Yuav siv YARA li cas rau kev tshawb nrhiav malware siab heev

¿Yuav siv YARA li cas rau kev tshawb nrhiav malware siab heev? Thaum cov kev pab cuam antivirus ib txwm ncav cuag lawv cov kev txwv thiab cov neeg tawm tsam dhau los ntawm txhua qhov ua tau tawg, lub cuab yeej uas tau dhau los ua qhov tsis tseem ceeb hauv qhov xwm txheej teb chaw sim los ua si: YARA, "Swiss riam" rau kev yos hav zoov malwareTsim los piav txog cov tsev neeg ntawm cov software phem uas siv cov ntawv nyeem thiab cov qauv binary, nws tso cai rau mus deb tshaj qhov yooj yim hash txuam.

Nyob rau hauv txoj cai tes, YARA tsis yog rau nrhiav Tsis tsuas yog paub cov qauv malware, tab sis kuj muaj cov hloov pauv tshiab, kev siv xoom-hnub, thiab txawm tias cov cuab yeej ua lag luam tawm tsamHauv tsab xov xwm no, peb yuav tshawb nrhiav qhov tob thiab xyaum siv YARA li cas rau kev tshawb nrhiav malware siab, yuav ua li cas sau cov cai muaj zog, yuav ua li cas kuaj lawv, yuav ua li cas koom ua ke rau hauv cov platforms xws li Veeam lossis koj tus kheej kev tsom xam ua haujlwm, thiab kev coj ua zoo tshaj plaws hauv zej zog kev ua haujlwm raws li.

YARA yog dab tsi thiab vim li cas nws thiaj li muaj zog ntawm kev kuaj xyuas malware?

YARA sawv cev rau "Thiab Lwm Cov Lus Qhia Rov Qab" thiab tau dhau los ua tus txheej txheem de facto hauv kev txheeb xyuas kev hem thawj vim Nws tso cai piav qhia txog cov tsev neeg malware siv cov cai nyeem tau yooj yim, meej, thiab hloov tau yooj yim heev.Es tsis txhob cia siab rau ib leeg ntawm cov npe antivirus zoo li qub, YARA ua haujlwm nrog cov qauv uas koj txhais koj tus kheej.

Lub tswv yim yooj yim yog qhov yooj yim: txoj cai YARA tshuaj xyuas cov ntaub ntawv (lossis nco, lossis cov ntaub ntawv ntws) thiab xyuas seb puas muaj cov xwm txheej tshwm sim. cov xwm txheej raws li cov kab ntawv, hexadecimal sequences, cov kab lus tsis tu ncua, lossis cov ntaub ntawv cov khoomYog tias qhov xwm txheej tau ua tiav, muaj "kev sib tw" thiab koj tuaj yeem ceeb toom, thaiv, lossis ua qhov kev soj ntsuam ntau dua.

Txoj kev no tso cai rau pab pawg ruaj ntseg Txheeb xyuas thiab faib cov malware ntawm txhua hom: cov kab mob classic, worms, Trojans, ransomware, webshells, cryptominers, macro phem, thiab ntau ntxivNws tsis txwv rau cov ntaub ntawv tshwj xeeb txuas ntxiv lossis cov qauv, yog li nws kuj pom qhov ua tau zoo nrog .pdf txuas ntxiv lossis cov ntaub ntawv HTML uas muaj lub webshell.

Tsis tas li ntawd, YARA twb tau koom ua ke rau ntau qhov kev pabcuam tseem ceeb thiab cov cuab yeej ntawm cybersecurity ecosystem: VirusTotal, sandboxes zoo li Cuckoo, thaub qab platforms zoo li Veeam, los yog kev hem tua kev daws teeb meem los ntawm cov tuam txhab saum toj kawg nkausYog li ntawd, mastering YARA tau dhau los ua qhov yuav tsum tau ua rau cov kws tshuaj ntsuam xyuas thiab cov kws tshawb fawb qib siab.

