અદ્યતન માલવેર શોધ માટે YARA નો ઉપયોગ કેવી રીતે કરવો

YARA સ્ટ્રિંગ્સ, બાઈનરી પેટર્ન અને ફાઇલ પ્રોપર્ટીઝના આધારે લવચીક નિયમોનો ઉપયોગ કરીને માલવેર પરિવારોનું વર્ણન કરવાની મંજૂરી આપે છે.
સારી રીતે ડિઝાઇન કરેલા નિયમો રેન્સમવેર અને APT થી લઈને વેબશેલ્સ અને ઝીરો-ડે એક્સપ્લોઈટ સુધીના બહુવિધ વાતાવરણમાં બધું જ શોધી શકે છે.
YARA ને બેકઅપ, ફોરેન્સિક વર્કફ્લો અને કોર્પોરેટ ટૂલ્સમાં એકીકૃત કરવાથી પરંપરાગત એન્ટીવાયરસ સોફ્ટવેરની બહાર સંરક્ષણ મજબૂત બને છે.
YARA સમુદાય અને નિયમ ભંડારો ગુપ્ત માહિતી શેર કરવાનું સરળ બનાવે છે અને શોધમાં સતત સુધારો કરે છે.

¿એડવાન્સ્ડ માલવેર શોધ માટે YARA નો ઉપયોગ કેવી રીતે કરવો? જ્યારે પરંપરાગત એન્ટિવાયરસ પ્રોગ્રામ્સ તેમની મર્યાદા સુધી પહોંચી જાય છે અને હુમલાખોરો દરેક શક્ય ક્રેકમાંથી પસાર થઈ જાય છે, ત્યારે એક સાધન જે ઘટના પ્રતિભાવ પ્રયોગશાળાઓમાં અનિવાર્ય બની ગયું છે તે કાર્યમાં આવે છે: યારા, માલવેરનો શિકાર કરવા માટેનો "સ્વિસ છરી"ટેક્સ્ટ્યુઅલ અને બાયનરી પેટર્નનો ઉપયોગ કરીને દૂષિત સોફ્ટવેરના પરિવારોનું વર્ણન કરવા માટે રચાયેલ, તે સરળ હેશ મેચિંગથી ઘણું આગળ વધવાની મંજૂરી આપે છે.

જમણા હાથમાં, YARA ફક્ત શોધવા માટે નથી માત્ર જાણીતા માલવેર નમૂનાઓ જ નહીં, પણ નવા પ્રકારો, શૂન્ય-દિવસના શોષણો અને વ્યાપારી અપમાનજનક સાધનો પણઆ લેખમાં, અમે વિગતવાર અને વ્યવહારિક રીતે અદ્યતન માલવેર શોધ માટે YARA નો ઉપયોગ કેવી રીતે કરવો, મજબૂત નિયમો કેવી રીતે લખવા, તેમનું પરીક્ષણ કેવી રીતે કરવું, તેમને Veeam અથવા તમારા પોતાના વિશ્લેષણ વર્કફ્લો જેવા પ્લેટફોર્મમાં કેવી રીતે એકીકૃત કરવા, અને વ્યાવસાયિક સમુદાય કઈ શ્રેષ્ઠ પ્રથાઓનું પાલન કરે છે તેનું ઊંડાણપૂર્વક અને વ્યવહારિક રીતે અન્વેષણ કરીશું.

YARA શું છે અને તે માલવેર શોધવામાં આટલું શક્તિશાળી કેમ છે?

YARA નો અર્થ "યૂટ એનધર રિકર્સિવ એક્રોનિમ" થાય છે અને તે ધમકી વિશ્લેષણમાં વાસ્તવિક ધોરણ બની ગયું છે કારણ કે તે વાંચી શકાય તેવા, સ્પષ્ટ અને અત્યંત લવચીક નિયમોનો ઉપયોગ કરીને માલવેર પરિવારોનું વર્ણન કરવાની મંજૂરી આપે છે.ફક્ત સ્ટેટિક એન્ટિવાયરસ સિગ્નેચર પર આધાર રાખવાને બદલે, YARA તમે જાતે વ્યાખ્યાયિત કરો છો તે પેટર્ન સાથે કામ કરે છે.

મૂળભૂત વિચાર સરળ છે: YARA નિયમ ફાઇલ (અથવા મેમરી, અથવા ડેટા સ્ટ્રીમ) ની તપાસ કરે છે અને તપાસ કરે છે કે શું શરતોની શ્રેણી પૂર્ણ થાય છે. ટેક્સ્ટ સ્ટ્રિંગ્સ, હેક્સાડેસિમલ સિક્વન્સ, રેગ્યુલર એક્સપ્રેશન્સ અથવા ફાઇલ પ્રોપર્ટીઝ પર આધારિત શરતોજો શરત પૂરી થાય, તો "મેચ" થાય છે અને તમે ચેતવણી આપી શકો છો, અવરોધિત કરી શકો છો અથવા વધુ ઊંડાણપૂર્વક વિશ્લેષણ કરી શકો છો.

આ અભિગમ સુરક્ષા ટીમોને પરવાનગી આપે છે તમામ પ્રકારના માલવેરને ઓળખો અને વર્ગીકૃત કરો: ક્લાસિક વાયરસ, વોર્મ્સ, ટ્રોજન, રેન્સમવેર, વેબશેલ્સ, ક્રિપ્ટોમાઇનર્સ, દૂષિત મેક્રો અને ઘણું બધું.તે ચોક્કસ ફાઇલ એક્સટેન્શન અથવા ફોર્મેટ પૂરતું મર્યાદિત નથી, તેથી તે .pdf એક્સટેન્શન અથવા વેબશેલ ધરાવતી HTML ફાઇલ સાથે છુપાયેલા એક્ઝિક્યુટેબલને પણ શોધી કાઢે છે.

