bheil YARA a’ freagairt gu foirfe, agus nach eil tric air a thoirt fa-near, dìon lethbhreacan-glèidhidh. Ma tha cùl-taicean air an galarachadh le malware no ransomware, faodaidh ath-nuadhachadh iomairt gu lèir ath-thòiseachadh.Sin as coireach gu bheil cuid de luchd-saothrachaidh air einnseanan YARA a thoirt a-steach gu dìreach nan fuasglaidhean.

Faodar àrd-ùrlaran cùl-taice an ath ghinealaich a chur air bhog Seiseanan anailis stèidhichte air riaghailtean YARA air puingean ath-nuadhachaidhTha dà amas ann: am puing “glan” mu dheireadh a lorg mus tàinig tachartas agus susbaint droch-rùnach a lorg a tha falaichte ann am faidhlichean nach deach a bhrosnachadh le sgrùdaidhean eile.

Anns na h-àrainneachdan sin, bidh am pròiseas àbhaisteach a’ toirt a-steach roghainn a thaghadh de “Sgan puingean ath-nuadhachaidh le riaghailt YARA"rè rèiteachadh obair anailis. An ath rud, thèid slighe an fhaidhle riaghailtean a shònrachadh (mar as trice leis an leudachadh .yara no .yar), a bhios mar as trice air a stòradh ann am pasgan rèiteachaidh a tha sònraichte don fhuasgladh cùl-taice."

Rè an cur an gnìomh, bidh an t-inneal ag ath-aithris nan nithean a tha san leth-bhreac, a’ cur nan riaghailtean an sàs, agus Bidh e a’ clàradh a h-uile maidse ann an loga mion-sgrùdaidh YARA sònraichte.Faodaidh an rianaire na logaichean seo fhaicinn bhon chonsól, staitistig ath-sgrùdadh, faicinn dè na faidhlichean a bhrosnaich an rabhadh, agus eadhon lorg a dhèanamh air dè na h-innealan agus ceann-latha sònraichte ris a bheil gach maids a’ freagairt.

Tha an amalachadh seo air a neartachadh le dòighean eile leithid lorg neo-riaghailteachdan, sgrùdadh meud cùl-taice, a’ lorg IOCan sònraichte, no mion-sgrùdadh innealan amharasachAch nuair a thig e gu riaghailtean a tha freagarrach do theaghlach no iomairt ransomware sònraichte, is e YARA an inneal as fheàrr airson an rannsachadh sin a ghrinneachadh.

Mar a nì thu deuchainn air riaghailtean YARA agus mar a nì thu dearbhadh orra gun a bhith a’ briseadh do lìonra

Cho luath ‘s a thòisicheas tu air na riaghailtean agad fhèin a sgrìobhadh, is e an ath cheum deatamach an deuchainn gu mionaideach. Faodaidh riaghailt ro ionnsaigheach tuil de thoraidhean meallta adhartach a chruthachadh, agus faodaidh riaghailt ro sgaoilte leigeil le fìor bhagairtean sleamhnachadh troimhe.Sin as coireach gu bheil an ìre deuchainn dìreach cho cudromach ris an ìre sgrìobhaidh.

Is e an deagh naidheachd nach fheum thu obair-lann làn de malware obrachail a stèidheachadh agus leth an lìonra a thruailleadh gus seo a dhèanamh. Tha stòran-dàta agus seataichean dàta ann mu thràth a tha a’ tabhann an fhiosrachaidh seo. sampallan malware aithnichte agus fo smachd airson adhbharan rannsachaidhFaodaidh tu na sampallan sin a luchdachadh sìos gu àrainneachd iomallach agus an cleachdadh mar raon deuchainn airson do riaghailtean.

Is e an dòigh-obrach àbhaisteach tòiseachadh le bhith a’ ruith YARA gu h-ionadail, bhon loidhne-àithne, an aghaidh eòlaire anns a bheil faidhlichean amharasach. Ma tha na riaghailtean agad a’ freagairt far am bu chòir dhaibh agus nach eil iad a’ briseadh ach glè bheag ann am faidhlichean glan, tha thu air an t-slighe cheart.Ma tha iad a’ piobrachadh cus, tha an t-àm ann sreangan ath-sgrùdadh, cumhaichean a ghrinneachadh, no cuingealachaidhean a bharrachd a thoirt a-steach (meud, in-mhalairt, co-dhùnaidhean, msaa.).

Is e puing chudromach eile dèanamh cinnteach nach cuir na riaghailtean agad bacadh air coileanadh. Nuair a bhios tu a’ sganadh eòlairean mòra, làn-chùl-taicean, no cruinneachaidhean mòra shampall, Faodaidh riaghailtean nach eil air an leasachadh gu math anailis a dhèanamh nas slaodaiche no barrachd ghoireasan ithe na tha thu ag iarraidh.Mar sin, tha e ciallach clàran-ama a thomhas, abairtean iom-fhillte a dhèanamh nas sìmplidhe, agus regex ro throm a sheachnadh.