Advanced siv rooj plaub ntawm YARA hauv kev tshawb nrhiav malware

Ib qho ntawm YARA lub zog yog tias nws hloov tau zoo li lub hnab looj tes rau ntau qhov xwm txheej kev nyab xeeb, los ntawm SOC mus rau malware lab. Tib txoj cai siv rau ob qho tib si kev yos hav zoov ib leeg thiab kev saib xyuas tas li..

Cov ntaub ntawv ncaj qha tshaj plaws yog tsim cov cai tshwj xeeb rau cov malware tshwj xeeb lossis tag nrho tsev neegYog tias koj lub koom haum raug tawm tsam los ntawm kev tawm tsam raws li tsev neeg paub (piv txwv li, kev nkag mus rau tej thaj chaw deb trojan lossis APT kev hem thawj), koj tuaj yeem sau cov kab thiab cov qauv thiab tsa cov cai uas ceev nrooj txheeb xyuas cov qauv tshiab.

Lwm qhov kev siv classic yog tsom ntawm YARA raws li kos npeCov kev cai no yog tsim los nrhiav cov hashes, cov kab ntawv tshwj xeeb heev, cov lej snippets, cov lej sau npe, lossis txawm tias tshwj xeeb byte ib ntus uas tau rov ua ntau yam ntawm tib yam malware. Txawm li cas los xij, nco ntsoov tias yog tias koj tsuas yog tshawb nrhiav cov hlua tsis tseem ceeb, koj yuav ua rau muaj qhov tsis zoo.

YARA kuj ci thaum nws los txog rau lim los ntawm hom ntaub ntawv lossis cov yam ntxwv ntawm cov qauvNws muaj peev xwm tsim cov cai uas siv rau PE executables, cov ntaub ntawv chaw ua hauj lwm, PDFs, los yog zoo li txhua hom ntawv, los ntawm kev sib txuas cov hlua nrog cov khoom xws li cov ntaub ntawv loj, cov ntsiab lus tshwj xeeb (piv txwv li, 0x5A4D rau PE executables), lossis kev ua haujlwm txawv txawv.

Nyob rau hauv ib puag ncig niaj hnub, nws siv txuas nrog rau inteligencia de amenazasPublic repositories, research reports, and IOC feeds are translates into YARA rules that are integrated into SIEM, EDR, backup platforms, los yog sandboxes. Qhov no tso cai rau cov koom haum sai sai ntes cov kev hem thawj tshwm sim uas qhia cov yam ntxwv nrog cov phiaj xwm twb tau txheeb xyuas.

Nkag siab txog cov syntax ntawm YARA cov cai

YARA cov syntax zoo ib yam li C, tab sis nyob rau hauv ib txoj kev yooj yim dua thiab tsom ntsoov rau ntau dua. Txhua txoj cai muaj ib lub npe, ib qho kev xaiv metadata seem, ib txoj hlua, thiab, qhov tseem ceeb, ntu ntu.Txij ntawm no mus, lub zog nyob hauv qhov koj muab tag nrho cov ntawd.

Lo primero es el nom tswvNws yuav tsum mus tom qab lo lus tseem ceeb rule (o regla Yog tias koj sau ua lus Mev, txawm tias lo lus tseem ceeb hauv cov ntaub ntawv yuav yog rulethiab yuav tsum yog tus cim siv tau: tsis muaj qhov chaw, tsis muaj tus lej, thiab tsis muaj qhab nias. Nws yog ib lub tswv yim zoo los ua raws li lub rooj sib tham meej, piv txwv li ib yam dab tsi Malware_Family_Variant o APT_Actor_Tool, uas tso cai rau koj txheeb xyuas ntawm ib nrais muag uas nws yog npaj los ntes.

Tom ntej no los txog ntu stringsqhov twg koj txhais cov qauv koj xav mus nrhiav. Ntawm no koj tuaj yeem siv peb hom tseem ceeb: cov kab ntawv, hexadecimal sequences, thiab cov kab lus tsis tu ncuaCov kab ntawv nyeem yog qhov zoo tagnrho rau tib neeg-nyeem tau code snippet, URLs, cov lus sab hauv, cov npe, lossis PDBs. Hexadecimals tso cai rau koj los ntes cov qauv byte nyoos, uas yog qhov muaj txiaj ntsig zoo thaum tus lej tsis txaus ntseeg tab sis khaws qee qhov ntu tas mus li.