વધુમાં, YARA પહેલાથી જ સાયબર સુરક્ષા ઇકોસિસ્ટમની ઘણી મુખ્ય સેવાઓ અને સાધનોમાં સંકલિત છે: વાયરસટોટલ, કુકુ જેવા સેન્ડબોક્સ, વીમ જેવા બેકઅપ પ્લેટફોર્મ, અથવા ટોચના-સ્તરના ઉત્પાદકોના ધમકી શિકાર ઉકેલોતેથી, અદ્યતન વિશ્લેષકો અને સંશોધકો માટે YARA માં નિપુણતા મેળવવી લગભગ એક આવશ્યકતા બની ગઈ છે.

માલવેર શોધમાં YARA ના અદ્યતન ઉપયોગના કિસ્સાઓ

YARA ની એક ખાસિયત એ છે કે તે SOC થી લઈને માલવેર લેબ સુધી, બહુવિધ સુરક્ષા પરિસ્થિતિઓમાં ગ્લોવની જેમ અનુકૂલન કરે છે. એક વખતના શિકાર અને સતત દેખરેખ બંને માટે સમાન નિયમો લાગુ પડે છે..

સૌથી સીધો કેસ બનાવવાનો સમાવેશ કરે છે ચોક્કસ માલવેર અથવા સમગ્ર પરિવારો માટે ચોક્કસ નિયમોજો તમારી સંસ્થા પર કોઈ જાણીતા પરિવાર (ઉદાહરણ તરીકે, રિમોટ એક્સેસ ટ્રોજન અથવા APT થ્રેટ) પર આધારિત ઝુંબેશ દ્વારા હુમલો થઈ રહ્યો હોય, તો તમે લાક્ષણિક સ્ટ્રિંગ્સ અને પેટર્નને પ્રોફાઇલ કરી શકો છો અને નવા સંબંધિત નમૂનાઓને ઝડપથી ઓળખવા માટે નિયમો બનાવી શકો છો.

બીજો ક્લાસિક ઉપયોગ એ ધ્યાન કેન્દ્રિત કરે છે સહીઓ પર આધારિત YARAઆ નિયમો હેશ, ખૂબ જ ચોક્કસ ટેક્સ્ટ સ્ટ્રિંગ્સ, કોડ સ્નિપેટ્સ, રજિસ્ટ્રી કીઝ અથવા તો ચોક્કસ બાઇટ સિક્વન્સ શોધવા માટે રચાયેલ છે જે એક જ માલવેરના બહુવિધ પ્રકારોમાં પુનરાવર્તિત થાય છે. જો કે, ધ્યાનમાં રાખો કે જો તમે ફક્ત તુચ્છ સ્ટ્રિંગ્સ શોધો છો, તો તમે ખોટા હકારાત્મક પરિણામો ઉત્પન્ન કરવાનું જોખમ લો છો.

ફિલ્ટરિંગની વાત આવે ત્યારે પણ YARA ચમકે છે ફાઇલ પ્રકારો અથવા માળખાકીય લાક્ષણિકતાઓફાઇલ કદ, ચોક્કસ હેડરો (દા.ત., PE એક્ઝિક્યુટેબલ માટે 0x5A4D), અથવા શંકાસ્પદ ફંક્શન આયાત જેવા ગુણધર્મો સાથે સ્ટ્રિંગ્સને જોડીને, PE એક્ઝિક્યુટેબલ્સ, ઓફિસ દસ્તાવેજો, PDF અથવા વર્ચ્યુઅલ રીતે કોઈપણ ફોર્મેટ પર લાગુ પડતા નિયમો બનાવવા શક્ય છે.

આધુનિક વાતાવરણમાં, તેનો ઉપયોગ ધમકી ગુપ્ત માહિતીજાહેર ભંડારો, સંશોધન અહેવાલો અને IOC ફીડ્સને YARA નિયમોમાં અનુવાદિત કરવામાં આવે છે જે SIEM, EDR, બેકઅપ પ્લેટફોર્મ અથવા સેન્ડબોક્સમાં સંકલિત થાય છે. આ સંસ્થાઓને પહેલાથી જ વિશ્લેષણ કરાયેલા ઝુંબેશો સાથે લાક્ષણિકતાઓ શેર કરતા ઉભરતા જોખમોને ઝડપથી શોધી કાઢો.

YARA નિયમોની વાક્યરચના સમજવી

YARA ની વાક્યરચના C જેવી જ છે, પરંતુ સરળ અને વધુ કેન્દ્રિત રીતે. દરેક નિયમમાં એક નામ, એક વૈકલ્પિક મેટાડેટા વિભાગ, એક સ્ટ્રિંગ વિભાગ અને, આવશ્યકપણે, એક શરત વિભાગ હોય છે.હવેથી, શક્તિ એમાં રહેલી છે કે તમે તે બધાને કેવી રીતે જોડો છો.

પહેલી વાત એ છે કે નિયમનું નામતે કીવર્ડ પછી જ જવું જોઈએ નિયમ (o શાસક જો તમે સ્પેનિશમાં દસ્તાવેજ કરો છો, તો ફાઇલમાં કીવર્ડ હશે નિયમઅને માન્ય ઓળખકર્તા હોવો જોઈએ: કોઈ જગ્યાઓ નહીં, કોઈ સંખ્યા નહીં, અને કોઈ અંડરસ્કોર નહીં. સ્પષ્ટ પરંપરાનું પાલન કરવું એ સારો વિચાર છે, ઉદાહરણ તરીકે કંઈક આવું માલવેર_ફેમિલી_વેરિઅન્ટ o APT_એક્ટર_ટૂલ, જે તમને એક નજરમાં ઓળખવાની મંજૂરી આપે છે કે તેનો હેતુ શું શોધવાનો છે.

