Ինչպես օգտագործել YARA-ն վնասակար ծրագրերի առաջադեմ հայտնաբերման համար

YARA-ն թույլ է տալիս նկարագրել վնասակար ծրագրերի ընտանիքները՝ օգտագործելով տողերի, երկուական նախշերի և ֆայլի հատկությունների վրա հիմնված ճկուն կանոններ։
Լավ մշակված կանոնները կարող են հայտնաբերել ամեն ինչ՝ սկսած ransomware-ից և APT-ներից մինչև webshell-ներ և zero-day exploit-ներ բազմաթիվ միջավայրերում։
YARA-ի ինտեգրումը պահուստավորման, դատաբժշկական աշխատանքային հոսքերի և կորպորատիվ գործիքների մեջ ամրապնդում է պաշտպանությունը ավանդական հակավիրուսային ծրագրաշարից այն կողմ։
YARA համայնքը և կանոնների պահոցները հեշտացնում են հետախուզական տվյալների փոխանակումը և անընդհատ բարելավում հայտնաբերումը։

¿Ինչպե՞ս օգտագործել YARA-ն վնասակար ծրագրերի առաջադեմ հայտնաբերման համար։ Երբ ավանդական հակավիրուսային ծրագրերը հասնում են իրենց սահմաններին, և հարձակվողները սայթաքում են բոլոր հնարավոր ճեղքերից, գործի է դրվում մի գործիք, որը դարձել է անփոխարինելի միջադեպերի արձագանքման լաբորատորիաներում. YARA-ն՝ «շվեյցարական դանակ» վնասակար ծրագրեր որսալու համարՆախագծված լինելով չարամիտ ծրագրաշարի ընտանիքները նկարագրելու համար՝ օգտագործելով տեքստային և երկուական նախշեր, այն թույլ է տալիս անցնել պարզ հեշ համապատասխանեցումից շատ ավելի հեռու։

Ճիշտ ձեռքերում YARA-ն միայն գտնելու համար չէ ոչ միայն հայտնի վնասակար ծրագրերի նմուշներ, այլև նոր տարբերակներ, զրոյական օրվա շահագործումներ և նույնիսկ առևտրային հարձակողական գործիքներԱյս հոդվածում մենք խորությամբ և գործնականում կուսումնասիրենք, թե ինչպես օգտագործել YARA-ն վնասակար ծրագրերի առաջադեմ հայտնաբերման համար, ինչպես գրել հուսալի կանոններ, ինչպես փորձարկել դրանք, ինչպես ինտեգրել դրանք Veeam-ի կամ ձեր սեփական վերլուծական աշխատանքային հոսքի նման հարթակներում, և ինչ լավագույն փորձի է հետևում մասնագիտական համայնքը։

Ի՞նչ է YARA-ն և ինչո՞ւ է այն այդքան հզոր վնասակար ծրագրեր հայտնաբերելու համար։

YARA-ն նշանակում է «Եվս մեկ ռեկուրսիվ հապավում» և դարձել է սպառնալիքների վերլուծության դե ֆակտո ստանդարտ, քանի որ Այն թույլ է տալիս նկարագրել վնասակար ծրագրերի ընտանիքները՝ օգտագործելով ընթեռնելի, հստակ և բարձր ճկուն կանոններ։Միայն ստատիկ հակավիրուսային ստորագրությունների վրա հույսը դնելու փոխարեն, YARA-ն աշխատում է ձեր կողմից սահմանված օրինաչափություններով։

Հիմնական գաղափարը պարզ է. YARA կանոնը ուսումնասիրում է ֆայլը (կամ հիշողությունը կամ տվյալների հոսքը) և ստուգում, թե արդյոք մի շարք պայմաններ բավարարված են։ պայմաններ, որոնք հիմնված են տեքստային տողերի, տասնվեցական հաջորդականությունների, կանոնավոր արտահայտությունների կամ ֆայլի հատկությունների վրաԵթե պայմանը բավարարված է, ապա կա «համապատասխանություն», և դուք կարող եք զգուշացնել, արգելափակել կամ կատարել ավելի խորը վերլուծություն։

Այս մոտեցումը թույլ է տալիս անվտանգության թիմերին Ճանաչել և դասակարգել բոլոր տեսակի վնասակար ծրագրերը՝ դասական վիրուսներ, որդեր, տրոյական ծրագրեր, փրկագին պահանջող ծրագրեր, վեբշելեր, կրիպտոմայներներ, վնասակար մակրոներ և շատ ավելին։Այն չի սահմանափակվում որոշակի ֆայլերի ընդլայնումներով կամ ձևաչափերով, ուստի այն նաև հայտնաբերում է .pdf ընդլայնմամբ քողարկված կատարվող ֆայլ կամ վեբշել պարունակող HTML ֆայլ։