Cov kab lus tsis tu ncua muab kev hloov pauv yooj yim thaum koj xav tau los npog cov kev hloov pauv me me hauv txoj hlua, xws li hloov chaw lossis hloov me ntsis ntawm cov lej. Tsis tas li ntawd, ob txoj hlua thiab regex tso cai rau kev khiav tawm los sawv cev rau cov bytes arbitrary, uas qhib qhov rooj rau cov qauv hybrid heev.

La sección condition Nws yog tib qho yuav tsum tau ua thiab txhais tau hais tias thaum txoj cai raug txiav txim siab "muab" cov ntaub ntawv. Nyob ntawd koj siv Boolean thiab lej lej (thiab, lossis, tsis yog, +, -, *, /, ib qho, tag nrho, muaj, thiab lwm yam.) kom nthuav qhia qhov kev tshawb pom zoo tshaj qhov yooj yim "yog tias txoj hlua no tshwm sim".

Piv txwv li, koj tuaj yeem qhia meej tias txoj cai siv tau tsuas yog tias cov ntaub ntawv me dua li qhov loj me, yog tias tag nrho cov hlua tseem ceeb tshwm sim, lossis yog tias tsawg kawg yog ib qho ntawm ob peb txoj hlua tam sim no. Koj tuaj yeem ua ke cov xwm txheej xws li txoj hlua ntev, tus lej ntawm qhov sib tw, tshwj xeeb offsets hauv cov ntaub ntawv, lossis qhov loj ntawm cov ntaub ntawv nws tus kheej.Kev muaj tswv yim ntawm no ua rau qhov sib txawv ntawm cov kev cai dav dav thiab kev kuaj pom kev phais.

Thaum kawg, koj muaj qhov xaiv tau metaZoo tagnrho rau cov ntaub ntawv lub sijhawm. Nws yog feem ntau suav nrog tus sau, hnub tsim, piav qhia, sab hauv version, siv rau cov ntawv ceeb toom lossis daim pib thiab, nyob rau hauv dav dav, txhua yam ntaub ntawv uas yuav pab kom lub repository teeb tsa thiab nkag siab rau lwm cov kws tshuaj ntsuam.

Cov piv txwv ntawm cov kev cai YARA qib siab

Txhawm rau muab tag nrho cov saum toj no rau hauv kev xav, nws yuav pab tau kom pom tias txoj cai yooj yim yog li cas thiab nws yuav nyuaj npaum li cas thaum ua tiav cov ntaub ntawv, tsis txaus ntseeg ntshuam, lossis rov ua cov lus qhia ua ntu zus los ua si. Cia peb pib nrog tus pas ntsuas khoom ua si thiab maj mam nce qhov loj..

Ib txoj cai tsawg kawg nkaus tuaj yeem tsuas muaj ib txoj hlua thiab ib qho mob uas ua rau nws yuav tsum tau ua. Piv txwv li, koj tuaj yeem tshawb nrhiav cov kab ntawv tshwj xeeb lossis ib tus neeg sawv cev ntawm cov kab ke ntawm cov kab mob malware. Qhov xwm txheej, qhov ntawd, tsuas yog hais tias txoj cai tau ua tiav yog tias txoj hlua lossis qauv tshwm., tsis muaj lim ntxiv.

Txawm li cas los xij, nyob rau hauv lub ntiaj teb tiag tiag qhov no poob luv, vim hais tias Cov saw yooj yooj yim feem ntau tsim ntau qhov tsis zooTias yog vim li cas nws thiaj li muaj ntau txoj hlua sib txuas (cov ntawv nyeem thiab hexadecimal) nrog kev txwv ntxiv: tias cov ntaub ntawv tsis pub dhau ib qho me me, uas nws muaj cov ntsiab lus tshwj xeeb, lossis tias nws tsuas yog qhib yog tias tsawg kawg ib txoj hlua los ntawm txhua pawg tau pom.