વિશિષ્ટ સામગ્રી - અહીં ક્લિક કરો Cómo encriptar una carpeta Mac

આગળ વિભાગ આવે છે તારજ્યાં તમે જે પેટર્ન શોધવા માંગો છો તે વ્યાખ્યાયિત કરો છો. અહીં તમે ત્રણ મુખ્ય પ્રકારોનો ઉપયોગ કરી શકો છો: ટેક્સ્ટ સ્ટ્રિંગ્સ, હેક્સાડેસિમલ સિક્વન્સ અને રેગ્યુલર એક્સપ્રેશન્સટેક્સ્ટ સ્ટ્રિંગ્સ માનવ-વાંચી શકાય તેવા કોડ સ્નિપેટ્સ, URL, આંતરિક સંદેશાઓ, પાથ નામો અથવા PDB માટે આદર્શ છે. હેક્સાડેસિમલ તમને કાચા બાઇટ પેટર્ન કેપ્ચર કરવાની મંજૂરી આપે છે, જે કોડ અસ્પષ્ટ હોય ત્યારે ખૂબ ઉપયોગી થાય છે પરંતુ ચોક્કસ સતત ક્રમ જાળવી રાખે છે.

જ્યારે તમારે સ્ટ્રિંગમાં નાના ફેરફારો, જેમ કે ડોમેન્સ બદલવા અથવા કોડના થોડા બદલાયેલા ભાગોને આવરી લેવાની જરૂર હોય ત્યારે રેગ્યુલર એક્સપ્રેશન લવચીકતા પૂરી પાડે છે. વધુમાં, સ્ટ્રિંગ્સ અને રેજેક્સ બંને એસ્કેપ્સને મનસ્વી બાઇટ્સને રજૂ કરવાની મંજૂરી આપે છે., જે ખૂબ જ ચોક્કસ હાઇબ્રિડ પેટર્નના દરવાજા ખોલે છે.

વિભાગ સ્થિતિ તે એકમાત્ર ફરજિયાત છે અને વ્યાખ્યાયિત કરે છે કે ક્યારે કોઈ નિયમ ફાઇલને "મેળવવા" માટે ગણવામાં આવે છે. ત્યાં તમે બુલિયન અને અંકગણિત કામગીરીનો ઉપયોગ કરો છો (અને, અથવા, નહીં, +, -, *, /, કોઈપણ, બધા, સમાવે છે, વગેરે.) "જો આ સ્ટ્રિંગ દેખાય તો" કરતાં વધુ સૂક્ષ્મ શોધ તર્ક વ્યક્ત કરવા માટે.

ઉદાહરણ તરીકે, તમે સ્પષ્ટ કરી શકો છો કે નિયમ ફક્ત ત્યારે જ માન્ય છે જો ફાઇલ ચોક્કસ કદ કરતા નાની હોય, જો બધી મહત્વપૂર્ણ સ્ટ્રિંગ્સ દેખાય, અથવા જો ઓછામાં ઓછી એક ઘણી સ્ટ્રિંગ્સ હાજર હોય. તમે સ્ટ્રિંગ લંબાઈ, મેચોની સંખ્યા, ફાઇલમાં ચોક્કસ ઓફસેટ્સ અથવા ફાઇલનું કદ જેવી પરિસ્થિતિઓને પણ જોડી શકો છો.અહીં સર્જનાત્મકતા સામાન્ય નિયમો અને સર્જિકલ શોધ વચ્ચે તફાવત બનાવે છે.

અંતે, તમારી પાસે વૈકલ્પિક વિભાગ છે ધ્યેયસમયગાળાના દસ્તાવેજીકરણ માટે આદર્શ. તેમાં શામેલ થવું સામાન્ય છે લેખક, બનાવટ તારીખ, વર્ણન, આંતરિક સંસ્કરણ, અહેવાલો અથવા ટિકિટોનો સંદર્ભ અને, સામાન્ય રીતે, કોઈપણ માહિતી જે ભંડારને વ્યવસ્થિત રાખવામાં અને અન્ય વિશ્લેષકો માટે સમજી શકાય તેવી રાખવામાં મદદ કરે છે.

અદ્યતન YARA નિયમોના વ્યવહારુ ઉદાહરણો

ઉપરોક્ત બધી બાબતોને પરિપ્રેક્ષ્યમાં મૂકવા માટે, એ જોવામાં મદદરૂપ થાય છે કે એક સરળ નિયમ કેવી રીતે રચાયેલ છે અને જ્યારે એક્ઝિક્યુટેબલ ફાઇલો, શંકાસ્પદ આયાતો અથવા પુનરાવર્તિત સૂચના ક્રમ અમલમાં આવે છે ત્યારે તે કેવી રીતે વધુ જટિલ બને છે. ચાલો રમકડાના શાસકથી શરૂઆત કરીએ અને ધીમે ધીમે તેનું કદ વધારીએ..

ન્યૂનતમ નિયમમાં ફક્ત એક સ્ટ્રિંગ અને એક શરત હોઈ શકે છે જે તેને ફરજિયાત બનાવે છે. ઉદાહરણ તરીકે, તમે માલવેર ફ્રેગમેન્ટના પ્રતિનિધિ તરીકે ચોક્કસ ટેક્સ્ટ સ્ટ્રિંગ અથવા બાઇટ સિક્વન્સ શોધી શકો છો. તે કિસ્સામાં, શરત ફક્ત એટલું જ જણાવશે કે જો તે સ્ટ્રિંગ અથવા પેટર્ન દેખાય તો નિયમ પૂર્ણ થાય છે., વધુ ફિલ્ટર્સ વિના.