Ավելին, YARA-ն արդեն ինտեգրված է կիբերանվտանգության էկոհամակարգի բազմաթիվ հիմնական ծառայություններում և գործիքներում. VirusTotal, Cuckoo-ի նման sandbox-ներ, Veeam-ի նման պահուստային հարթակներ կամ առաջատար արտադրողների կողմից սպառնալիքների որսորդական լուծումներՀետևաբար, YARA-ի տիրապետումը գրեթե պարտադիր պահանջ է դարձել առաջադեմ վերլուծաբանների և հետազոտողների համար։

YARA-ի առաջադեմ օգտագործման դեպքեր վնասակար ծրագրերի հայտնաբերման մեջ

YARA-ի ուժեղ կողմերից մեկն այն է, որ այն հարմարվում է բազմաթիվ անվտանգության սցենարների՝ սկսած SOC-ից մինչև վնասակար ծրագրերի լաբորատորիա։ Նույն կանոնները վերաբերում են թե՛ միանվագ որսորդությանը, թե՛ շարունակական մոնիթորինգին։.

Ամենաուղիղ դեպքը կապված է ստեղծման հետ հատուկ կանոններ որոշակի վնասակար ծրագրերի կամ ամբողջ ընտանիքների համարԵթե ձեր կազմակերպությունը հարձակման է ենթարկվում հայտնի ընտանիքի վրա հիմնված արշավի կողմից (օրինակ՝ հեռակա մուտքի տրոյական կամ APT սպառնալիք), դուք կարող եք պրոֆիլավորել բնութագրական տողերն ու օրինաչափությունները և սահմանել կանոններ, որոնք արագորեն նույնականացնում են նոր կապակցված նմուշներ։

Մեկ այլ դասական օգտագործում է ուշադրության կենտրոնում YARA-ն՝ հիմնված ստորագրությունների վրաԱյս կանոնները նախատեսված են հեշերի, շատ կոնկրետ տեքստային տողերի, կոդի հատվածների, գրանցամատյանի բանալիների կամ նույնիսկ կոնկրետ բայթային հաջորդականությունների որոնման համար, որոնք կրկնվում են նույն վնասակար ծրագրի բազմաթիվ տարբերակներում: Այնուամենայնիվ, հիշեք, որ եթե որոնեք միայն չնչին տողեր, կարող եք կեղծ դրական արդյունքներ ստանալ:

YARA-ն նաև փայլում է ֆիլտրման հարցում։ ֆայլերի տեսակներ կամ կառուցվածքային բնութագրերՀնարավոր է ստեղծել կանոններ, որոնք կկիրառվեն PE կատարվող ֆայլերի, գրասենյակային փաստաթղթերի, PDF ֆայլերի կամ գործնականում ցանկացած ձևաչափի համար՝ տողերը համատեղելով այնպիսի հատկությունների հետ, ինչպիսիք են ֆայլի չափը, որոշակի վերնագրերը (օրինակ՝ 0x5A4D PE կատարվող ֆայլերի համար) կամ կասկածելի ֆունկցիաների ներմուծումը։

Ժամանակակից միջավայրերում դրա օգտագործումը կապված է սպառնալիքների հետախուզությունՀանրային պահոցները, հետազոտական զեկույցները և IOC հոսքերը թարգմանվում են YARA կանոնների, որոնք ինտեգրված են SIEM, EDR, պահուստային հարթակներում կամ sandbox-ներում: Սա թույլ է տալիս կազմակերպություններին արագորեն հայտնաբերել ի հայտ եկող սպառնալիքները, որոնք ունեն արդեն վերլուծված արշավների հետ նույն բնութագրերը.

YARA կանոնների շարահյուսության ըմբռնումը

YARA-ի շարահյուսությունը բավականին նման է C-ի շարահյուսությանը, բայց ավելի պարզ և կենտրոնացված ձևով։ Յուրաքանչյուր կանոն բաղկացած է անունից, մետատվյալների լրացուցիչ բաժնից, տողերի բաժնից և, պարտադիր կերպով, պայմանի բաժնից։Այսուհետ ուժը կայանում է նրանում, թե ինչպես եք դուք համատեղում այդ ամենը։

