उन्नत मैलवेयर पहचान के लिए YARA का उपयोग कैसे करें

¿उन्नत मैलवेयर पहचान के लिए YARA का उपयोग कैसे करें? जब पारंपरिक एंटीवायरस प्रोग्राम अपनी सीमा तक पहुंच जाते हैं और हमलावर हर संभव दरार से बच निकलते हैं, तो एक उपकरण जो घटना प्रतिक्रिया प्रयोगशालाओं में अपरिहार्य हो गया है, काम में आता है: YARA, मैलवेयर का शिकार करने वाला "स्विस चाकू"पाठ्य और बाइनरी पैटर्न का उपयोग करके दुर्भावनापूर्ण सॉफ़्टवेयर के परिवारों का वर्णन करने के लिए डिज़ाइन किया गया, यह सरल हैश मिलान से कहीं आगे जाने की अनुमति देता है।

सही हाथों में, YARA सिर्फ लोकेशन ढूंढने के लिए नहीं है न केवल ज्ञात मैलवेयर नमूने, बल्कि नए वेरिएंट, शून्य-दिन के शोषण और यहां तक ​​कि वाणिज्यिक आक्रामक उपकरण भीइस लेख में, हम गहनता से और व्यावहारिक रूप से यह जानेंगे कि उन्नत मैलवेयर पहचान के लिए YARA का उपयोग कैसे करें, मजबूत नियम कैसे लिखें, उनका परीक्षण कैसे करें, उन्हें Veeam या अपने स्वयं के विश्लेषण वर्कफ़्लो जैसे प्लेटफार्मों में कैसे एकीकृत करें, और पेशेवर समुदाय किन सर्वोत्तम प्रथाओं का पालन करता है।

YARA क्या है और यह मैलवेयर का पता लगाने में इतना शक्तिशाली क्यों है?

YARA का अर्थ है "Yet Another Recursive Acronym" और यह खतरा विश्लेषण में एक वास्तविक मानक बन गया है क्योंकि यह पठनीय, स्पष्ट और अत्यधिक लचीले नियमों का उपयोग करके मैलवेयर परिवारों का वर्णन करने की अनुमति देता है।पूरी तरह से स्थैतिक एंटीवायरस हस्ताक्षरों पर निर्भर रहने के बजाय, YARA उन पैटर्नों के साथ काम करता है जिन्हें आप स्वयं परिभाषित करते हैं।

मूल विचार सरल है: YARA नियम किसी फ़ाइल (या मेमोरी, या डेटा स्ट्रीम) की जांच करता है और जांचता है कि क्या शर्तों की एक श्रृंखला पूरी होती है। टेक्स्ट स्ट्रिंग, हेक्साडेसिमल अनुक्रम, नियमित अभिव्यक्ति या फ़ाइल गुणों पर आधारित शर्तेंयदि शर्त पूरी हो जाती है, तो "मिलान" होता है और आप अलर्ट कर सकते हैं, ब्लॉक कर सकते हैं, या अधिक गहन विश्लेषण कर सकते हैं।

यह दृष्टिकोण सुरक्षा टीमों को सभी प्रकार के मैलवेयर की पहचान और वर्गीकरण करें: क्लासिक वायरस, वर्म्स, ट्रोजन, रैनसमवेयर, वेबशेल, क्रिप्टोमाइनर, दुर्भावनापूर्ण मैक्रोज़, और बहुत कुछयह विशिष्ट फ़ाइल एक्सटेंशन या प्रारूपों तक सीमित नहीं है, इसलिए यह .pdf एक्सटेंशन वाले प्रच्छन्न निष्पादनयोग्य या वेबशेल युक्त HTML फ़ाइल का भी पता लगा लेता है।

इसके अलावा, YARA पहले से ही साइबर सुरक्षा पारिस्थितिकी तंत्र की कई प्रमुख सेवाओं और उपकरणों में एकीकृत है: वायरसटोटल, कुक्कू जैसे सैंडबॉक्स, वीम जैसे बैकअप प्लेटफॉर्म, या शीर्ष-स्तरीय निर्माताओं के खतरे की खोज के समाधानइसलिए, उन्नत विश्लेषकों और शोधकर्ताओं के लिए YARA में महारत हासिल करना लगभग आवश्यक हो गया है।

मैलवेयर का पता लगाने में YARA के उन्नत उपयोग के मामले

YARA की खूबियों में से एक यह है कि यह SOC से लेकर मैलवेयर लैब तक, कई सुरक्षा परिदृश्यों के लिए अनुकूल है। एक बार के शिकार और सतत निगरानी दोनों पर समान नियम लागू होते हैं।.