જોકે, વાસ્તવિક દુનિયાની સેટિંગ્સમાં આ ઓછું પડે છે, કારણ કે સરળ સાંકળો ઘણીવાર ઘણા ખોટા હકારાત્મક પરિણામો ઉત્પન્ન કરે છે.એટલા માટે વધારાના નિયંત્રણો સાથે અનેક સ્ટ્રિંગ્સ (ટેક્સ્ટ અને હેક્સાડેસિમલ) ને જોડવાનું સામાન્ય છે: ફાઇલ ચોક્કસ કદ કરતાં વધુ ન હોય, તેમાં ચોક્કસ હેડર્સ હોય, અથવા તે ફક્ત ત્યારે જ સક્રિય થાય છે જો દરેક વ્યાખ્યાયિત જૂથમાંથી ઓછામાં ઓછી એક સ્ટ્રિંગ મળી આવે.

PE એક્ઝિક્યુટેબલ વિશ્લેષણમાં એક લાક્ષણિક ઉદાહરણ મોડ્યુલ આયાત કરવાનો સમાવેશ થાય છે pe YARA માંથી, જે તમને બાઈનરીના આંતરિક ગુણધર્મોને ક્વેરી કરવાની મંજૂરી આપે છે: આયાતી કાર્યો, વિભાગો, ટાઇમસ્ટેમ્પ, વગેરે. એક અદ્યતન નિયમ માટે ફાઇલને આયાત કરવાની જરૂર પડી શકે છે પ્રક્રિયા બનાવો થી કર્નલ32.dll અને કેટલાક HTTP ફંક્શન wininet.dll ફાઇલ, જેમાં દૂષિત વર્તણૂક દર્શાવતી ચોક્કસ સ્ટ્રિંગ શામેલ છે.

આ પ્રકારનો તર્ક શોધવા માટે યોગ્ય છે રિમોટ કનેક્શન અથવા એક્સફિલ્ટ્રેશન ક્ષમતાઓ ધરાવતા ટ્રોજનજ્યારે ફાઇલનામ અથવા પાથ એક ઝુંબેશથી બીજા ઝુંબેશમાં બદલાય છે ત્યારે પણ. મહત્વની બાબત એ છે કે અંતર્ગત વર્તણૂક પર ધ્યાન કેન્દ્રિત કરવું: પ્રક્રિયા બનાવટ, HTTP વિનંતીઓ, એન્ક્રિપ્શન, દ્રઢતા, વગેરે.

બીજી ખૂબ જ અસરકારક તકનીક એ છે કે પુનરાવર્તિત સૂચનાઓનો ક્રમ એક જ પરિવારના નમૂનાઓ વચ્ચે. જો હુમલાખોરો બાઈનરીને પેકેજ કરે છે અથવા અસ્પષ્ટ કરે છે, તો પણ તેઓ ઘણીવાર કોડના એવા ભાગોનો ફરીથી ઉપયોગ કરે છે જે બદલવા મુશ્કેલ હોય છે. જો, સ્થિર વિશ્લેષણ પછી, તમને સૂચનાઓના સતત બ્લોક્સ મળે, તો તમે નિયમ બનાવી શકો છો હેક્સાડેસિમલ સ્ટ્રિંગ્સમાં વાઇલ્ડકાર્ડ્સ જે ચોક્કસ સહિષ્ણુતા જાળવી રાખીને તે પેટર્નને કેપ્ચર કરે છે.

આ "કોડ વર્તણૂક-આધારિત" નિયમો સાથે તે શક્ય છે PlugX/Korplug અથવા અન્ય APT પરિવારો જેવા સમગ્ર માલવેર ઝુંબેશને ટ્રેક કરોતમે ફક્ત ચોક્કસ હેશ શોધી શકતા નથી, પરંતુ તમે હુમલાખોરોની વિકાસ શૈલીને અનુસરો છો.

વાસ્તવિક ઝુંબેશ અને શૂન્ય-દિવસના જોખમોમાં YARA નો ઉપયોગ

YARA એ ખાસ કરીને અદ્યતન ધમકીઓ અને શૂન્ય-દિવસના શોષણના ક્ષેત્રમાં તેની યોગ્યતા સાબિત કરી છે, જ્યાં ક્લાસિક સુરક્ષા પદ્ધતિઓ ખૂબ મોડી પહોંચે છે. સિલ્વરલાઇટમાં ન્યૂનતમ લીક થયેલી ગુપ્ત માહિતીનો ઉપયોગ કરીને શોષણ શોધવા માટે YARA નો ઉપયોગ એક જાણીતું ઉદાહરણ છે..

તે કિસ્સામાં, અપમાનજનક સાધનોના વિકાસ માટે સમર્પિત કંપનીમાંથી ચોરાયેલા ઇમેઇલ્સમાંથી, ચોક્કસ શોષણ માટે લક્ષી નિયમ બનાવવા માટે પૂરતા પેટર્ન કાઢવામાં આવ્યા હતા. તે એક જ નિયમ સાથે, સંશોધકો શંકાસ્પદ ફાઇલોના સમુદ્રમાંથી નમૂનાને શોધી શક્યા.શોષણને ઓળખો અને તેના પેચિંગને દબાણ કરો, જેનાથી વધુ ગંભીર નુકસાન થતું અટકાવી શકાય.

આ પ્રકારની વાર્તાઓ દર્શાવે છે કે YARA કેવી રીતે કાર્ય કરી શકે છે ફાઈલોના દરિયામાં માછીમારીની જાળતમારા કોર્પોરેટ નેટવર્કને એક સમુદ્ર તરીકે કલ્પના કરો જે બધી પ્રકારની "માછલીઓ" (ફાઇલો) થી ભરેલો હોય. તમારા નિયમો ટ્રોલ જાળમાં કમ્પાર્ટમેન્ટ જેવા છે: દરેક કમ્પાર્ટમેન્ટમાં ચોક્કસ લાક્ષણિકતાઓને અનુરૂપ માછલીઓ રહે છે.