Ib qho piv txwv zoo nyob rau hauv PE executable tsom xam nrog importing lub module pe los ntawm YARA, uas tso cai rau koj los nug cov khoom sab hauv ntawm binary: cov haujlwm txawv teb chaws, ntu, sijhawm teev, thiab lwm yam. Ib txoj cai siab heev tuaj yeem xav tau cov ntaub ntawv los import CreateProcess desde Kernel32.dll thiab qee qhov HTTP muaj nuj nqi los ntawm wininet.dll, ntxiv rau muaj ib txoj hlua tshwj xeeb qhia txog tus cwj pwm phem.

Hom logic no zoo meej rau qhov chaw Trojans nrog tej thaj chaw deb kev twb kev txuas los yog exfiltration muaj peev xwmtxawm tias thaum filenames lossis paths hloov ntawm ib qho kev sib tw mus rau lwm qhov. Qhov tseem ceeb yog tsom rau tus cwj pwm hauv qab: txheej txheem tsim, HTTP thov, encryption, persistence, thiab lwm yam.

Lwm cov txheej txheem zoo heev yog saib cov ib ntus ntawm cov lus qhia uas rov ua dua nruab nrab ntawm cov qauv los ntawm tib tsev neeg. Txawm hais tias cov neeg tawm tsam pob lossis obfuscate binary, lawv feem ntau rov qab siv cov lej uas nyuaj rau hloov. Yog tias, tom qab kev soj ntsuam zoo li qub, koj pom cov lus qhia tas li, koj tuaj yeem tsim txoj cai nrog wildcards nyob rau hauv hexadecimal hlua uas ntes tus qauv ntawd thaum tuav ib qho kev kam rau siab.

Nrog rau cov cai "kev coj cwj pwm-raws li" no yog ua tau taug qab tag nrho cov phiaj xwm malware zoo li cov PlugX/Korplug lossis lwm tsev neeg APTKoj tsis tsuas yog ntes ib qho hash tshwj xeeb, tab sis koj mus tom qab kev txhim kho style, yog li hais, ntawm cov neeg tawm tsam.

Kev siv YARA hauv cov phiaj xwm tiag tiag thiab kev hem thawj xoom-hnub

YARA tau ua pov thawj tias nws muaj nqis tshwj xeeb tshaj yog nyob rau hauv thaj tsam ntawm kev hem thawj thiab kev siv xoom-hnub, qhov twg cov txheej txheem tiv thaiv classic tuaj txog lig dhau lawm. Ib qho piv txwv zoo yog kev siv YARA los nrhiav kev siv nyiaj hauv Silverlight los ntawm kev txawj ntse tsawg heev..

Nyob rau hauv tas li ntawd, los ntawm emails nyiag los ntawm ib lub tuam txhab mob siab rau txoj kev loj hlob ntawm cov cuab yeej ua phem, cov qauv txaus raug txiav txim los tsim txoj cai taw qhia rau ib qho kev siv tshwj xeeb. Nrog rau txoj cai ntawd, cov kws tshawb fawb tau taug qab cov qauv los ntawm lub hiav txwv ntawm cov ntaub ntawv tsis txaus ntseeg.Txheeb xyuas qhov kev siv thiab yuam nws cov patching, tiv thaiv kev puas tsuaj loj dua.

Cov dab neeg no qhia txog tias YARA tuaj yeem ua haujlwm li cas nuv ntses net hauv hiav txwv ntawm cov ntaub ntawvXav txog koj lub koom haum network li dej hiav txwv uas muaj "ntses" (cov ntaub ntawv) ntawm txhua yam. Koj cov cai zoo ib yam li cov chav hauv lub trawl net: txhua qhov chaw khaws cov ntses uas haum cov yam ntxwv tshwj xeeb.

Thaum koj ua tiav lub luag, koj muaj cov qauv muab faib ua qhov zoo sib xws rau cov tsev neeg tshwj xeeb lossis pawg neeg tawm tsam: “zoo ib yam li Hom X”, “zoo ib yam li Hom Y”, thiab lwm yam. Qee cov qauv no yuav yog qhov tshiab rau koj (tshiab binaries, cov phiaj xwm tshiab), tab sis lawv haum rau tus qauv paub, uas ua rau koj qhov kev faib tawm thiab teb sai.