Às dèidh dhut a dhol tron ​​ìre deuchainn obair-lann sin, bidh e comasach dhut Brosnaich na riaghailtean don àrainneachd riochdachaidhCo-dhiù a tha e anns an SIEM agad, na siostaman cùl-taic agad, frithealaichean puist-d, no ge bith càite a bheil thu airson an amalachadh. Agus na dìochuimhnich cearcall ath-bhreithneachaidh leantainneach a chumail suas: mar a bhios iomairtean ag atharrachadh, feumaidh na riaghailtean agad atharrachaidhean bho àm gu àm.

Innealan, prògraman agus sruth-obrach le YARA

A bharrachd air an dà-chànan oifigeil, tha mòran phroifeiseantaich air prògraman beaga agus sgriobtaichean a leasachadh timcheall air YARA gus a chleachdadh làitheil a dhèanamh nas fhasa. Tha dòigh-obrach àbhaisteach a’ toirt a-steach tagradh a chruthachadh airson cruinnich do phasgan tèarainteachd fhèin a leughas na riaghailtean uile ann am pasgan gu fèin-ghluasadach agus gan cur an sàs ann an eòlaire anailis.

Mar as trice bidh na seòrsaichean innealan dachaigh seo ag obair le structar eòlaire sìmplidh: aon phasgan airson an riaghailtean air an luchdachadh sìos bhon eadar-lìon (mar eisimpleir, “rulesyar”) agus pasgan eile airson an faidhlichean amharasach a thèid a sgrùdadh (mar eisimpleir, “malware”). Nuair a thòisicheas am prògram, nì e sgrùdadh a bheil an dà phasgan ann, liostaichidh e na riaghailtean air an sgrion, agus ullaichidh e airson a chur an gnìomh.

Nuair a bhrùthas tu putan mar “Tòisich dearbhadhAn uairsin, cuiridh an aplacaid air bhog am faidhle YARA a ghabhas ruith leis na paramadairean a tha thu ag iarraidh: sganadh a h-uile faidhle sa phasgan, mion-sgrùdadh ath-chuairteach air fo-eòlairean, cuir a-mach staitistig, clò-bhualadh meata-dhàta, msaa. Thèid maidsean sam bith a thaisbeanadh ann an uinneag thoraidhean, a’ sealltainn dè am faidhle a bha a’ freagairt ri riaghailt sam bith.

Leigidh an sruth-obrach seo le, mar eisimpleir, lorg chùisean ann am baidse de phuist-d a chaidh às-mhalairt. ìomhaighean leabaithe droch-rùnach, ceanglachan cunnartach, no sligean-lìn falaichte ann am faidhlichean a tha coltach ri neo-chiontachTha mòran rannsachaidhean fòireansach ann an àrainneachdan corporra an urra gu dìreach air an t-seòrsa meacanaigeach seo.

A thaobh nam paramadairean as fheumaile nuair a thathar a’ gairm YARA, tha roghainnean mar na leanas a’ seasamh a-mach: -r airson rannsachadh ath-chuairteach, -S airson staitistig a thaisbeanadh, -m airson meata-dhàta a thoirt a-mach, agus -w gus rabhaidhean a leigeil seachadLe bhith a’ cothlamadh nam brataichean seo, faodaidh tu an giùlan atharrachadh a rèir do chùis: bho sgrùdadh luath ann an eòlaire sònraichte gu sganadh iomlan de structar pasgan iom-fhillte.

Cleachdaidhean as fheàrr nuair a thathar a’ sgrìobhadh agus a’ cumail suas riaghailtean YARA

Gus casg a chur air an stòras riaghailtean agad bho bhith na bhreugan do-riaghlaidh, tha e ciallach sreath de chleachdaidhean as fheàrr a chur an sàs. Is e a’ chiad fhear obrachadh le teamplaidean agus gnàthasan ainmeachaidh cunbhalachgus am bi e comasach do sgrùdaiche sam bith tuigsinn sa bhad dè a bhios gach riaghailt a’ dèanamh.

Bidh mòran sgiobaidhean a’ gabhail ri cruth àbhaisteach a tha a’ toirt a-steach ceann-sgrìobhaidh le meata-dhàta, tagaichean a’ comharrachadh seòrsa bagairt, cleasaiche no àrd-ùrlar, agus tuairisgeul soilleir air na thathar a’ lorgCuidichidh seo chan ann a-mhàin gu h-inntinneach, ach cuideachd nuair a bhios tu a’ roinn riaghailtean leis a’ choimhearsnachd no a’ cur ri stòran-dàta poblach.

Moladh eile is e cuimhneachadh an-còmhnaidh air sin Chan eil YARA ach aon shreath dìon eileChan eil e a’ dol an àite bathar-bog antivirus no EDR, ach an àite sin gan cur ri chèile ann an ro-innleachdan airson Dìon do PC WindowsGu h-iomchaidh, bu chòir dha YARA a bhith taobh a-staigh frèamaichean fiosrachaidh nas fharsainge, leithid frèam NIST, a tha cuideachd a’ dèiligeadh ri comharrachadh, dìon, lorg, freagairt agus faighinn air ais maoin.