Առաջին բանը այն է, որ կանոնի անվանումըԱյն պետք է լինի անմիջապես բանալի բառից հետո կանոն (o քանոն Եթե փաստաթղթավորում եք իսպաներենով, չնայած ֆայլում բանալի բառը կլինի կանոնև պետք է լինի վավեր նույնականացուցիչ՝ առանց բացատների, առանց թվերի և առանց ընդգծման նշանների։ Լավ գաղափար է հետևել հստակ կոնվենցիային, օրինակ՝ ինչ-որ բանի նման Malware_Family_Variant o APT_Actor_Tool, որը թույլ է տալիս միանգամից որոշել, թե ինչ է այն նախատեսված հայտնաբերելու համար։

Բացառիկ բովանդակություն - Սեղմեք այստեղ Cómo encriptar una carpeta Mac

Հաջորդը գալիս է բաժինը լարերորտեղ դուք սահմանում եք այն օրինաչափությունները, որոնք ցանկանում եք որոնել: Այստեղ կարող եք օգտագործել երեք հիմնական տեսակ՝ տեքստային տողեր, տասնվեցական հաջորդականություններ և կանոնավոր արտահայտություններՏեքստային տողերը իդեալական են մարդու կողմից ընթեռնելի կոդի հատվածների, URL-ների, ներքին հաղորդագրությունների, ուղիների անունների կամ PDB-ների համար: Տասնվեցականները թույլ են տալիս գրանցել բայթերի հում կաղապարներ, որոնք շատ օգտակար են, երբ կոդը մշուշոտ է, բայց պահպանում է որոշակի հաստատուն հաջորդականություններ:

Կանոնավոր արտահայտությունները ճկունություն են ապահովում, երբ անհրաժեշտ է ներառել տողի փոքր տատանումները, ինչպիսիք են տիրույթների փոփոխությունը կամ կոդի փոքր-ինչ փոփոխված մասերը։ Ավելին, և՛ տողերը, և՛ regex-ը թույլ են տալիս escape-ներ ներկայացնել կամայական բայթեր։, որը բացում է դուռը շատ ճշգրիտ հիբրիդային նախշերի համար։

Բաժինը պայման Այն միակ պարտադիրն է և սահմանում է, թե երբ է կանոնը համարվում ֆայլին «համապատասխանող»։ Այնտեղ դուք օգտագործում եք բուլյան և թվաբանական գործողություններ (և, կամ, ոչ, +, -, *, /, ցանկացած, բոլորը, պարունակում է և այլն։)՝ արտահայտելու ավելի նուրբ հայտնաբերման տրամաբանություն, քան պարզ «եթե այս տողը հայտնվում է» արտահայտությունն է։

Օրինակ, կարող եք նշել, որ կանոնը վավեր է միայն այն դեպքում, եթե ֆայլը փոքր է որոշակի չափից, եթե բոլոր կարևոր տողերը առկա են, կամ եթե առկա է մի քանի տողերից առնվազն մեկը։ Կարող եք նաև համատեղել պայմաններ, ինչպիսիք են տողի երկարությունը, համընկնումների քանակը, ֆայլում որոշակի շեղումները կամ ֆայլի չափը։Ստեղծագործությունն այստեղ տարբերություն է ստեղծում ընդհանուր կանոնների և վիրաբուժական հայտնաբերումների միջև։

Վերջապես, դուք ունեք ընտրովի բաժին նպատակԻդեալական է ժամանակաշրջանը փաստաթղթավորելու համար։ Սովորական է ներառել հեղինակ, ստեղծման ամսաթիվ, նկարագրություն, ներքին տարբերակ, հղում հաշվետվություններին կամ տոմսերին և, ընդհանուր առմամբ, ցանկացած տեղեկատվություն, որը նպաստում է պահոցը կազմակերպված և հասկանալի պահելուն մյուս վերլուծաբանների համար։

YARA-ի առաջադեմ կանոնների գործնական օրինակներ

Վերոնշյալը համատեքստում դիտարկելու համար օգտակար է տեսնել, թե ինչպես է կառուցված պարզ կանոնը և ինչպես է այն ավելի բարդ դառնում, երբ գործի են դրվում կատարվող ֆայլեր, կասկածելի ներմուծումներ կամ կրկնվող հրահանգների հաջորդականություններ։ Եկեք սկսենք խաղալիք քանոնից և աստիճանաբար մեծացնենք չափը։.