Kom tau txais txiaj ntsig zoo tshaj plaws ntawm YARA hauv cov ntsiab lus no, ntau lub koom haum ua ke Kev cob qhia qib siab, cov chaw soj nstuam siv tau thiab kev tswj xyuas qhov chaw simMuaj cov kev kawm tshwj xeeb tshwj xeeb tshwj xeeb rau kev kos duab ntawm kev sau cov kev cai zoo, feem ntau raws li cov xwm txheej tiag tiag ntawm cyber espionage, uas cov tub ntxhais kawm xyaum nrog cov qauv tseeb thiab kawm tshawb nrhiav "ib yam dab tsi" txawm tias lawv tsis paub meej qhov lawv tab tom nrhiav.

Ua ke YARA rau hauv thaub qab thiab rov qab platforms

Ib cheeb tsam uas YARA haum zoo kawg nkaus, thiab feem ntau mus me ntsis tsis pom, yog kev tiv thaiv kev thaub qab. Yog tias cov ntaub ntawv thaub qab tau kis nrog malware lossis ransomware, qhov rov qab tuaj yeem rov pib dua tag nrho cov phiaj xwm.Tias yog vim li cas qee cov tuam ntxhab tau koom nrog YARA cov cav ncaj qha rau hauv lawv cov kev daws teeb meem.

Lwm tiam thaub qab platforms tuaj yeem tso tawm YARA txoj cai-raws li kev soj ntsuam ntu ntawm cov ntsiab lus rov qab losLub hom phiaj yog ob npaug: txhawm rau nrhiav qhov kawg "huv" taw tes ua ntej qhov xwm txheej thiab txhawm rau txheeb xyuas cov ntsiab lus tsis zoo muab zais rau hauv cov ntaub ntawv uas tej zaum yuav tsis tau tshwm sim los ntawm lwm cov tshev.

Nyob rau hauv cov cheeb tsam no cov txheej txheem raug suav nrog xaiv qhov kev xaiv ntawm "Tshawb xyuas cov ntsiab lus rov qab nrog YARA tus kav"thaum lub sij hawm configuration ntawm ib qho kev soj ntsuam txoj hauj lwm. Tom ntej no, txoj kev mus rau cov cai cov ntaub ntawv yog teev (feem ntau yog nrog lub extension .yara los yog .yar), uas feem ntau yog muab cia rau hauv ib tug configuration folder tshwj xeeb rau cov kev daws teeb meem.

Thaum ua tiav, lub cav rov ua dua los ntawm cov khoom muaj nyob hauv daim ntawv theej, siv cov cai, thiab Nws sau tag nrho cov kev sib tw hauv qhov tshwj xeeb YARA tsom xam cav.Tus thawj coj tuaj yeem saib cov cav no los ntawm lub console, tshuaj xyuas cov txheeb cais, saib cov ntaub ntawv twg ua rau muaj kev ceeb toom, thiab txawm tias taug qab lub tshuab twg thiab hnub tshwj xeeb txhua qhov sib tw.

Qhov kev sib koom ua ke no yog ua tiav los ntawm lwm cov txheej txheem xws li Kev kuaj pom tsis zoo, kev soj ntsuam qhov loj me, tshawb xyuas cov IOCs tshwj xeeb, lossis kev tshuaj xyuas cov cuab yeej tsis txaus ntseegTab sis thaum nws los txog rau cov cai tswj kom haum rau ib tsev neeg tshwj xeeb ransomware lossis phiaj xwm phiaj xwm, YARA yog cov cuab yeej zoo tshaj plaws rau kev kho qhov kev tshawb nrhiav.

Yuav kuaj thiab siv tau li cas YARA cov cai yam tsis ua txhaum koj lub network

Thaum koj pib sau koj tus kheej cov cai, cov kauj ruam tseem ceeb tom ntej yog sim lawv kom meej. Txoj cai nruj dhau heev tuaj yeem ua rau muaj dej nyab ntawm qhov tsis zoo, thaum ib tus lax ntau dhau tuaj yeem cia qhov kev hem thawj tiag tiag hla.Tias yog vim li cas cov theem kev xeem tsuas yog ib qho tseem ceeb raws li theem kev sau ntawv.