सबसे प्रत्यक्ष मामला निर्माण से संबंधित है विशिष्ट मैलवेयर या संपूर्ण परिवार के लिए विशिष्ट नियमयदि आपके संगठन पर किसी ज्ञात परिवार (उदाहरण के लिए, रिमोट एक्सेस ट्रोजन या APT खतरा) पर आधारित अभियान द्वारा हमला किया जा रहा है, तो आप विशिष्ट स्ट्रिंग्स और पैटर्न को प्रोफाइल कर सकते हैं और ऐसे नियम बना सकते हैं जो नए संबंधित नमूनों की शीघ्रता से पहचान कर सकें।

एक और क्लासिक उपयोग का फोकस है हस्ताक्षरों के आधार पर YARAये नियम हैश, अति विशिष्ट टेक्स्ट स्ट्रिंग, कोड स्निपेट, रजिस्ट्री कुंजियाँ, या यहाँ तक कि विशिष्ट बाइट अनुक्रमों का पता लगाने के लिए डिज़ाइन किए गए हैं जो एक ही मैलवेयर के कई प्रकारों में दोहराए जाते हैं। हालाँकि, ध्यान रखें कि यदि आप केवल तुच्छ स्ट्रिंग्स की खोज करते हैं, तो आप गलत सकारात्मक परिणाम उत्पन्न करने का जोखिम उठाते हैं।

जब फ़िल्टरिंग की बात आती है तो YARA भी चमकता है फ़ाइल प्रकार या संरचनात्मक विशेषताएँस्ट्रिंग्स को फ़ाइल आकार, विशिष्ट हेडर (उदाहरण के लिए, PE निष्पादनयोग्य के लिए 0x5A4D) या संदिग्ध फ़ंक्शन आयात जैसे गुणों के साथ संयोजित करके, PE निष्पादनयोग्य, कार्यालय दस्तावेज़, PDF या वस्तुतः किसी भी प्रारूप पर लागू होने वाले नियम बनाना संभव है।

आधुनिक वातावरण में, इसका उपयोग inteligencia de amenazasसार्वजनिक रिपॉजिटरी, शोध रिपोर्ट और IOC फ़ीड को YARA नियमों में अनुवादित किया जाता है जिन्हें SIEM, EDR, बैकअप प्लेटफ़ॉर्म या सैंडबॉक्स में एकीकृत किया जाता है। इससे संगठनों को पहले से विश्लेषित अभियानों के साथ विशेषताओं को साझा करने वाले उभरते खतरों का शीघ्रता से पता लगाना.

YARA नियमों के वाक्यविन्यास को समझना

YARA का सिंटैक्स C के समान ही है, लेकिन अधिक सरल और अधिक केंद्रित तरीके से। प्रत्येक नियम में एक नाम, एक वैकल्पिक मेटाडेटा अनुभाग, एक स्ट्रिंग अनुभाग और, आवश्यक रूप से, एक शर्त अनुभाग शामिल होता है।अब से, शक्ति इस बात में निहित है कि आप इन सबको किस प्रकार संयोजित करते हैं।

Lo primero es el नियम का नामइसे कीवर्ड के ठीक बाद जाना होगा rule (o regla यदि आप स्पेनिश में दस्तावेज़ बनाते हैं, तो फ़ाइल में कीवर्ड होगा ruleऔर एक मान्य पहचानकर्ता होना चाहिए: कोई रिक्त स्थान नहीं, कोई संख्या नहीं, और कोई अंडरस्कोर नहीं। एक स्पष्ट परंपरा का पालन करना एक अच्छा विचार है, उदाहरण के लिए कुछ इस तरह मैलवेयर_फ़ैमिली_वेरिएंट o APT_एक्टर_टूल, जो आपको एक नज़र में यह पहचानने की अनुमति देता है कि इसका उद्देश्य क्या पता लगाना है।