Bho shealladh teicnigeach, is fhiach ùine a thoirt seachad airson seachain rudan ceàrrTha seo a’ toirt a-steach a bhith a’ seachnadh sreangan ro-ghinearalach, a’ cothlamadh grunn chumhaichean, agus a’ cleachdadh obrachaichean leithid uile de o gin de Cleachd do cheann agus gabh brath air feartan structarail an fhaidhle. Mar as mionaidiche an loidsig a tha timcheall air giùlan an malware, ’s ann as fheàrr.

Mu dheireadh, cùm smachd air dreachdadh agus ath-sgrùdadh cunbhalach Tha e deatamach. Bidh teaghlaichean malware ag atharrachadh, bidh comharran ag atharrachadh, agus is dòcha nach bi na riaghailtean a tha ag obair an-diugh cho math no gum bi iad seann-fhasanta. Tha ath-sgrùdadh agus leasachadh a dhèanamh air an t-seata riaghailtean agad bho àm gu àm mar phàirt de gheama cat is luchag tèarainteachd saidhbear.

Coimhearsnachd YARA agus na goireasan a tha rim faighinn

Is e neart a choimhearsnachd aon de na prìomh adhbharan a tha YARA air tighinn cho fada. Bidh luchd-rannsachaidh, companaidhean tèarainteachd, agus sgiobaidhean freagairt bho air feadh an t-saoghail a’ roinn riaghailtean, eisimpleirean, agus sgrìobhainnean an-còmhnaidh.a’ cruthachadh eag-shiostam glè bheairteach.

Is e am prìomh phuing iomraidh an Stòr-tasgaidh oifigeil YARA air GitHubAn sin gheibh thu na dreachan as ùire den inneal, an còd tùsail, agus ceanglaichean chun sgrìobhainnean. Às an sin faodaidh tu adhartas a’ phròiseict a leantainn, cùisean aithris, no leasachaidhean a thoirt seachad ma thogras tu.

Tha an sgrìobhainn oifigeil, a tha ri fhaighinn air àrd-ùrlaran leithid ReadTheDocs, a’ tabhann stiùireadh co-chàradh iomlan, modalan a tha rim faighinn, eisimpleirean riaghailtean, agus iomraidhean cleachdaidh’S e goireas riatanach a th’ ann airson brath a ghabhail air na gnìomhan as adhartaiche, leithid sgrùdadh PE, ELF, riaghailtean cuimhne, no amalachadh le innealan eile.

A bharrachd air sin, tha stòran coimhearsnachd ann de riaghailtean agus ainmean-sgrìobhte YARA far a bheil luchd-anailis bho air feadh an t-saoghail Bidh iad a’ foillseachadh cruinneachaidhean deiseil airson an cleachdadh no cruinneachaidhean a ghabhas atharrachadh a rèir do fheumalachdan.Mar as trice bidh na tasgaidhean sin a’ toirt a-steach riaghailtean airson teaghlaichean sònraichte de malware, pasganan exploit, innealan deuchainn treòrachaidh a chaidh a chleachdadh gu droch-rùnach, sligean-lìn, cryptominers, agus mòran a bharrachd.

Aig an aon àm, tha mòran de luchd-saothrachaidh agus buidhnean rannsachaidh a’ tabhann Trèanadh sònraichte aig YARA, bho ìrean bunaiteach gu cùrsaichean fìor adhartachBidh na h-iomairtean seo gu tric a’ toirt a-steach deuchainn-lannan brìgheil agus eacarsaichean practaigeach stèidhichte air suidheachaidhean fìor. Tha cuid eadhon air an tabhann an-asgaidh do bhuidhnean neo-phrothaideach no eintiteasan a tha gu sònraichte so-leònte ri ionnsaighean cuimsichte.

Tha an eag-shiostam gu lèir seo a’ ciallachadh, le beagan dìcheall, gun urrainn dhut a dhol bho bhith a’ sgrìobhadh do chiad riaghailtean bunaiteach gu a’ leasachadh shiostaman iom-fhillte a tha comasach air iomairtean iom-fhillte a leantainn agus bagairtean nach fhacas a-riamh roimhe a lorgAgus, le bhith a’ cothlamadh YARA le antivirus traidiseanta, cùl-taic tèarainte, agus fiosrachadh mu bhagairtean, bidh thu a’ dèanamh cùisean tòrr nas duilghe do chleasaichean droch-rùnach a tha a’ siubhal air an eadar-lìon.

Leis a h-uile rud gu h-àrd, tha e soilleir gu bheil YARA tòrr a bharrachd na dìreach goireas loidhne-àithne: tha e na prìomh phìos ann an ro-innleachd adhartach sam bith airson malware a lorg, inneal sùbailte a bhios ag atharrachadh a rèir do dhòigh smaoineachaidh mar anailisiche agus mar cànan cumanta a tha a’ ceangal deuchainn-lannan, SOCan agus coimhearsnachdan rannsachaidh air feadh an t-saoghail, a’ leigeil le gach riaghailt ùr sreath eile de dhìon a chur ris an aghaidh iomairtean a tha a’ sìor fhàs iom-fhillte.