Cov xov xwm zoo yog tias koj tsis tas yuav teeb tsa lub chaw kuaj mob uas ua haujlwm malware thiab kis ib nrab ntawm lub network los ua qhov no. Repositories thiab datasets twb muaj lawm uas muab cov ntaub ntawv no. paub thiab tswj cov qauv malware rau kev tshawb fawbKoj tuaj yeem rub tawm cov qauv no mus rau qhov chaw nyob ib puag ncig thiab siv lawv los ua qhov kev sim rau koj cov cai.

Txoj hauv kev ib txwm yog pib los ntawm kev khiav YARA hauv zos, los ntawm kab hais kom ua, tawm tsam cov npe uas muaj cov ntaub ntawv tsis txaus ntseeg. Yog tias koj cov cai sib phim qhov twg lawv yuav tsum tau thiab tsis tshua tawg hauv cov ntaub ntawv huv, koj nyob ntawm txoj kev.Yog tias lawv tshwm sim ntau dhau lawm, nws yog lub sijhawm los tshuaj xyuas cov hlua, kho cov xwm txheej, lossis qhia txog kev txwv ntxiv (qhov loj me, kev xa tawm, offsets, thiab lwm yam).

Lwm lub ntsiab lus tseem ceeb yog kom ntseeg tau tias koj cov cai tsis cuam tshuam kev ua haujlwm. Thaum luam theej duab cov npe loj, tag nrho cov thaub qab, lossis cov qauv sau loj, Cov kev cai ua kom zoo tsis zoo tuaj yeem ua rau kev soj ntsuam qeeb lossis siv cov peev txheej ntau dua li qhov xav tau.Yog li ntawd, nws yog ib qho tsim nyog los ntsuas lub sij hawm, ua kom yooj yim cov lus qhia, thiab tsis txhob hnyav regex.

Tom qab dhau los ntawm qhov chaw kuaj sim, koj yuav muaj peev xwm Txhawb nqa cov cai rau qhov chaw tsim khoomTxawm hais tias nws nyob hauv koj SIEM, koj lub tshuab thaub qab, email servers, lossis txhua qhov chaw koj xav koom nrog lawv. Thiab tsis txhob hnov ​​​​qab tswj xyuas lub voj voog txuas ntxiv: raws li cov phiaj xwm hloov zuj zus, koj cov cai yuav xav tau kev hloov kho raws sij hawm.

Cov cuab yeej, cov kev pab cuam thiab kev ua haujlwm nrog YARA

Tshaj li cov nom binary, ntau tus kws tshaj lij tau tsim cov kev pabcuam me me thiab cov ntawv sau nyob ib puag ncig YARA los pab txhawb nws kev siv txhua hnub. Ib txoj hauv kev zoo yuav tsim ib daim ntawv thov rau sau koj tus kheej cov khoom siv kev ruaj ntseg uas cia li nyeem tag nrho cov cai hauv ib daim ntawv tais ceev tseg thiab siv lawv rau hauv phau ntawv txheeb xyuas.

Cov cuab yeej siv hauv tsev no feem ntau ua haujlwm nrog cov qauv qhia yooj yooj yim: ib daim ntawv tais ceev tseg rau lub cov cai rub tawm los ntawm Is Taws Nem (piv txwv li, "rulesyar") thiab lwm lub nplaub tshev rau cov cov ntaub ntawv tsis txaus ntseeg yuav tsum tau txheeb xyuas (piv txwv li, "malware"). Thaum qhov kev zov me nyuam pib, nws xyuas tias ob lub folders muaj nyob, teev cov cai ntawm lub vijtsam, thiab npaj rau kev ua tiav.

Thaum koj nias lub pob zoo li "Pib kuajDaim ntawv thov tom qab ntawd tso tawm YARA executable nrog rau qhov tsis xav tau: luam theej duab tag nrho cov ntaub ntawv hauv daim nplaub tshev, rov tshawb xyuas cov subdirectories, tso tawm cov txheeb cais, luam ntawv metadata, thiab lwm yam. Txhua qhov kev sib tw tau tshwm sim hauv lub qhov rais tshwm sim, qhia tias cov ntaub ntawv twg phim txoj cai.

Qhov kev ua haujlwm no tso cai rau, piv txwv li, tshawb pom cov teeb meem hauv ib pawg ntawm cov emails xa tawm. siab phem embedded dluab, txaus ntshai attachments, los yog webshells muab zais rau hauv seemingly innocuous ntaub ntawvNtau qhov kev tshawb nrhiav forensic hauv kev lag luam ib puag ncig vam meej ntawm hom txheej txheem no.

Hais txog qhov muaj txiaj ntsig zoo tshaj plaws thaum hu YARA, cov kev xaiv xws li cov hauv qab no sawv tawm: -r los tshawb nrhiav recursively, -S los tso saib txheeb cais, -m rho tawm cov metadata, thiab -w tsis quav ntsej cov lus ceeb toomLos ntawm kev sib txuas cov chij no koj tuaj yeem kho tus cwj pwm rau koj rooj plaub: los ntawm kev tshuaj xyuas sai hauv cov ntawv qhia tshwj xeeb mus rau kev ua tiav ntawm cov txheej txheem nplaub tshev.

Kev coj ua zoo tshaj plaws thaum sau ntawv thiab tswj xyuas YARA cov cai

Txhawm rau tiv thaiv koj qhov chaw cia khoom los ntawm kev ua qhov tsis txaus ntseeg, nws raug nquahu kom siv cov kev coj ua zoo tshaj plaws. Thawj qhov yog ua haujlwm nrog cov qauv zoo ib yam thiab npe cov rooj sib thamkom txhua tus kws tshuaj ntsuam tuaj yeem nkag siab ib ntus seb txhua txoj cai ua li cas.

Ntau pab neeg txais yuav cov qauv qauv uas suav nrog header nrog metadata, cov cim npe qhia txog hom kev hem thawj, tus neeg ua yeeb yam lossis lub platform, thiab cov lus piav qhia meej ntawm qhov raug kuaj pomQhov no yuav pab tsis tau tsuas yog sab hauv, tab sis kuj yog thaum koj qhia cov cai nrog zej zog los yog pab rau pej xeem repositories.

Lwm qhov kev pom zoo yog kom nco ntsoov qhov ntawd YARA tsuas yog ib txheej ntxiv ntawm kev tiv thaivNws tsis hloov cov software antivirus lossis EDR, tab sis ntxiv rau lawv hauv cov tswv yim rau Tiv thaiv koj lub PC WindowsQhov zoo tshaj plaws, YARA yuav tsum haum rau hauv cov txheej txheem siv dav dav, xws li NIST lub moj khaum, uas tseem hais txog kev txheeb xyuas cov cuab yeej cuab tam, kev tiv thaiv, nrhiav pom, teb, thiab rov qab los.

Los ntawm kev pom kev, nws tsim nyog muab sijhawm rau evitar falsos positivosQhov no suav nrog kev zam cov hlua ntau dhau, sib txuas ntau yam, thiab siv cov neeg ua haujlwm xws li all of o any of Siv koj lub taub hau thiab coj kom zoo dua ntawm cov ntaub ntawv cov khoom siv. Qhov tshwj xeeb tshaj qhov logic nyob ib puag ncig malware tus cwj pwm, qhov zoo dua.

Thaum kawg, tswj kev qhuab ntuas ntawm versioning thiab xyuas raws sij hawm Nws yog qhov tseem ceeb. Malware cov tsev neeg hloov zuj zus mus, cov cim hloov pauv, thiab cov cai uas ua haujlwm niaj hnub no yuav poob qis lossis dhau los lawm. Kev tshuaj xyuas thiab ua kom zoo dua koj txoj cai teev tseg ib ntus yog ib feem ntawm kev ua si miv-thiab-nas ntawm cybersecurity.