વિશિષ્ટ સામગ્રી - અહીં ક્લિક કરો ¿Cómo habilitar la opción de verificación en dos pasos con Discord?

જ્યારે તમે ડ્રેગ પૂર્ણ કરો છો, ત્યારે તમારી પાસે ચોક્કસ પરિવારો અથવા હુમલાખોરોના જૂથો સાથે સમાનતા દ્વારા જૂથબદ્ધ નમૂનાઓ: “પ્રજાતિ X જેવી”, “પ્રજાતિ Y જેવી”, વગેરે. આમાંના કેટલાક નમૂનાઓ તમારા માટે સંપૂર્ણપણે નવા હોઈ શકે છે (નવી દ્વિસંગી, નવી ઝુંબેશ), પરંતુ તે એક જાણીતા પેટર્નમાં ફિટ થાય છે, જે તમારા વર્ગીકરણ અને પ્રતિભાવને ઝડપી બનાવે છે.

આ સંદર્ભમાં YARA માંથી સૌથી વધુ લાભ મેળવવા માટે, ઘણી સંસ્થાઓ ભેગા થાય છે અદ્યતન તાલીમ, વ્યવહારુ પ્રયોગશાળાઓ અને નિયંત્રિત પ્રયોગ વાતાવરણસારા નિયમો લખવાની કળા માટે સમર્પિત અત્યંત વિશિષ્ટ અભ્યાસક્રમો છે, જે ઘણીવાર સાયબર જાસૂસીના વાસ્તવિક કિસ્સાઓ પર આધારિત હોય છે, જેમાં વિદ્યાર્થીઓ અધિકૃત નમૂનાઓ સાથે પ્રેક્ટિસ કરે છે અને જ્યારે તેઓ બરાબર શું શોધી રહ્યા છે તે જાણતા નથી ત્યારે પણ "કંઈક" શોધવાનું શીખે છે.

YARA ને બેકઅપ અને રિકવરી પ્લેટફોર્મમાં એકીકૃત કરો

એક ક્ષેત્ર જ્યાં YARA સંપૂર્ણ રીતે બંધબેસે છે, અને જે ઘણીવાર કોઈનું ધ્યાન જતું નથી, તે છે બેકઅપનું રક્ષણ. જો બેકઅપ્સ માલવેર અથવા રેન્સમવેરથી સંક્રમિત હોય, તો રિસ્ટોર સમગ્ર ઝુંબેશને ફરીથી શરૂ કરી શકે છે.એટલા માટે કેટલાક ઉત્પાદકોએ YARA એન્જિનને સીધા તેમના સોલ્યુશન્સમાં સામેલ કર્યા છે.

આગામી પેઢીના બેકઅપ પ્લેટફોર્મ લોન્ચ કરી શકાય છે પુનઃસ્થાપન બિંદુઓ પર YARA નિયમ-આધારિત વિશ્લેષણ સત્રોધ્યેય બે ગણો છે: ઘટના પહેલાનો છેલ્લો "સ્વચ્છ" બિંદુ શોધવાનો અને ફાઇલોમાં છુપાયેલ દૂષિત સામગ્રી શોધવાનો જે અન્ય તપાસ દ્વારા ટ્રિગર ન થઈ હોય.

આ વાતાવરણમાં લાક્ષણિક પ્રક્રિયામાં "" નો વિકલ્પ પસંદ કરવાનો સમાવેશ થાય છે.YARA રુલર વડે રિસ્ટોર પોઈન્ટ સ્કેન કરો"વિશ્લેષણ કાર્યના રૂપરેખાંકન દરમિયાન. આગળ, નિયમો ફાઇલનો પાથ સ્પષ્ટ થયેલ છે (સામાન્ય રીતે .yara અથવા .yar એક્સટેન્શન સાથે), જે સામાન્ય રીતે બેકઅપ ઉકેલ માટે વિશિષ્ટ રૂપરેખાંકન ફોલ્ડરમાં સંગ્રહિત થાય છે."

અમલ દરમિયાન, એન્જિન નકલમાં સમાવિષ્ટ વસ્તુઓ દ્વારા પુનરાવર્તન કરે છે, નિયમો લાગુ કરે છે, અને તે ચોક્કસ YARA વિશ્લેષણ લોગમાં બધા મેચ રેકોર્ડ કરે છે.એડમિનિસ્ટ્રેટર કન્સોલમાંથી આ લોગ જોઈ શકે છે, આંકડાઓની સમીક્ષા કરી શકે છે, કઈ ફાઇલોએ ચેતવણી ટ્રિગર કરી તે જોઈ શકે છે, અને દરેક મેચ કયા મશીનો અને ચોક્કસ તારીખને અનુરૂપ છે તે પણ શોધી શકે છે.

આ એકીકરણ અન્ય પદ્ધતિઓ દ્વારા પૂરક છે જેમ કે વિસંગતતા શોધ, બેકઅપ કદનું નિરીક્ષણ, ચોક્કસ IOC શોધવી, અથવા શંકાસ્પદ સાધનોનું વિશ્લેષણપરંતુ જ્યારે કોઈ ચોક્કસ રેન્સમવેર પરિવાર અથવા ઝુંબેશને અનુરૂપ નિયમોની વાત આવે છે, ત્યારે YARA એ શોધને શુદ્ધ કરવા માટેનું શ્રેષ્ઠ સાધન છે.