अगला भाग आता है stringsजहाँ आप उन पैटर्न को परिभाषित करते हैं जिन्हें आप खोजना चाहते हैं। यहाँ आप तीन मुख्य प्रकारों का उपयोग कर सकते हैं: टेक्स्ट स्ट्रिंग, हेक्साडेसिमल अनुक्रम और नियमित अभिव्यक्तियाँटेक्स्ट स्ट्रिंग्स मानव-पठनीय कोड स्निपेट, URL, आंतरिक संदेशों, पथ नामों या PDB के लिए आदर्श हैं। हेक्साडेसिमल आपको अपरिष्कृत बाइट पैटर्न कैप्चर करने की अनुमति देते हैं, जो तब बहुत उपयोगी होते हैं जब कोड अस्पष्ट हो, लेकिन कुछ स्थिर अनुक्रमों को बनाए रखता हो।

जब आपको स्ट्रिंग में छोटे-छोटे बदलावों को कवर करने की आवश्यकता होती है, जैसे डोमेन बदलना या कोड के कुछ हिस्सों में थोड़ा बदलाव करना, तो नियमित अभिव्यक्तियाँ लचीलापन प्रदान करती हैं। इसके अलावा, स्ट्रिंग्स और रेगेक्स दोनों ही एस्केप को मनमाने बाइट्स का प्रतिनिधित्व करने की अनुमति देते हैं, जो बहुत सटीक हाइब्रिड पैटर्न के लिए दरवाजा खोलता है।

La sección condition यह एकमात्र अनिवार्य नियम है और यह निर्धारित करता है कि कब किसी नियम को किसी फ़ाइल से "मेल" खाने वाला माना जाता है। यहाँ आप बूलियन और अंकगणितीय संक्रियाओं का उपयोग करते हैं (और, या, नहीं, +, -, *, /, कोई भी, सभी, शामिल है, आदि।) एक सरल "यदि यह स्ट्रिंग प्रकट होती है" की तुलना में बेहतर पहचान तर्क व्यक्त करने के लिए।

उदाहरण के लिए, आप यह निर्दिष्ट कर सकते हैं कि नियम तभी मान्य होगा जब फ़ाइल एक निश्चित आकार से छोटी हो, यदि सभी महत्वपूर्ण स्ट्रिंग्स दिखाई दें, या यदि कई स्ट्रिंग्स में से कम से कम एक स्ट्रिंग मौजूद हो। आप स्ट्रिंग की लंबाई, मिलानों की संख्या, फ़ाइल में विशिष्ट ऑफसेट या फ़ाइल के आकार जैसी शर्तों को भी संयोजित कर सकते हैं।यहां रचनात्मकता सामान्य नियमों और सर्जिकल जांच के बीच अंतर पैदा करती है।

अंत में, आपके पास वैकल्पिक अनुभाग है metaउस काल के दस्तावेज़ीकरण के लिए आदर्श। इसमें शामिल करना आम बात है लेखक, निर्माण तिथि, विवरण, आंतरिक संस्करण, रिपोर्ट या टिकट का संदर्भ और, सामान्य तौर पर, कोई भी जानकारी जो भंडार को व्यवस्थित रखने और अन्य विश्लेषकों के लिए समझने योग्य बनाने में मदद करती है।

उन्नत YARA नियमों के व्यावहारिक उदाहरण

उपरोक्त सभी बातों को परिप्रेक्ष्य में रखने के लिए, यह देखना उपयोगी होगा कि एक सरल नियम किस प्रकार संरचित होता है और जब निष्पादन योग्य फाइलें, संदिग्ध आयात या पुनरावर्ती निर्देश अनुक्रम आते हैं तो यह किस प्रकार अधिक जटिल हो जाता है। आइए एक खिलौना रूलर से शुरुआत करें और धीरे-धीरे आकार बढ़ाएं।.

एक न्यूनतम नियम में केवल एक स्ट्रिंग और एक शर्त हो सकती है जो इसे अनिवार्य बनाती है। उदाहरण के लिए, आप किसी विशिष्ट टेक्स्ट स्ट्रिंग या मैलवेयर फ़्रैगमेंट के बाइट अनुक्रम का प्रतिनिधित्व करने वाले नियम की खोज कर सकते हैं। उस स्थिति में शर्त केवल यह बताएगी कि यदि वह स्ट्रिंग या पैटर्न प्रकट होता है तो नियम पूरा हो जाता है।, बिना किसी अतिरिक्त फिल्टर के।

हालाँकि, वास्तविक दुनिया में यह अपर्याप्त है, क्योंकि सरल श्रृंखलाएं अक्सर कई झूठे सकारात्मक परिणाम उत्पन्न करती हैंइसीलिए कई स्ट्रिंग्स (टेक्स्ट और हेक्साडेसिमल) को अतिरिक्त प्रतिबंधों के साथ संयोजित करना आम बात है: फ़ाइल का आकार एक निश्चित आकार से अधिक न हो, उसमें विशिष्ट हेडर हों, या यह केवल तभी सक्रिय हो जब प्रत्येक परिभाषित समूह से कम से कम एक स्ट्रिंग मिल जाए।