Նվազագույն կանոնը կարող է պարունակել միայն տող և պայման, որը այն դարձնում է պարտադիր: Օրինակ, դուք կարող եք որոնել որոշակի տեքստային տող կամ բայթային հաջորդականություն, որը ներկայացնում է վնասակար ծրագրի մի հատված: Այդ դեպքում պայմանը պարզապես կնշեր, որ կանոնը բավարարված է, եթե այդ տողը կամ օրինաչափությունը հայտնվի։, առանց լրացուցիչ ֆիլտրերի։

Սակայն իրական աշխարհում սա բավարար չէ, քանի որ Պարզ շղթաները հաճախ առաջացնում են բազմաթիվ կեղծ դրական արդյունքներԱհա թե ինչու է տարածված մի քանի տողերի (տեքստային և տասնվեցական) համատեղումը լրացուցիչ սահմանափակումներով՝ որ ֆայլը չգերազանցի որոշակի չափը, որ այն պարունակի որոշակի վերնագրեր կամ որ այն ակտիվանա միայն այն դեպքում, եթե գտնվի յուրաքանչյուր սահմանված խմբից առնվազն մեկ տող։

PE կատարվող ֆայլերի վերլուծության բնորոշ օրինակ է մոդուլի ներմուծումը։ pe YARA-ից, որը թույլ է տալիս հարցումներ կատարել բինար ֆայլի ներքին հատկությունների վերաբերյալ՝ ներմուծված ֆունկցիաներ, բաժիններ, ժամանակային նշաններ և այլն: Ավելի առաջադեմ կանոնը կարող է պահանջել ֆայլի ներմուծում: Ստեղծելգործընթաց -ից Kernel32.dll և որոշ HTTP ֆունկցիաներ wininet.dll, բացի չարամիտ վարքագծի ցուցիչ հատուկ տող պարունակելուց։

Այս տեսակի տրամաբանությունը կատարյալ է գտնելու համար Հեռակա կապի կամ արտանետման հնարավորություններով տրոյականներնույնիսկ երբ ֆայլերի անունները կամ ուղիները փոխվում են մեկ արշավից մյուսը։ Կարևորը կենտրոնանալն է հիմքում ընկած վարքագծի վրա՝ գործընթացի ստեղծում, HTTP հարցումներ, կոդավորում, պահպանում և այլն։

Մեկ այլ շատ արդյունավետ մեթոդ է նայելը կրկնվող հրահանգների հաջորդականություն նույն ընտանիքի նմուշների միջև։ Նույնիսկ եթե հարձակվողները փաթեթավորում կամ մշուշոտում են երկուական ֆայլը, նրանք հաճախ վերօգտագործում են կոդի այն մասերը, որոնք դժվար է փոխել։ Եթե ստատիկ վերլուծությունից հետո հայտնաբերեք հրահանգների հաստատուն բլոկներ, կարող եք ձևակերպել կանոն՝ տասնվեցական տողերի խմբային նշաններ որը արտացոլում է այդ օրինաչափությունը՝ պահպանելով որոշակի հանդուրժողականություն։

Այս «կոդի վարքագծի վրա հիմնված» կանոններով հնարավոր է հետևել PlugX/Korplug-ի կամ այլ APT ընտանիքների նման վնասակար ծրագրերի ամբողջական արշավներինԴուք ոչ միայն հայտնաբերում եք որոշակի հեշ, այլև հետապնդում եք հարձակվողների մշակման ոճը, այսպես ասած։

YARA-ի օգտագործումը իրական արշավներում և զրոյական օրվա սպառնալիքներում

YARA-ն ապացուցել է իր արժեքը հատկապես առաջադեմ սպառնալիքների և զրոյական օրվա շահագործումների ոլորտում, որտեղ դասական պաշտպանության մեխանիզմները շատ ուշ են հասնում։ Հայտնի օրինակ է YARA-ի օգտագործումը Silverlight-ում շահագործման հնարավորությունը նվազագույն արտահոսած հետախուզական տվյալների հիման վրա գտնելու համար։.

Այդ դեպքում, հարձակողական գործիքների մշակմամբ զբաղվող ընկերությունից գողացված էլեկտրոնային նամակներից բավարար օրինաչափություններ են ստացվել որոշակի շահագործմանը կողմնորոշված կանոն կառուցելու համար։ Այդ միակ կանոնի շնորհիվ հետազոտողները կարողացան հետևել նմուշին կասկածելի ֆայլերի ծովի միջով։Ճանաչեք չարաշահումը և ստիպեք այն թարմացնել՝ կանխելով շատ ավելի լուրջ վնաս։

Այս տեսակի պատմությունները ցույց են տալիս, թե ինչպես կարող է YARA-ն գործել որպես ձկնորսական ցանց ֆայլերի ծովումՊատկերացրեք ձեր կորպորատիվ ցանցը որպես օվկիանոս, որը լի է բոլոր տեսակի «ձկներով» (ֆայլերով): Ձեր կանոնները նման են ձկնորսական ցանցի բաժանմունքների. յուրաքանչյուր բաժանմունքում պահվում են որոշակի բնութագրերին համապատասխանող ձկներ:

Բացառիկ բովանդակություն - Սեղմեք այստեղ ¿Cómo habilitar la opción de verificación en dos pasos con Discord?