તમારા નેટવર્કને તોડ્યા વિના YARA નિયમોનું પરીક્ષણ અને માન્યતા કેવી રીતે કરવી

એન્ડ્રોઇડ માલવેર

એકવાર તમે તમારા પોતાના નિયમો લખવાનું શરૂ કરી દો, પછીનું મહત્વપૂર્ણ પગલું એ છે કે તેનું સંપૂર્ણ પરીક્ષણ કરો. વધુ પડતો આક્રમક નિયમ ખોટા હકારાત્મક વિચારોનો પ્રવાહ પેદા કરી શકે છે, જ્યારે વધુ પડતો બેદરકાર નિયમ વાસ્તવિક જોખમોને છટકી જવા દે છે.એટલા માટે પરીક્ષણનો તબક્કો લેખનનો તબક્કો જેટલો જ મહત્વપૂર્ણ છે.

સારા સમાચાર એ છે કે આ કરવા માટે તમારે કાર્યરત માલવેરથી ભરેલી લેબ સેટ કરવાની અને અડધા નેટવર્કને ચેપ લગાડવાની જરૂર નથી. રિપોઝીટરીઝ અને ડેટાસેટ્સ પહેલાથી જ અસ્તિત્વમાં છે જે આ માહિતી પ્રદાન કરે છે. સંશોધન હેતુઓ માટે જાણીતા અને નિયંત્રિત માલવેર નમૂનાઓતમે તે નમૂનાઓને એક અલગ વાતાવરણમાં ડાઉનલોડ કરી શકો છો અને તમારા નિયમો માટે ટેસ્ટબેડ તરીકે તેનો ઉપયોગ કરી શકો છો.

સામાન્ય અભિગમ એ છે કે શંકાસ્પદ ફાઇલો ધરાવતી ડિરેક્ટરી સામે, કમાન્ડ લાઇનથી, સ્થાનિક રીતે YARA ચલાવીને શરૂઆત કરવી. જો તમારા નિયમો જ્યાં હોવા જોઈએ ત્યાં મેળ ખાય છે અને ભાગ્યે જ સ્વચ્છ ફાઇલોમાં ભંગ કરે છે, તો તમે સાચા માર્ગ પર છો.જો તેઓ ખૂબ જ ટ્રિગર કરી રહ્યા હોય, તો સ્ટ્રિંગ્સની સમીક્ષા કરવાનો, શરતોને સુધારવાનો અથવા વધારાના નિયંત્રણો (કદ, આયાત, ઓફસેટ્સ, વગેરે) રજૂ કરવાનો સમય છે.

બીજો મુખ્ય મુદ્દો એ છે કે ખાતરી કરો કે તમારા નિયમો કામગીરી સાથે સમાધાન ન કરે. મોટી ડિરેક્ટરીઓ, સંપૂર્ણ બેકઅપ્સ અથવા મોટા નમૂના સંગ્રહને સ્કેન કરતી વખતે, નબળા ઑપ્ટિમાઇઝ્ડ નિયમો વિશ્લેષણને ધીમું કરી શકે છે અથવા ઇચ્છિત કરતાં વધુ સંસાધનોનો ઉપયોગ કરી શકે છે.તેથી, સમય માપવા, જટિલ અભિવ્યક્તિઓને સરળ બનાવવા અને વધુ પડતા ભારે રેજેક્સ ટાળવાની સલાહ આપવામાં આવે છે.

તે પ્રયોગશાળા પરીક્ષણ તબક્કામાંથી પસાર થયા પછી, તમે સક્ષમ હશો ઉત્પાદન વાતાવરણમાં નિયમોનો પ્રચાર કરોપછી ભલે તે તમારા SIEM માં હોય, તમારી બેકઅપ સિસ્ટમ્સ માં હોય, ઇમેઇલ સર્વર્સ માં હોય, અથવા જ્યાં પણ તમે તેમને એકીકૃત કરવા માંગો છો. અને સતત સમીક્ષા ચક્ર જાળવવાનું ભૂલશો નહીં: જેમ જેમ ઝુંબેશો વિકસિત થશે, તમારા નિયમોમાં સમયાંતરે ગોઠવણોની જરૂર પડશે.

YARA સાથે સાધનો, પ્રોગ્રામ્સ અને વર્કફ્લો

ફાઇલલેસ ફાઇલો ઓળખો

સત્તાવાર બાઈનરી ઉપરાંત, ઘણા વ્યાવસાયિકોએ YARA ના દૈનિક ઉપયોગને સરળ બનાવવા માટે તેની આસપાસ નાના કાર્યક્રમો અને સ્ક્રિપ્ટો વિકસાવી છે. એક લાક્ષણિક અભિગમમાં એપ્લિકેશન બનાવવાનો સમાવેશ થાય છે તમારી પોતાની સુરક્ષા કીટ એસેમ્બલ કરો જે ફોલ્ડરમાં બધા નિયમો આપમેળે વાંચે છે અને તેમને વિશ્લેષણ ડિરેક્ટરીમાં લાગુ કરે છે.

આ પ્રકારના હોમમેઇડ ટૂલ્સ સામાન્ય રીતે એક સરળ ડિરેક્ટરી સ્ટ્રક્ચર સાથે કામ કરે છે: માટે એક ફોલ્ડર ઇન્ટરનેટ પરથી ડાઉનલોડ કરેલા નિયમો (ઉદાહરણ તરીકે, “rulesyar”) અને બીજું ફોલ્ડર શંકાસ્પદ ફાઇલોનું વિશ્લેષણ કરવામાં આવશે (ઉદાહરણ તરીકે, "માલવેર"). જ્યારે પ્રોગ્રામ શરૂ થાય છે, ત્યારે તે તપાસે છે કે બંને ફોલ્ડર્સ અસ્તિત્વમાં છે, સ્ક્રીન પર નિયમોની યાદી આપે છે અને અમલ માટે તૈયારી કરે છે.