पीई निष्पादन योग्य विश्लेषण में एक विशिष्ट उदाहरण मॉड्यूल को आयात करना शामिल है pe YARA से, जो आपको बाइनरी के आंतरिक गुणों को क्वेरी करने की अनुमति देता है: आयातित फ़ंक्शन, अनुभाग, टाइमस्टैम्प, आदि। एक उन्नत नियम के लिए फ़ाइल को आयात करने की आवश्यकता हो सकती है प्रक्रिया बनाइये desde Kernel32.dll और कुछ HTTP फ़ंक्शन wininet.dllइसके अलावा इसमें दुर्भावनापूर्ण व्यवहार का संकेत देने वाली एक विशिष्ट स्ट्रिंग भी शामिल है।

इस प्रकार का तर्क स्थान निर्धारण के लिए एकदम उपयुक्त है दूरस्थ कनेक्शन या निष्कासन क्षमताओं वाले ट्रोजनतब भी जब एक अभियान से दूसरे अभियान में फ़ाइल नाम या पथ बदल जाते हैं। महत्वपूर्ण बात यह है कि अंतर्निहित व्यवहार पर ध्यान केंद्रित किया जाए: प्रक्रिया निर्माण, HTTP अनुरोध, एन्क्रिप्शन, दृढ़ता, आदि।

एक और बहुत प्रभावी तकनीक है दोहराए जाने वाले निर्देशों का क्रम एक ही परिवार के नमूनों के बीच। भले ही हमलावर बाइनरी को पैकेज या अस्पष्ट कर दें, वे अक्सर कोड के उन हिस्सों का पुनः उपयोग करते हैं जिन्हें बदलना मुश्किल होता है। यदि, स्थैतिक विश्लेषण के बाद, आपको निर्देशों के स्थिर ब्लॉक मिलते हैं, तो आप एक नियम बना सकते हैं हेक्साडेसिमल स्ट्रिंग में वाइल्डकार्ड जो एक निश्चित सहनशीलता बनाए रखते हुए उस पैटर्न को पकड़ता है।

इन "कोड व्यवहार-आधारित" नियमों के साथ यह संभव है प्लगएक्स/कोरप्लग या अन्य एपीटी परिवारों जैसे संपूर्ण मैलवेयर अभियानों को ट्रैक करेंआप सिर्फ एक विशिष्ट हैश का पता नहीं लगाते, बल्कि आप हमलावरों की विकास शैली का भी पता लगाते हैं।

वास्तविक अभियानों और शून्य-दिन के खतरों में YARA का उपयोग

YARA ने विशेष रूप से उन्नत खतरों और शून्य-दिन के शोषण के क्षेत्र में अपनी उपयोगिता सिद्ध की है, जहां पारंपरिक सुरक्षा तंत्र बहुत देर से आते हैं। इसका एक प्रसिद्ध उदाहरण है, न्यूनतम लीक हुई खुफिया जानकारी से सिल्वरलाइट में शोषण का पता लगाने के लिए YARA का उपयोग।.

उस मामले में, आक्रामक उपकरणों के विकास के लिए समर्पित एक कंपनी से चुराए गए ईमेल से, एक विशिष्ट शोषण के लिए उन्मुख नियम बनाने के लिए पर्याप्त पैटर्न निकाले गए थे। उस एक नियम के साथ, शोधकर्ता संदिग्ध फाइलों के समुद्र के माध्यम से नमूने का पता लगाने में सक्षम थे।शोषण की पहचान करें और उसे पैच करने के लिए बाध्य करें, जिससे अधिक गंभीर क्षति को रोका जा सके।

इस प्रकार की कहानियाँ दर्शाती हैं कि YARA किस प्रकार कार्य कर सकता है फाइलों के समुद्र में मछली पकड़ने का जालअपने कॉर्पोरेट नेटवर्क की कल्पना एक ऐसे महासागर के रूप में करें जो हर तरह की "मछलियों" (फ़ाइलों) से भरा हो। आपके नियम एक जाल के डिब्बों की तरह हैं: हर डिब्बे में विशिष्ट विशेषताओं वाली मछलियाँ रहती हैं।