YARA cov zej zog thiab muaj peev txheej

Ib qho laj thawj tseem ceeb ntawm YARA tau los txog tam sim no yog lub zog ntawm nws cov zej zog. Cov kws tshawb fawb, tuam txhab kev ruaj ntseg, thiab pab pawg teb los ntawm thoob plaws ntiaj teb tsis tu ncua qhia cov cai, piv txwv, thiab cov ntaub ntawv.tsim kom muaj kev nplua nuj ecosystem.

Lub ntsiab lus tseem ceeb ntawm kev siv yog YARA lub chaw cia khoom ntawm GitHubNyob ntawd koj yuav pom qhov tseeb versions ntawm lub cuab tam, lub hauv paus code, thiab txuas mus rau cov ntaub ntawv. Los ntawm qhov ntawd koj tuaj yeem ua raws li qhov project qhov kev nce qib, tshaj tawm cov teeb meem, lossis pab txhawb kev txhim kho yog tias koj xav tau.

Cov ntaub ntawv raug cai, muaj nyob rau ntawm lub platform xws li ReadTheDocs, muaj ib daim ntawv qhia ua tiav syntax, muaj modules, cov piv txwv txoj cai, thiab siv cov ntaub ntawv sivNws yog ib qho tseem ceeb rau kev ua kom zoo dua ntawm kev ua haujlwm siab tshaj plaws, xws li PE tshuaj xyuas, ELF, kev nco qab, lossis kev koom ua ke nrog lwm cov cuab yeej.

Tsis tas li ntawd, muaj cov chaw khaws cia hauv zej zog ntawm YARA cov cai thiab kos npe uas cov kws tshuaj ntsuam xyuas thoob plaws ntiaj teb Lawv luam tawm cov ntawv sau los yog cov ntawv sau uas tuaj yeem hloov kho raws li koj xav tau.Cov chaw khaws cia no feem ntau suav nrog cov cai rau cov tsev neeg malware tshwj xeeb, siv cov khoom siv, siv cov cuab yeej phem pentesting, webshells, cryptominers, thiab ntau ntxiv.

Nyob rau hauv parallel, ntau manufacturers thiab kev tshawb fawb pab pawg muab Kev cob qhia tshwj xeeb ntawm YARA, los ntawm theem pib mus rau cov chav kawm siab heevCov kev pib no feem ntau suav nrog kev sim virtual thiab kev ua haujlwm ntawm tes raws li cov xwm txheej tiag tiag hauv ntiaj teb. Qee qhov tseem muaj pub dawb rau cov koom haum tsis muaj txiaj ntsig lossis cov koom haum tshwj xeeb tshwj xeeb rau cov phiaj xwm tawm tsam.

Qhov no tag nrho ecosystem txhais tau hais tias, nrog me ntsis kev mob siab rau, koj tuaj yeem mus los ntawm kev sau koj thawj cov cai yooj yim mus rau txhim kho cov suites sophisticated muaj peev xwm taug qab cov phiaj xwm nyuaj thiab tshawb xyuas qhov kev hem thawj uas tsis tau pom duaThiab, los ntawm kev sib txuas YARA nrog cov tshuaj tiv thaiv ib txwm muaj, ruaj ntseg thaub qab, thiab kev hem thawj kev txawj ntse, koj ua rau tej yam nyuaj rau cov neeg ua phem ua phem roaming hauv internet.

Nrog rau tag nrho cov saum toj no, nws yog tseeb hais tias YARA yog ntau tshaj li ib tug yooj yim command-line utility: nws yog ib tug pieza clave nyob rau hauv ib qho kev tshawb nrhiav malware siab heev, lub cuab yeej hloov tau yooj yim uas hloov mus rau koj txoj kev xav ua tus kws tshuaj ntsuam thiab hom lus uas txuas cov chaw soj nstuam, SOCs thiab cov zej zog tshawb fawb thoob ntiaj teb, tso cai rau txhua txoj cai tshiab ntxiv rau lwm txheej kev tiv thaiv tawm tsam kev tawm tsam ntau ntxiv.