Երբ դուք ավարտեք քաշելը, դուք ունեք նմուշներ, որոնք խմբավորված են հարձակվողների որոշակի ընտանիքների կամ խմբերի նմանությամբ«նման է X տեսակին», «նման է Y տեսակին» և այլն: Այս նմուշներից մի քանիսը կարող են ձեզ համար բոլորովին նոր լինել (նոր բինար ֆայլեր, նոր արշավներ), բայց դրանք տեղավորվում են հայտնի օրինաչափության մեջ, ինչը արագացնում է ձեր դասակարգումը և արձագանքը:

Այս համատեքստում YARA-ից առավելագույնս օգտվելու համար շատ կազմակերպություններ միավորվում են առաջադեմ վերապատրաստում, գործնական լաբորատորիաներ և վերահսկվող փորձարարական միջավայրերԿան խիստ մասնագիտացված դասընթացներ, որոնք նվիրված են բացառապես լավ կանոններ գրելու արվեստին, որոնք հաճախ հիմնված են կիբերլրտեսության իրական դեպքերի վրա, որոնց ընթացքում ուսանողները պարապում են իսկական նմուշներով և սովորում են որոնել «ինչ-որ բան», նույնիսկ այն դեպքում, երբ նրանք ճիշտ չգիտեն, թե ինչ են փնտրում։

Ինտեգրեք YARA-ն պահուստավորման և վերականգնման հարթակներում

YARA-ն կատարյալ կերպով տեղավորվում է և հաճախ որոշ չափով աննկատ է մնում պահուստային պատճենների պաշտպանությունից։ Եթե պահուստային պատճենները վարակված են վնասակար ծրագրով կամ փրկագին պահանջող ծրագրով, վերականգնումը կարող է վերսկսել ամբողջ արշավը։Ահա թե ինչու որոշ արտադրողներ YARA շարժիչները ներառել են անմիջապես իրենց լուծումների մեջ։

Հաջորդ սերնդի պահուստային հարթակները կարող են գործարկվել Վերականգնման կետերի վերաբերյալ YARA կանոնների վրա հիմնված վերլուծության նիստերՆպատակը կրկնակի է՝ գտնել միջադեպից առաջ վերջին «մաքուր» կետը և հայտնաբերել ֆայլերում թաքնված վնասակար բովանդակությունը, որը կարող է չգործարկվել այլ ստուգումներով։

Այս միջավայրերում բնորոշ գործընթացը ներառում է «Սկանավորեք վերականգնման կետերը YARA քանոնով"վերլուծական աշխատանքի կարգավորման ընթացքում։ Հաջորդը, նշվում է կանոնների ֆայլի ուղին (սովորաբար .yara կամ .yar ընդլայնմամբ), որը սովորաբար պահվում է պահուստավորման լուծմանը հատուկ կարգավորման թղթապանակում։"

Կատարման ընթացքում շարժիչը իտերացիաներ է կատարում պատճենում պարունակվող օբյեկտների միջոցով, կիրառում է կանոնները և Այն գրանցում է բոլոր համընկնումները YARA վերլուծության հատուկ գրանցամատյանում։Ադմինիստրատորը կարող է դիտել այս գրանցամատյանները կոնսոլից, վերանայել վիճակագրությունը, տեսնել, թե որ ֆայլերն են ակտիվացրել ահազանգը և նույնիսկ հետևել, թե որ մեքենաներին և կոնկրետ ամսաթվին է համապատասխանում յուրաքանչյուր համընկնում։

Այս ինտեգրացիան լրացվում է այլ մեխանիզմներով, ինչպիսիք են՝ անոմալիաների հայտնաբերում, պահուստային պատճենի չափի մոնիթորինգ, որոշակի IOC-ների որոնում կամ կասկածելի գործիքների վերլուծությունՍակայն, երբ խոսքը վերաբերում է որոշակի ransomware ընտանիքին կամ արշավին հարմարեցված կանոններին, YARA-ն լավագույն գործիքն է այդ որոնումը կատարելագործելու համար։

Ինչպես ստուգել և վավերացնել YARA կանոնները՝ առանց ցանցը խափանելու

Android-ի վնասակար ծրագրեր

Երբ սկսեք գրել ձեր սեփական կանոնները, հաջորդ կարևոր քայլը դրանք մանրակրկիտ փորձարկելն է։ Չափազանց ագրեսիվ կանոնը կարող է կեղծ դրական արդյունքների հեղեղ առաջացնել, մինչդեռ չափազանց անտարբեր կանոնը կարող է թույլ տալ, որ իրական սպառնալիքները աննկատ մնան։Ահա թե ինչու թեստավորման փուլը նույնքան կարևոր է, որքան գրավոր փուլը։