જ્યારે તમે "જેવું બટન દબાવો છોતપાસ શરૂ કરોત્યારબાદ એપ્લિકેશન ઇચ્છિત પરિમાણો સાથે YARA એક્ઝિક્યુટેબલ લોન્ચ કરે છે: ફોલ્ડરમાં બધી ફાઇલોને સ્કેન કરવી, સબડિરેક્ટરીઝનું પુનરાવર્તિત વિશ્લેષણ કરવું, આંકડા આઉટપુટ કરવા, મેટાડેટા છાપવા વગેરે. કોઈપણ મેચ પરિણામ વિંડોમાં પ્રદર્શિત થાય છે, જે દર્શાવે છે કે કઈ ફાઇલ કયા નિયમ સાથે મેળ ખાય છે.

વિશિષ્ટ સામગ્રી - અહીં ક્લિક કરો સ્પામનો સામનો કેવી રીતે કરવો

આ વર્કફ્લો, ઉદાહરણ તરીકે, નિકાસ કરેલા ઇમેઇલ્સના બેચમાં સમસ્યાઓ શોધવાની મંજૂરી આપે છે. દૂષિત એમ્બેડેડ છબીઓ, ખતરનાક જોડાણો, અથવા વેબશેલ્સ જે દેખીતી રીતે નિરુપદ્રવી ફાઇલોમાં છુપાયેલા છેકોર્પોરેટ વાતાવરણમાં ઘણી ફોરેન્સિક તપાસ આ પ્રકારની પદ્ધતિ પર ચોક્કસ આધાર રાખે છે.

YARA ને બોલાવતી વખતે સૌથી ઉપયોગી પરિમાણો વિશે, નીચેના જેવા વિકલ્પો અલગ પડે છે: -r ને વારંવાર શોધવા માટે, -S ને આંકડા દર્શાવવા માટે, -m ને મેટાડેટા કાઢવા માટે, અને -w ને ચેતવણીઓને અવગણવા માટેઆ ફ્લેગ્સને જોડીને તમે તમારા કેસમાં વર્તનને સમાયોજિત કરી શકો છો: ચોક્કસ ડિરેક્ટરીમાં ઝડપી વિશ્લેષણથી લઈને જટિલ ફોલ્ડર સ્ટ્રક્ચરના સંપૂર્ણ સ્કેન સુધી.

YARA નિયમો લખવા અને જાળવવા માટેની શ્રેષ્ઠ પદ્ધતિઓ

તમારા નિયમોના ભંડારને અનિયંત્રિત ગડબડ બનતા અટકાવવા માટે, શ્રેષ્ઠ પ્રથાઓની શ્રેણી લાગુ કરવાની સલાહ આપવામાં આવે છે. પહેલું કામ સુસંગત નમૂનાઓ અને નામકરણ પરંપરાઓ સાથે કામ કરવાનું છે.જેથી કોઈપણ વિશ્લેષક એક નજરમાં સમજી શકે કે દરેક નિયમ શું કરે છે.

ઘણી ટીમો એક માનક ફોર્મેટ અપનાવે છે જેમાં શામેલ છે મેટાડેટા સાથેનું હેડર, ધમકીનો પ્રકાર, અભિનેતા અથવા પ્લેટફોર્મ દર્શાવતા ટૅગ્સ, અને શું શોધી કાઢવામાં આવી રહ્યું છે તેનું સ્પષ્ટ વર્ણનઆ ફક્ત આંતરિક રીતે જ નહીં, પણ જ્યારે તમે સમુદાય સાથે નિયમો શેર કરો છો અથવા જાહેર ભંડારોમાં યોગદાન આપો છો ત્યારે પણ મદદ કરે છે.

બીજી ભલામણ એ છે કે હંમેશા યાદ રાખો કે YARA એ સંરક્ષણનું માત્ર એક સ્તર છેતે એન્ટીવાયરસ સોફ્ટવેર અથવા EDR ને બદલતું નથી, પરંતુ તેમને વ્યૂહરચનામાં પૂરક બનાવે છે તમારા વિન્ડોઝ પીસીને સુરક્ષિત કરોઆદર્શરીતે, YARA એ NIST ફ્રેમવર્ક જેવા વ્યાપક સંદર્ભ માળખામાં ફિટ થવું જોઈએ, જે સંપત્તિ ઓળખ, રક્ષણ, શોધ, પ્રતિભાવ અને પુનઃપ્રાપ્તિને પણ સંબોધે છે.

ટેકનિકલ દૃષ્ટિકોણથી, સમય ફાળવવા યોગ્ય છે ખોટા હકારાત્મક વિચારો ટાળોઆમાં વધુ પડતા સામાન્ય શબ્દમાળાઓ ટાળવા, ઘણી શરતોને જોડવા અને ઓપરેટરોનો ઉપયોગ કરવાનો સમાવેશ થાય છે જેમ કે બધા o કોઈપણ તમારા મગજનો ઉપયોગ કરો અને ફાઇલના માળખાકીય ગુણધર્મોનો લાભ લો. માલવેરના વર્તનની આસપાસનો તર્ક જેટલો ચોક્કસ હશે, તેટલું સારું.

છેલ્લે, એક શિસ્ત જાળવી રાખો સંસ્કરણ અને સમયાંતરે સમીક્ષા તે ખૂબ જ મહત્વપૂર્ણ છે. માલવેર પરિવારો બદલાય છે, સૂચકો બદલાય છે, અને આજે કામ કરતા નિયમો ઓછા પડી શકે છે અથવા અપ્રચલિત થઈ શકે છે. સમયાંતરે તમારા નિયમ સેટની સમીક્ષા અને શુદ્ધિકરણ એ સાયબર સુરક્ષાની બિલાડી-ઉંદર રમતનો એક ભાગ છે.