जब आप ड्रैग समाप्त कर लेते हैं, तो आपके पास हमलावरों के विशिष्ट परिवारों या समूहों से समानता के आधार पर समूहीकृत नमूने: “प्रजाति एक्स के समान”, “प्रजाति वाई के समान”, आदि। इनमें से कुछ नमूने आपके लिए पूरी तरह से नए हो सकते हैं (नए बाइनरी, नए अभियान), लेकिन वे एक ज्ञात पैटर्न में फिट होते हैं, जो आपके वर्गीकरण और प्रतिक्रिया को गति देता है।

इस संदर्भ में YARA से अधिकतम लाभ प्राप्त करने के लिए, कई संगठन एक साथ मिलकर काम करते हैं उन्नत प्रशिक्षण, व्यावहारिक प्रयोगशालाएँ और नियंत्रित प्रयोग वातावरणअच्छे नियम लिखने की कला के लिए विशेष रूप से समर्पित अत्यधिक विशिष्ट पाठ्यक्रम उपलब्ध हैं, जो प्रायः साइबर जासूसी के वास्तविक मामलों पर आधारित होते हैं, जिनमें छात्र प्रामाणिक नमूनों के साथ अभ्यास करते हैं और "कुछ" खोजना सीखते हैं, तब भी जब उन्हें ठीक से पता नहीं होता कि वे क्या खोज रहे हैं।

YARA को बैकअप और रिकवरी प्लेटफ़ॉर्म में एकीकृत करें

एक क्षेत्र जहां YARA पूरी तरह से फिट बैठता है, और जो अक्सर कुछ हद तक अनदेखा रह जाता है, वह है बैकअप की सुरक्षा। यदि बैकअप मैलवेयर या रैनसमवेयर से संक्रमित हैं, तो पुनर्स्थापना से संपूर्ण अभियान पुनः आरंभ हो सकता है।यही कारण है कि कुछ निर्माताओं ने YARA इंजन को सीधे अपने समाधानों में शामिल कर लिया है।

अगली पीढ़ी के बैकअप प्लेटफ़ॉर्म लॉन्च किए जा सकते हैं पुनर्स्थापना बिंदुओं पर YARA नियम-आधारित विश्लेषण सत्रइसका लक्ष्य दोहरा है: किसी घटना से पहले अंतिम "स्वच्छ" बिंदु का पता लगाना और फाइलों में छिपी दुर्भावनापूर्ण सामग्री का पता लगाना, जो अन्य जांचों द्वारा ट्रिगर नहीं की गई हो।

इन वातावरणों में सामान्य प्रक्रिया में "YARA रूलर से रीस्टोर पॉइंट्स को स्कैन करें"विश्लेषण कार्य के कॉन्फ़िगरेशन के दौरान। इसके बाद, नियम फ़ाइल का पथ निर्दिष्ट किया जाता है (आमतौर पर एक्सटेंशन .yara या .yar के साथ), जो आमतौर पर बैकअप समाधान के लिए विशिष्ट कॉन्फ़िगरेशन फ़ोल्डर में संग्रहीत होता है।"

निष्पादन के दौरान, इंजन प्रतिलिपि में निहित ऑब्जेक्ट्स के माध्यम से पुनरावृति करता है, नियमों को लागू करता है, और यह सभी मिलानों को एक विशिष्ट YARA विश्लेषण लॉग में रिकॉर्ड करता है।व्यवस्थापक कंसोल से इन लॉग्स को देख सकता है, आंकड़ों की समीक्षा कर सकता है, देख सकता है कि किस फाइल ने अलर्ट ट्रिगर किया है, तथा यह भी पता लगा सकता है कि प्रत्येक मिलान किस मशीन और विशिष्ट तिथि से संबंधित है।

यह एकीकरण अन्य तंत्रों द्वारा पूरित होता है जैसे विसंगति का पता लगाना, बैकअप आकार की निगरानी, ​​विशिष्ट IOCs की खोज, या संदिग्ध उपकरणों का विश्लेषणलेकिन जब किसी विशिष्ट रैनसमवेयर परिवार या अभियान के लिए बनाए गए नियमों की बात आती है, तो उस खोज को परिष्कृत करने के लिए YARA सबसे अच्छा उपकरण है।

अपने नेटवर्क को नुकसान पहुंचाए बिना YARA नियमों का परीक्षण और सत्यापन कैसे करें

एक बार जब आप अपने नियम लिखना शुरू कर देते हैं, तो अगला महत्वपूर्ण कदम उनका पूरी तरह से परीक्षण करना होता है। एक अत्यधिक आक्रामक नियम झूठी सकारात्मकता की बाढ़ उत्पन्न कर सकता है, जबकि एक अत्यधिक ढीला नियम वास्तविक खतरों को भी नजरअंदाज कर सकता है।इसीलिए परीक्षण चरण लेखन चरण जितना ही महत्वपूर्ण है।

अच्छी खबर यह है कि ऐसा करने के लिए आपको काम करने वाले मैलवेयर से भरी लैब बनाने और आधे नेटवर्क को संक्रमित करने की ज़रूरत नहीं है। ऐसे रिपॉजिटरी और डेटासेट पहले से मौजूद हैं जो यह जानकारी प्रदान करते हैं। अनुसंधान उद्देश्यों के लिए ज्ञात और नियंत्रित मैलवेयर नमूनेआप उन नमूनों को एक पृथक वातावरण में डाउनलोड कर सकते हैं और उन्हें अपने नियमों के लिए परीक्षण स्थल के रूप में उपयोग कर सकते हैं।

सामान्य दृष्टिकोण यह है कि संदिग्ध फ़ाइलों वाली निर्देशिका के विरुद्ध कमांड लाइन से स्थानीय रूप से YARA चलाया जाए। यदि आपके नियम वहां मेल खाते हैं जहां उन्हें होना चाहिए और साफ फाइलों में मुश्किल से टूटते हैं, तो आप सही रास्ते पर हैं।यदि वे बहुत अधिक ट्रिगर कर रहे हैं, तो स्ट्रिंग्स की समीक्षा करने, शर्तों को परिष्कृत करने, या अतिरिक्त प्रतिबंध (आकार, आयात, ऑफसेट, आदि) लागू करने का समय आ गया है।

एक और महत्वपूर्ण बात यह सुनिश्चित करना है कि आपके नियम प्रदर्शन से समझौता न करें। बड़ी निर्देशिकाओं, पूर्ण बैकअप या विशाल नमूना संग्रहों को स्कैन करते समय, खराब तरीके से अनुकूलित नियम विश्लेषण को धीमा कर सकते हैं या अपेक्षा से अधिक संसाधनों का उपभोग कर सकते हैं।इसलिए, समय को मापने, जटिल अभिव्यक्तियों को सरल बनाने और अत्यधिक भारी रेगेक्स से बचने की सलाह दी जाती है।

प्रयोगशाला परीक्षण चरण से गुजरने के बाद, आप सक्षम हो जाएंगे उत्पादन परिवेश में नियमों को बढ़ावा देनाचाहे वह आपके SIEM में हो, आपके बैकअप सिस्टम में हो, ईमेल सर्वर में हो, या जहाँ भी आप उन्हें एकीकृत करना चाहते हैं। और निरंतर समीक्षा चक्र बनाए रखना न भूलें: जैसे-जैसे अभियान विकसित होते हैं, आपके नियमों में समय-समय पर समायोजन की आवश्यकता होगी।

YARA के साथ उपकरण, प्रोग्राम और वर्कफ़्लो

आधिकारिक बाइनरी के अलावा, कई पेशेवरों ने YARA के दैनिक उपयोग को सुविधाजनक बनाने के लिए इसके इर्द-गिर्द छोटे प्रोग्राम और स्क्रिप्ट विकसित किए हैं। एक सामान्य दृष्टिकोण में एक एप्लिकेशन बनाना शामिल है अपनी सुरक्षा किट स्वयं तैयार करें जो स्वचालित रूप से फ़ोल्डर में सभी नियमों को पढ़ता है और उन्हें विश्लेषण निर्देशिका में लागू करता है.

इस प्रकार के घरेलू उपकरण आमतौर पर एक सरल निर्देशिका संरचना के साथ काम करते हैं: एक फ़ोल्डर के लिए इंटरनेट से डाउनलोड किए गए नियम (उदाहरण के लिए, "rulesyar") और के लिए एक और फ़ोल्डर संदिग्ध फ़ाइलों का विश्लेषण किया जाना है (उदाहरण के लिए, "मैलवेयर")। जब प्रोग्राम शुरू होता है, तो यह जाँचता है कि दोनों फ़ोल्डर मौजूद हैं, स्क्रीन पर नियमों को सूचीबद्ध करता है, और निष्पादन के लिए तैयार होता है।

जब आप "जांच शुरू करेंइसके बाद एप्लिकेशन वांछित मापदंडों के साथ YARA निष्पादन योग्य को लॉन्च करता है: फ़ोल्डर में सभी फ़ाइलों को स्कैन करना, उपनिर्देशिकाओं का पुनरावर्ती विश्लेषण, आंकड़े आउटपुट करना, मेटाडेटा प्रिंट करना, आदि। कोई भी मिलान परिणाम विंडो में प्रदर्शित होता है, जो दर्शाता है कि कौन सी फ़ाइल किस नियम से मेल खाती है।

उदाहरण के लिए, यह वर्कफ़्लो निर्यातित ईमेल के बैच में समस्याओं का पता लगाने की अनुमति देता है। दुर्भावनापूर्ण एम्बेडेड छवियाँ, खतरनाक अनुलग्नक, या हानिरहित प्रतीत होने वाली फ़ाइलों में छिपे वेबशेलकॉर्पोरेट वातावरण में कई फोरेंसिक जांचें इसी प्रकार की प्रणाली पर निर्भर करती हैं।

YARA को लागू करते समय सबसे उपयोगी मापदंडों के संबंध में, निम्नलिखित विकल्प सामने आते हैं: -r पुनरावर्ती खोज के लिए, -S आँकड़े प्रदर्शित करने के लिए, -m मेटाडेटा निकालने के लिए, और -w चेतावनियों को अनदेखा करने के लिएइन झंडों को संयोजित करके आप अपने मामले के अनुसार व्यवहार को समायोजित कर सकते हैं: किसी विशिष्ट निर्देशिका में त्वरित विश्लेषण से लेकर किसी जटिल फ़ोल्डर संरचना के पूर्ण स्कैन तक।

YARA नियमों को लिखते और बनाए रखते समय सर्वोत्तम अभ्यास

अपने नियमों के भंडार को अनियंत्रित अव्यवस्था में बदलने से रोकने के लिए, सर्वोत्तम प्रथाओं की एक श्रृंखला को लागू करना उचित है। पहला है सुसंगत टेम्पलेट्स और नामकरण परंपराओं के साथ काम करनाताकि कोई भी विश्लेषक एक नज़र में समझ सके कि प्रत्येक नियम क्या करता है।

कई टीमें एक मानक प्रारूप अपनाती हैं जिसमें शामिल है मेटाडेटा के साथ हेडर, खतरे के प्रकार, अभिनेता या प्लेटफ़ॉर्म को इंगित करने वाले टैग, और जो पता लगाया जा रहा है उसका स्पष्ट विवरणइससे न केवल आंतरिक रूप से मदद मिलती है, बल्कि तब भी मदद मिलती है जब आप समुदाय के साथ नियम साझा करते हैं या सार्वजनिक रिपॉजिटरी में योगदान करते हैं।

एक और सिफारिश यह है कि हमेशा याद रखें कि YARA सुरक्षा की एक और परत मात्र हैयह एंटीवायरस सॉफ़्टवेयर या EDR की जगह नहीं लेता है, बल्कि रणनीतियों में उनका पूरक है अपने विंडोज पीसी को सुरक्षित रखेंआदर्श रूप से, YARA को व्यापक संदर्भ ढांचे के अंतर्गत फिट होना चाहिए, जैसे कि NIST ढांचा, जो परिसंपत्ति की पहचान, सुरक्षा, पता लगाने, प्रतिक्रिया और पुनर्प्राप्ति को भी संबोधित करता है।

तकनीकी दृष्टिकोण से, इस पर समय देना उचित है evitar falsos positivosइसमें अत्यधिक सामान्य स्ट्रिंग्स से बचना, कई शर्तों को संयोजित करना, और ऑपरेटरों का उपयोग करना शामिल है जैसे all of o any of अपने दिमाग का इस्तेमाल करें और फ़ाइल के संरचनात्मक गुणों का लाभ उठाएँ। मैलवेयर के व्यवहार से जुड़ा तर्क जितना विशिष्ट होगा, उतना ही बेहतर होगा।

अंत में, अनुशासन बनाए रखें संस्करण और आवधिक समीक्षा यह बेहद ज़रूरी है। मैलवेयर परिवार विकसित होते रहते हैं, संकेतक बदलते रहते हैं, और आज काम करने वाले नियम कम पड़ सकते हैं या अप्रचलित हो सकते हैं। अपने नियमों की समय-समय पर समीक्षा और उनमें सुधार करना साइबर सुरक्षा के बिल्ली-और-चूहे के खेल का हिस्सा है।

YARA समुदाय और उपलब्ध संसाधन

YARA के इतनी दूर तक पहुंचने का एक मुख्य कारण इसके समुदाय की ताकत है। दुनिया भर के शोधकर्ता, सुरक्षा फर्म और प्रतिक्रिया टीमें लगातार नियम, उदाहरण और दस्तावेज साझा करती रहती हैं।एक बहुत समृद्ध पारिस्थितिकी तंत्र का निर्माण.

मुख्य संदर्भ बिंदु यह है GitHub पर YARA का आधिकारिक संग्रहवहाँ आपको टूल के नवीनतम संस्करण, स्रोत कोड और दस्तावेज़ों के लिंक मिलेंगे। वहाँ से आप प्रोजेक्ट की प्रगति पर नज़र रख सकते हैं, समस्याओं की रिपोर्ट कर सकते हैं, या चाहें तो सुधार में योगदान दे सकते हैं।

ReadTheDocs जैसे प्लेटफार्मों पर उपलब्ध आधिकारिक दस्तावेज, प्रदान करता है एक संपूर्ण वाक्यविन्यास मार्गदर्शिका, उपलब्ध मॉड्यूल, नियम उदाहरण और उपयोग संदर्भयह सबसे उन्नत कार्यों, जैसे पीई निरीक्षण, ईएलएफ, मेमोरी नियम, या अन्य उपकरणों के साथ एकीकरण का लाभ उठाने के लिए एक आवश्यक संसाधन है।

इसके अलावा, YARA नियमों और हस्ताक्षरों के सामुदायिक भंडार भी हैं जहाँ दुनिया भर के विश्लेषक काम करते हैं। वे उपयोग के लिए तैयार संग्रह या ऐसे संग्रह प्रकाशित करते हैं जिन्हें आपकी आवश्यकताओं के अनुरूप अनुकूलित किया जा सकता है।इन रिपॉजिटरी में आमतौर पर विशिष्ट मैलवेयर परिवारों, एक्सप्लॉइट किट, दुर्भावनापूर्ण रूप से उपयोग किए जाने वाले पेनटेस्टिंग टूल, वेबशेल, क्रिप्टोमाइनर्स और बहुत कुछ के लिए नियम शामिल होते हैं।

समानांतर रूप से, कई निर्माता और अनुसंधान समूह पेशकश करते हैं YARA में विशिष्ट प्रशिक्षण, बुनियादी स्तर से लेकर अत्यंत उन्नत पाठ्यक्रमों तकइन पहलों में अक्सर आभासी प्रयोगशालाएँ और वास्तविक दुनिया के परिदृश्यों पर आधारित व्यावहारिक अभ्यास शामिल होते हैं। कुछ तो गैर-लाभकारी संगठनों या लक्षित हमलों के प्रति विशेष रूप से संवेदनशील संस्थाओं को निःशुल्क भी प्रदान किए जाते हैं।

इस पूरे पारिस्थितिकी तंत्र का मतलब है कि, थोड़े समर्पण के साथ, आप अपने पहले बुनियादी नियम लिखने से लेकर जटिल अभियानों पर नज़र रखने और अभूतपूर्व खतरों का पता लगाने में सक्षम परिष्कृत सुइट्स विकसित करनाऔर, YARA को पारंपरिक एंटीवायरस, सुरक्षित बैकअप और खतरे की खुफिया जानकारी के साथ जोड़कर, आप इंटरनेट पर घूम रहे दुर्भावनापूर्ण अभिनेताओं के लिए चीजों को काफी अधिक कठिन बना देते हैं।

उपरोक्त सभी बातों से यह स्पष्ट है कि YARA एक साधारण कमांड-लाइन उपयोगिता से कहीं अधिक है: यह एक pieza clave किसी भी उन्नत मैलवेयर पहचान रणनीति में, एक लचीला उपकरण जो एक विश्लेषक और एक के रूप में आपकी सोच के तरीके के अनुकूल होता है आम भाषा यह नियम दुनिया भर की प्रयोगशालाओं, एसओसी और अनुसंधान समुदायों को जोड़ता है, जिससे प्रत्येक नया नियम तेजी से परिष्कृत होते अभियानों के खिलाफ सुरक्षा की एक और परत जोड़ता है।