Լավ լուրն այն է, որ դրա համար անհրաժեշտ չէ ստեղծել գործող վնասակար ծրագրերով լի լաբորատորիա և վարակել ցանցի կեսը: Արդեն գոյություն ունեն պահոցներ և տվյալների հավաքածուներ, որոնք առաջարկում են այս տեղեկատվությունը: հայտնի և վերահսկվող վնասակար ծրագրերի նմուշներ հետազոտական նպատակներովԴուք կարող եք այդ նմուշները ներբեռնել մեկուսացված միջավայր և օգտագործել դրանք որպես ձեր կանոնների փորձարկման հարթակ։

Սովորական մոտեցումը YARA-ն տեղական մակարդակով, հրամանի տողից գործարկելն է կասկածելի ֆայլեր պարունակող գրացուցակում։ Եթե ձեր կանոնները համընկնում են այնտեղ, որտեղ պետք է, և հազիվ են խախտում մաքուր ֆայլերը, ապա դուք ճիշտ ուղու վրա եք։Եթե դրանք չափազանց շատ են ակտիվանում, ժամանակն է վերանայել տողերը, կատարելագործել պայմանները կամ ներմուծել լրացուցիչ սահմանափակումներ (չափս, ներմուծում, փոխհատուցումներ և այլն):

Մեկ այլ կարևոր կետ է համոզվել, որ ձեր կանոնները չեն խաթարում աշխատանքի արդյունավետությունը: Մեծ տեղեկատուներ, լրիվ պահուստային պատճեններ կամ մեծ նմուշային հավաքածուներ սկանավորելիս, Վատ օպտիմիզացված կանոնները կարող են դանդաղեցնել վերլուծությունը կամ սպառել ավելի շատ ռեսուրսներ, քան ցանկալի է։Հետևաբար, խորհուրդ է տրվում չափել ժամանակային արժեքները, պարզեցնել բարդ արտահայտությունները և խուսափել չափազանց ծանր կանոնավոր բաղաձայններից։

Լաբորատոր փորձարկման այդ փուլն անցնելուց հետո դուք կկարողանաք Կանոնների ներդրումը արտադրական միջավայրումԱնկախ նրանից, թե դա ձեր SIEM-ում է, ձեր պահուստային համակարգերում, էլ. փոստի սերվերներում, թե որտեղ եք ցանկանում ինտեգրել դրանք: Եվ մի մոռացեք պահպանել անընդհատ վերանայման ցիկլ. արշավների զարգացմանը զուգընթաց ձեր կանոնները կարիք կունենան պարբերական ճշգրտումների:

Գործիքներ, ծրագրեր և աշխատանքային հոսք YARA-ի հետ

նույնականացնել անֆայլ ֆայլերը

Պաշտոնական բինարից բացի, շատ մասնագետներ մշակել են YARA-ի շուրջ փոքր ծրագրեր և սկրիպտներ՝ դրա ամենօրյա օգտագործումը հեշտացնելու համար։ Տիպիկ մոտեցումը ներառում է դիմումի ստեղծում՝ հավաքեք ձեր սեփական անվտանգության հավաքածուն որը ավտոմատ կերպով կարդում է թղթապանակի բոլոր կանոնները և կիրառում դրանք վերլուծության գրացուցակում.

Այս տեսակի ինքնաշեն գործիքները սովորաբար աշխատում են պարզ գրացուցակի կառուցվածքով՝ մեկ պանակ՝ ինտերնետից ներբեռնված կանոններ (օրինակ՝ «rulesyar») և մեկ այլ թղթապանակ՝ կասկածելի ֆայլեր, որոնք կվերլուծվեն (օրինակ՝ «վնասակար ծրագիր»): Երբ ծրագիրը մեկնարկում է, այն ստուգում է, որ երկու թղթապանակներն էլ գոյություն ունեն, ցուցադրում է կանոնները էկրանին և պատրաստվում կատարման:

Երբ սեղմում եք այնպիսի կոճակ, ինչպիսին է «Սկսել ստուգումըԱյնուհետև ծրագիրը գործարկում է YARA կատարվող ֆայլը ցանկալի պարամետրերով՝ սկանավորելով թղթապանակի բոլոր ֆայլերը, ենթատեղեկատուների ռեկուրսիվ վերլուծություն կատարելով, վիճակագրության արտածումով, մետատվյալների տպմամբ և այլն: Բոլոր համընկնումները ցուցադրվում են արդյունքների պատուհանում՝ նշելով, թե որ ֆայլն է համապատասխանում որ կանոնին:

Բացառիկ բովանդակություն - Սեղմեք այստեղ Cómo combatir el spam

Այս աշխատանքային հոսքը թույլ է տալիս, օրինակ, հայտնաբերել խնդիրները արտահանված էլեկտրոնային նամակների խմբաքանակում։ թվացյալ անվնաս ֆայլերում թաքնված չարամիտ ներդրված պատկերներ, վտանգավոր կցորդներ կամ վեբ-շերտերԿորպորատիվ միջավայրերում շատ դատաբժշկական հետաքննություններ հիմնված են հենց այս տեսակի մեխանիզմի վրա։

YARA-ն կանչելիս ամենաօգտակար պարամետրերի վերաբերյալ առանձնանում են հետևյալ տարբերակները. -r՝ ռեկուրսիվ որոնում կատարելու համար, -S՝ վիճակագրություն ցուցադրելու համար, -m՝ մետատվյալներ արդյունահանելու համար, և -w՝ նախազգուշացումները անտեսելու համար։Այս դրոշները համատեղելով՝ դուք կարող եք հարմարեցնել վարքագիծը ձեր դեպքին՝ սկսած որոշակի գրացուցակի արագ վերլուծությունից մինչև բարդ թղթապանակի կառուցվածքի ամբողջական սկանավորումը։

YARA կանոններ գրելիս և պահպանելիս լավագույն փորձը

Ձեր կանոնների պահոցը անկառավարելի խառնաշփոթի վերածելուց խուսափելու համար խորհուրդ է տրվում կիրառել մի շարք լավագույն փորձառություններ։ Առաջինը հետևողական ձևանմուշների և անվանակոչման կոնվենցիաների հետ աշխատելն էորպեսզի ցանկացած վերլուծաբան կարողանա մեկ հայացքով հասկանալ, թե յուրաքանչյուր կանոն ինչ է անում։

Շատ թիմեր ընդունում են ստանդարտ ձևաչափ, որը ներառում է վերնագիր՝ մետատվյալներով, սպառնալիքի տեսակը, գործող անձը կամ հարթակը նշող պիտակներով և հայտնաբերվողի հստակ նկարագրությամբՍա օգնում է ոչ միայն ներքին օգտագործման համար, այլև երբ դուք կանոններով կիսվում եք համայնքի հետ կամ ներդրում եք կատարում հանրային պահոցներում։

Մեկ այլ խորհուրդ՝ միշտ հիշել դա YARA-ն պաշտպանության ևս մեկ շերտ էԱյն չի փոխարինում հակավիրուսային ծրագրերին կամ EDR-ին, այլ լրացնում է դրանք ռազմավարություններում։ Պաշտպանեք ձեր Windows համակարգիչըԻդեալում, YARA-ն պետք է տեղավորվի ավելի լայն հղման շրջանակներում, ինչպիսին է NIST շրջանակը, որը նաև անդրադառնում է ակտիվների նույնականացմանը, պաշտպանությանը, հայտնաբերմանը, արձագանքմանը և վերականգնմանը։

Տեխնիկական տեսանկյունից արժե ժամանակ հատկացնել խուսափեք կեղծ դրականներիցՍա ենթադրում է չափազանց ընդհանուր տողերից խուսափելը, մի քանի պայմանների համադրությունը և օպերատորների օգտագործումը, ինչպիսիք են՝ բոլորը o որևէ մեկը Օգտագործեք ձեր միտքը և օգտվեք ֆայլի կառուցվածքային հատկություններից: Որքան ավելի կոնկրետ է վնասակար ծրագրի վարքագծի տրամաբանությունը, այնքան լավ:

Վերջապես, պահպանեք կարգապահությունը տարբերակների մշակում և պարբերական վերանայում Դա կարևոր է։ Վնասակար ծրագրերի ընտանիքները զարգանում են, ցուցանիշները փոխվում են, և այսօր գործող կանոնները կարող են թերի լինել կամ հնացած դառնալ։ Ձեր կանոնների հավաքածուի պարբերաբար վերանայումն ու կատարելագործումը կիբերանվտանգության կատվի և մկան խաղի մի մասն է։

YARA համայնքը և հասանելի ռեսուրսները

YARA-ի այսքան հաջողության հիմնական պատճառներից մեկը նրա համայնքի ուժն է։ Աշխարհի տարբեր երկրներից հետազոտողները, անվտանգության ընկերությունները և արձագանքման խմբերը անընդհատ կիսվում են կանոններով, օրինակներով և փաստաթղթերով։ստեղծելով շատ հարուստ էկոհամակարգ։