YARA સમુદાય અને ઉપલબ્ધ સંસાધનો

YARA અત્યાર સુધી આવવાનું એક મુખ્ય કારણ તેના સમુદાયની તાકાત છે. વિશ્વભરના સંશોધકો, સુરક્ષા કંપનીઓ અને પ્રતિભાવ ટીમો સતત નિયમો, ઉદાહરણો અને દસ્તાવેજો શેર કરે છે.ખૂબ જ સમૃદ્ધ ઇકોસિસ્ટમનું નિર્માણ.

મુખ્ય સંદર્ભ બિંદુ એ છે કે GitHub પર YARA નું સત્તાવાર ભંડારત્યાં તમને ટૂલના નવીનતમ સંસ્કરણો, સ્રોત કોડ અને દસ્તાવેજોની લિંક્સ મળશે. ત્યાંથી તમે પ્રોજેક્ટની પ્રગતિને અનુસરી શકો છો, સમસ્યાઓની જાણ કરી શકો છો અથવા જો તમે ઇચ્છો તો સુધારાઓમાં યોગદાન આપી શકો છો.

ReadTheDocs જેવા પ્લેટફોર્મ પર ઉપલબ્ધ સત્તાવાર દસ્તાવેજો, ઓફર કરે છે સંપૂર્ણ વાક્યરચના માર્ગદર્શિકા, ઉપલબ્ધ મોડ્યુલો, નિયમ ઉદાહરણો અને ઉપયોગ સંદર્ભોPE નિરીક્ષણ, ELF, મેમરી નિયમો અથવા અન્ય સાધનો સાથે એકીકરણ જેવા સૌથી અદ્યતન કાર્યોનો લાભ લેવા માટે તે એક આવશ્યક સંસાધન છે.

વધુમાં, YARA નિયમો અને હસ્તાક્ષરોના સમુદાય ભંડાર છે જ્યાં વિશ્વભરના વિશ્લેષકો તેઓ ઉપયોગ માટે તૈયાર સંગ્રહો અથવા તમારી જરૂરિયાતોને અનુરૂપ બનાવી શકાય તેવા સંગ્રહો પ્રકાશિત કરે છે.આ ભંડારોમાં સામાન્ય રીતે ચોક્કસ માલવેર પરિવારો માટેના નિયમો, એક્સપ્લોઈટ કિટ્સ, દૂષિત રીતે ઉપયોગમાં લેવાતા પેન્ટેસ્ટિંગ ટૂલ્સ, વેબશેલ્સ, ક્રિપ્ટોમાઇનર્સ અને ઘણું બધું શામેલ હોય છે.

સમાંતર, ઘણા ઉત્પાદકો અને સંશોધન જૂથો ઓફર કરે છે YARA ખાતે ચોક્કસ તાલીમ, મૂળભૂત સ્તરથી લઈને ખૂબ જ અદ્યતન અભ્યાસક્રમો સુધીઆ પહેલોમાં ઘણીવાર વાસ્તવિક દુનિયાના દૃશ્યો પર આધારિત વર્ચ્યુઅલ લેબ્સ અને વ્યવહારુ કસરતોનો સમાવેશ થાય છે. કેટલીક તો બિન-લાભકારી સંસ્થાઓ અથવા ખાસ કરીને લક્ષિત હુમલાઓ માટે સંવેદનશીલ સંસ્થાઓને મફતમાં ઓફર કરવામાં આવે છે.

આ સમગ્ર ઇકોસિસ્ટમનો અર્થ એ છે કે, થોડી સમર્પણ સાથે, તમે તમારા પહેલા મૂળભૂત નિયમો લખવાથી લઈને જટિલ ઝુંબેશોને ટ્રેક કરવા અને અભૂતપૂર્વ જોખમો શોધવા માટે સક્ષમ અત્યાધુનિક સ્યુટ્સ વિકસાવો.અને, YARA ને પરંપરાગત એન્ટીવાયરસ, સુરક્ષિત બેકઅપ અને થ્રેટ ઇન્ટેલિજન્સ સાથે જોડીને, તમે ઇન્ટરનેટ પર ફરતા દૂષિત તત્વો માટે વસ્તુઓને ઘણી મુશ્કેલ બનાવો છો.

ઉપરોક્ત બધા સાથે, એ સ્પષ્ટ છે કે YARA એ એક સરળ કમાન્ડ-લાઇન ઉપયોગિતા કરતાં ઘણું વધારે છે: તે એક ચાવીનો ટુકડો કોઈપણ અદ્યતન માલવેર શોધ વ્યૂહરચનામાં, એક લવચીક સાધન જે વિશ્લેષક તરીકે તમારી વિચારસરણીને અનુરૂપ બને છે અને સામાન્ય ભાષા જે વિશ્વભરની પ્રયોગશાળાઓ, SOCs અને સંશોધન સમુદાયોને જોડે છે, જે દરેક નવા નિયમને વધુને વધુ સુસંસ્કૃત ઝુંબેશો સામે રક્ષણનો બીજો સ્તર ઉમેરવાની મંજૂરી આપે છે.

સંબંધિત લેખ:

વિન્ડોઝ 11 માં ખતરનાક ફાઇલલેસ માલવેર કેવી રીતે શોધવું

ક્રિસ્ટિયન ગાર્સિયા

તે નાનો હતો ત્યારથી જ ટેક્નોલોજી પ્રત્યે ઉત્સાહી હતો. મને સેક્ટરમાં અદ્યતન રહેવાનું અને સૌથી વધુ, તેની સાથે વાતચીત કરવાનું પસંદ છે. એટલા માટે હું ઘણા વર્ષોથી ટેક્નોલોજી અને વિડિયો ગેમ વેબસાઇટ્સ પર કમ્યુનિકેશન માટે સમર્પિત છું. તમે મને એન્ડ્રોઇડ, વિન્ડોઝ, મેકઓએસ, આઇઓએસ, નિન્ટેન્ડો અથવા મનમાં આવતા અન્ય સંબંધિત વિષય વિશે લખતા શોધી શકો છો.