Հիմնական հղման կետը դա է YARA-ի պաշտոնական պահոցը GitHub-ումԱյնտեղ դուք կգտնեք գործիքի վերջին տարբերակները, սկզբնական կոդը և փաստաթղթերի հղումները: Այնտեղից կարող եք հետևել նախագծի առաջընթացին, հաղորդել խնդիրների մասին կամ ներդրում ունենալ բարելավումներում, եթե ցանկանում եք:

Պաշտոնական փաստաթղթերը, որոնք հասանելի են ReadTheDocs-ի նման հարթակներում, առաջարկում են ամբողջական շարահյուսության ուղեցույց, հասանելի մոդուլներ, կանոնների օրինակներ և օգտագործման հղումներԱյն կարևոր ռեսուրս է ամենաառաջադեմ գործառույթներից օգտվելու համար, ինչպիսիք են PE ստուգումը, ELF-ը, հիշողության կանոնները կամ այլ գործիքների հետ ինտեգրացիաները։

Բացի այդ, կան YARA կանոնների և ստորագրությունների համայնքային պահոցներ, որտեղ վերլուծաբաններ ամբողջ աշխարհից Նրանք հրատարակում են օգտագործման համար պատրաստի հավաքածուներ կամ հավաքածուներ, որոնք կարող են հարմարեցվել ձեր կարիքներին։Այս պահոցները սովորաբար ներառում են կանոններ որոշակի վնասակար ծրագրերի ընտանիքների, շահագործման հավաքածուների, չարամիտ կերպով օգտագործված ներթափանցման թեստավորման գործիքների, վեբ-շելերի, կրիպտոմայներների և շատ ավելինի համար։

Զուգահեռաբար, շատ արտադրողներ և հետազոտական խմբեր առաջարկում են YARA-ում մասնագիտացված վերապատրաստում՝ սկսած հիմնական մակարդակներից մինչև շատ առաջադեմ դասընթացներԱյս նախաձեռնությունները հաճախ ներառում են վիրտուալ լաբորատորիաներ և գործնական վարժություններ՝ հիմնված իրական աշխարհի սցենարների վրա: Որոշները նույնիսկ անվճար առաջարկվում են ոչ առևտրային կազմակերպություններին կամ կազմակերպություններին, որոնք հատկապես խոցելի են թիրախային հարձակումների նկատմամբ:

Այս ամբողջ էկոհամակարգը նշանակում է, որ մի փոքր նվիրվածությամբ դուք կարող եք անցնել ձեր առաջին հիմնական կանոնները գրելուց մինչև մշակել բարդ արշավներին հետևելու և աննախադեպ սպառնալիքներ հայտնաբերելու ունակ բարդ փաթեթներԵվ YARA-ն ավանդական հակավիրուսային ծրագրի, անվտանգ պահուստավորման և սպառնալիքների հետախուզության հետ համատեղելով՝ դուք զգալիորեն դժվարացնում եք ինտերնետում թափառող չարամիտ գործիչների գործը։

Վերոնշյալի հետ մեկտեղ, պարզ է, որ YARA-ն շատ ավելին է, քան պարզապես հրամանային տողի գործիք. այն բանալի կտոր ցանկացած առաջադեմ վնասակար ծրագրերի հայտնաբերման ռազմավարության մեջ՝ ճկուն գործիք, որը հարմարվում է ձեր՝ որպես վերլուծաբանի մտածելակերպին և ընդհանուր լեզու որը կապում է լաբորատորիաները, SOC-ները և հետազոտական համայնքները ամբողջ աշխարհում՝ թույլ տալով յուրաքանչյուր նոր կանոն ավելացնել պաշտպանության ևս մեկ շերտ ավելի ու ավելի բարդացող արշավներից։

Առնչվող հոդված՝

Ինչպես հայտնաբերել վտանգավոր ֆայլեր չունեցող վնասակար ծրագրեր Windows 11-ում

Քրիստիան Գարսիա

Փոքրուց կրքոտ էր տեխնոլոգիայով: Ես սիրում եմ լինել արդի ոլորտում և, առաջին հերթին, հաղորդակցվել դրա հետ: Այդ իսկ պատճառով ես երկար տարիներ նվիրված եմ եղել հաղորդակցությանը տեխնոլոգիաների և տեսախաղերի կայքերում: Դուք կարող եք գտնել ինձ՝ գրելով Android-ի, Windows-ի, MacOS-ի, iOS-ի, Nintendo-ի կամ որևէ այլ հարակից թեմայի մասին, որը գալիս է մտքում: