Otu esi eji YAR maka nchọpụta malware dị elu

¿Otu esi eji YAR maka nchọpụta malware dị elu? Mgbe mmemme antivirus ọdịnala ruru oke ha na ndị na-awakpo na-adaba na mgbape ọ bụla enwere ike, ngwa ọrụ nke dị mkpa na ụlọ nyocha nzaghachi merenụ na-abata: YAR, “Swiss mma” maka ịchụ nta malwareEzubere iji kọwa ezinụlọ nke ngwa ngwa ọjọọ site na iji usoro ederede na ọnụọgụ abụọ, ọ na-enye ohere ịgafe karịa nha nhata dị mfe.

N'aka aka nri, YAR abụghị naanị maka ịchọta Ọbụghị naanị ihe nlele malware amaara, kamakwa ụdị ọhụrụ dị iche iche, nrigbu ụbọchị efu, na ọbụna ngwaọrụ mkparị azụmahịa.N'isiokwu a, anyị ga-enyocha n'ime omimi na ihe fọrọ nke nta ka ọ bụrụ otu esi eji YARA maka nchọpụta malware dị elu, otu esi ede iwu siri ike, otu esi anwale ha, otu esi ejikọta ha na nyiwe dị ka Veeam ma ọ bụ nyocha nke gị, yana usoro kachasị mma nke obodo ọkachamara na-esote.

Kedu ihe bụ YARA na gịnị kpatara o ji dị ike n'ịchọpụta malware?

YARA na-anọchi anya "Ma Ọzọ Recursive Acronym" ma bụrụkwa ọkọlọtọ de facto na nyocha ihe egwu n'ihi na Ọ na-enye ohere ịkọwa ezinụlọ malware site na iji iwu enwere ike ịgụ, doro anya na nke ukwuu na-agbanwe agbanwe.Kama ịdabere naanị na mbinye aka antivirus static, YARA na-arụ ọrụ na ụkpụrụ nke ị kọwara onwe gị.

Echiche bụ isi dị mfe: iwu YARA na-enyocha faịlụ (ma ọ bụ ebe nchekwa, ma ọ bụ iyi data) wee lelee ma ọ bụrụ na e zutere usoro ọnọdụ. ọnọdụ dabere na eriri ederede, usoro hexadecimal, nkwupụta oge niile, ma ọ bụ akụrụngwa faịlụỌ bụrụ na ọnọdụ ahụ ezute, enwere "egwuregwu" ma ị nwere ike mee ka ọ mara, gbochie ma ọ bụ mee nyocha miri emi karị.

Ụzọ a na-enye ndị otu nchekwa ohere ohere Chọpụta ma kewaa malware nke ụdị niile: nje kpochapụwo, ikpuru, Trojans, ransomware, webshells, cryptominers, macros obi ọjọọ na ọtụtụ ndị ọzọ.Ọ bụghị naanị na ndọtị faịlụ ma ọ bụ usoro dị iche iche, yabụ ọ na-achọpụtakwa ngbanwe nke nwere ike iji ndọtị .pdf ma ọ bụ faịlụ HTML nwere webshell.

Ọzọkwa, YAR abanyelarị n'ime ọtụtụ isi ọrụ na ngwaọrụ nke gburugburu ebe obibi cybersecurity: VirusTotal, igbe ájá dị ka Cuckoo, nyiwe ndabere dị ka Veeam, ma ọ bụ ihe ngwọta ịchụ nta egwu sitere n'aka ndị na-emepụta ọkwa dị elu.Ya mere, ịmụta YARA abụrụla ihe a chọrọ maka ndị nyocha na ndị nyocha dị elu.

Ọnọdụ iji YAR dị elu na nchọpụta malware

Otu n'ime ike YARA bụ na ọ na-emegharị dị ka uwe aka na ọtụtụ ọnọdụ nchekwa, site na SOC ruo ụlọ nyocha malware. Otu iwu a na-emetụta ma ịchụ nta otu oge na nleba anya na-aga n'ihu..

Okwu kachasị kpọmkwem gụnyere ịmepụta iwu kpọmkwem maka malware kpọmkwem ma ọ bụ ezinụlọ dumỌ bụrụ na mgbasa ozi dabere na ezinụlọ amaara na-awakpo nzukọ gị (dịka ọmụmaatụ, trojan ohere dịpụrụ adịpụ ma ọ bụ ihe iyi egwu APT), ị nwere ike profaịlụ ụdọ na ụkpụrụ ma welite iwu na-achọpụta ngwa ngwa ụdị ọhụrụ metụtara.

Ọzọ kpochapụwo ojiji bụ na-elekwasị anya nke YAR dabere na mbinye akaEmebere iwu ndị a iji chọta hashes, eriri ederede akọwapụtara nke ọma, snippets koodu, igodo ndekọ, ma ọ bụ ọbụna usoro byte akọwapụtara nke na-emegharị ugboro ugboro n'ọtụtụ ụdị nke otu malware. Otú ọ dị, buru n'uche na ọ bụrụ na ị na-achọ naanị eriri ndị na-abaghị uru, ị nwere ike ịmepụta ihe dị mma.

YARA na-enwukwa ma a bịa nzacha site ụdị faịlụ ma ọ bụ njirimara nhaziỌ ga-ekwe omume ịmepụta iwu ndị metụtara PE executables, akwụkwọ ụlọ ọrụ, PDFs, ma ọ bụ ihe fọrọ nke nta ka ọ bụrụ usoro ọ bụla, site na ijikọta eriri na ihe onwunwe dị ka nha faịlụ, isi okwu (dịka, 0x5A4D maka PE executables), ma ọ bụ ọrụ na-enyo enyo.

Na gburugburu ọgbara ọhụrụ, ejiri ya jikọọ na egwu ọgụgụ isiA na-asụgharị ebe nchekwa ọha, akụkọ nyocha, na nri IOC ka ọ bụrụ iwu YARA nke etinyere na SIEM, EDR, nyiwe ndabere, ma ọ bụ igbe ájá. Nke a na-enye ndị otu ohere ohere ngwa ngwa chọpụta ihe egwu na-apụta na-ekekọrịta njirimara na mkpọsa enyochalarị.

Ịghọta okwu nke iwu YARA

Syntax nke YARA yiri nke C, mana n'ụzọ dị mfe na nke gbadoro anya karị. Iwu ọ bụla nwere aha, ngalaba metadata nhọrọ, ngalaba eriri, na, ọ bụchaghị, ngalaba ọnọdụ.Site ebe a gaa n'ihu, ike dị na otu ị ga-esi jikọta ihe niile ahụ.

Nke mbu bu aha ọchịchịỌ ga-aga ozugbo isi okwu ọchịchị (o ọchịchị Ọ bụrụ na ị na-ede akwụkwọ na Spanish, ọ bụ ezie na isiokwu dị na faịlụ ahụ ga-abụ ọchịchịma ga-abụrịrị ezigbo njirimara: enweghị oghere, enweghị ọnụọgụ, na enweghị akara ngosi. Ọ dị mma ịgbaso nkwekọrịta doro anya, dịka ọmụmaatụ ihe dị ka Malware_Family_variant o APT_Actor_Ngwaọrụ, nke na-enye gị ohere ịchọpụta na ilele ihe e bu n'obi ịchọpụta.

Nkebi na-abịa ụdọebe ị na-akọwapụta ụkpụrụ ịchọrọ ịchọ. N'ebe a, ị nwere ike iji ụdị isi atọ: eriri ederede, usoro hexadecimal, na okwu oge niileEriri ederede dị mma maka snippets koodu mmadụ nwere ike ịgụ, URL, ozi ime, aha ụzọ, ma ọ bụ PDB. Hexadecimals na-enye gị ohere ijide ụkpụrụ byte raw, nke bara ezigbo uru mgbe koodu ahụ kpuchiri ekpuchi mana na-ejigide usoro ụfọdụ mgbe niile.

Okwu oge niile na-enye mgbanwe mgbe ịchọrọ ikpuchi obere ọdịiche dị na eriri, dị ka mgbanwe ngalaba ma ọ bụ akụkụ koodu gbanwere ntakịrị. Ọzọkwa, ma eriri na regex na-enye ohere mgbapụ na-anọchi anya bytes aka ike, nke na-emeghe ụzọ maka ezigbo ngwakọ ụdịdị.

Nkebi ọnọdụ Ọ bụ naanị ihe dị mkpa ma kọwaa mgbe a na-atụle iwu iji "dakọtara" faịlụ. N'ebe ahụ, ị ​​na-eji ọrụ Boolean na mgbakọ na mwepụ (na, ma ọ bụ, ọ bụghị, +, -, *, /, ọ bụla, ihe niile, nwere, wdg.) iji kwupụta mgbagha nchọpụta dị mma karịa nke dị mfe "ọ bụrụ na eriri a pụtara".

Dịka ọmụmaatụ, ị nwere ike ịkọwapụta na iwu ahụ dị irè naanị ma ọ bụrụ na faịlụ ahụ dị ntakịrị karịa otu nha, ma ọ bụrụ na eriri niile dị egwu pụtara, ma ọ bụ ma ọ bụrụ na ọ dịkarịa ala otu n'ime ọtụtụ eriri dị. Ịnwekwara ike ijikọ ọnọdụ dị ka ogologo eriri, ọnụ ọgụgụ nke egwuregwu, nkwụsịtụ kpọmkwem na faịlụ ahụ, ma ọ bụ nha faịlụ n'onwe ya.Ihe okike ebe a na-eme ka ọdịiche dị n'etiti iwu ọnụọgụ na nchọpụta ịwa ahụ.

N'ikpeazụ, ị nwere ngalaba nhọrọ ihe mgbaru ọsọKwesịrị ekwesị maka idekọ oge. Ọ na-emekarị ịgụnye onye edemede, ụbọchị okike, nkọwa, ụdị ime, nrụtụ aka na akụkọ ma ọ bụ tiketi na, n'ozuzu, ozi ọ bụla nke na-enyere aka idobe ebe nchekwa ahaziri na nghọta maka ndị nyocha ndị ọzọ.

Ihe atụ bara uru nke iwu YAR dị elu

Iji tinye ihe ndị a niile n'elu, ọ ga-enyere gị aka ịhụ ka esi ahazi usoro dị mfe yana ka ọ na-esi adị mgbagwoju anya mgbe faịlụ nwere ike ime, mbubata enyo enyo, ma ọ bụ usoro ntụziaka ugboro ugboro na-abata. Ka anyị malite na onye na-achị ihe egwuregwu ụmụaka ma jiri nwayọọ nwayọọ mụbaa nha..

Obere iwu nwere ike ịnwe naanị eriri na ọnọdụ na-eme ka ọ bụrụ iwu. Dịka ọmụmaatụ, ị nwere ike ịchọ otu eriri ederede ma ọ bụ ihe nnọchi anya usoro byte nke iberibe malware. Ọnọdụ ahụ, n'ọnọdụ ahụ, ga-ekwupụta na emezuru iwu ahụ ma ọ bụrụ na eriri ahụ ma ọ bụ ụkpụrụ ahụ pụtara., na-enweghị ihe nzacha ọzọ.

Agbanyeghị, na ntọala ụwa nke a dara mkpụmkpụ, n'ihi na Agbụ ígwè dị mfe na-emepụtakarị ọtụtụ ihe dị mmaỌ bụ ya mere o ji na-ejikọta ọtụtụ eriri (ederede na hexadecimal) na ihe mgbochi ndị ọzọ: na faịlụ ahụ adịghị agafe n'ókè ụfọdụ, na ọ nwere isi okwu kpọmkwem, ma ọ bụ na ọ na-arụ ọrụ naanị ma ọ bụrụ na achọtara ọ dịkarịa ala otu eriri sitere na otu ọ bụla akọwapụtara.

Otu ihe atụ na nyocha PE executable gụnyere ibubata modul pe site na YARA, nke na-enye gị ohere ịjụ ajụjụ n'ime ime nke ọnụọgụ abụọ: ọrụ mbubata, ngalaba, timestamps, wdg. Iwu dị elu nwere ike ịchọ ka faịlụ ahụ bubata Mepụta Usoro site Kernel32.dll yana ụfọdụ ọrụ HTTP si winnet.dll, na mgbakwunye na ịnwe otu eriri na-egosi omume ọjọọ.

Ụdị mgbagha a zuru oke maka ịchọta Trojans nwere njikọ dịpụrụ adịpụ ma ọ bụ ike exfiltrationọbụlagodi mgbe aha faịlụ ma ọ bụ ụzọ gbanwere site n'otu mkpọsa gaa na nke ọzọ. Ihe dị mkpa bụ ilekwasị anya na omume dị n'okpuru: ịmepụta usoro, arịrịọ HTTP, izo ya ezo, nnọgidesi ike, wdg.

Usoro ọzọ dị irè bụ ile anya usoro ntuziaka na-emegharị ugboro ugboro n'etiti samples si n'otu ezinụlọ. Ọbụlagodi na ndị na-awakpo ngwugwu ma ọ bụ mebie ọnụọgụ abụọ, ha na-ejikarị akụkụ koodu siri ike ịgbanwe. Ọ bụrụ na, mgbe nyochachara static, ị ga-ahụ ngọngọ ntuziaka mgbe niile, ị nwere ike ịmepụta iwu na kaadị ọhịa na eriri hexadecimal nke na-ejide ụkpụrụ ahụ ka ọ na-ejigide nnabata ụfọdụ.

Site na iwu "koodu dabere na omume" ndị a ga-ekwe omume soro mkpọsa malware niile dị ka nke PlugX/Korplug ma ọ bụ ezinụlọ APT ndị ọzọỌ bụghị naanị na ị na-achọpụta otu hash, mana ị na-agbaso ụdị mmepe, dị ka a pụrụ isi kwuo ya, nke ndị mwakpo ahụ.

Iji YARA na mkpọsa n'ezie yana egwu ụbọchị efu

YARA egosila na ọ bara uru karịsịa n'akụkụ egwu egwu dị elu na nrigbu ụbọchị efu, ebe usoro nchebe kpochapụwo na-abịa n'oge. Otu ihe atụ amaara nke ọma bụ iji YARA chọta ihe nrigbu na Silverlight site na ọgụgụ isi nwere ntakịrị..

N'okwu ahụ, site na ozi-e zuru n'aka ụlọ ọrụ raara onwe ya nye maka ịmepụta ngwá ọrụ mkpasu iwe, ewepụtara ụkpụrụ zuru oke iji wuo iwu gbadoro anya na nrigbu. Site na otu iwu ahụ, ndị nchọpụta ahụ nwere ike ịchọta ihe nlele ahụ site na oke osimiri nke faịlụ ndị na-enyo enyo.Chọpụta ihe a na-erigbu ma manye nchichi ya, na-egbochi mmebi dị njọ karịa.

Ụdị akụkọ ndị a na-egosi otú YAR nwere ike isi rụọ ọrụ dị ka ụgbụ azụ n'oké osimiri nke faịlụWere ya na netwọk ụlọ ọrụ gị dị ka oke osimiri jupụtara na "azụ" (faịlụ) ụdị niile. Iwu gị dị ka nkebi dị na ụgbụ trawl: akụkụ nke ọ bụla na-edobe azụ ndị dabara n'ụkpụrụ.

Mgbe ịmechara ịdọrọ, ị nwere samples agbakọtara site na myirịta na ezinaụlọ ma ọ bụ otu ndị mwakpo: "yiri ụdị X", "yiri ụdịdị Y", wdg. Ụfọdụ n'ime ihe atụ ndị a nwere ike ịbụ ihe ọhụrụ nye gị (binarị ọhụrụ, mkpọsa ọhụrụ), ma ha dabara n'ime usoro a ma ama, nke na-eme ka nhazi na nzaghachi gị dịkwuo elu.

Iji nweta uru kachasị na YAR na ọnọdụ a, ọtụtụ òtù na-ejikọta ọzụzụ dị elu, ụlọ nyocha bara uru na gburugburu nnwale a na-achịkwaEnwere nkuzi pụrụ iche nke a raara nye naanị maka nka nke ide iwu dị mma, na-adaberekarị n'ihe gbasara nledo cyber n'ezie, nke ụmụ akwụkwọ na-eji ezigbo sample eme ihe wee mụta ịchọ “ihe” ọbụlagodi mgbe ha amaghị kpọmkwem ihe ha na-achọ.

Gwakọta YAR n'ime ndabere na nyiwe mgbake

Otu mpaghara ebe YARA dabara nke ọma, na nke na-agakarị nke ọma, bụ nchekwa ndabere. Ọ bụrụ na ejiri malware ma ọ bụ ransomware butere nkwado ndabere na mpaghara, mweghachi nwere ike ịmalitegharị mkpọsa niile.Ọ bụ ya mere ụfọdụ ndị na-emepụta ihe ji tinye igwe YARA ozugbo na ngwọta ha.

Enwere ike ịmalite nyiwe ndabere nke ọgbọ na-abịa Oge nyocha dabere na iwu YAR na isi ihe weghachiEbumnuche bụ ụzọ abụọ: ịchọta ebe ikpeazụ "dị ọcha" tupu ihe omume yana ịchọpụta ọdịnaya ọjọọ zoro ezo na faịlụ nke nwere ike ọ gaghị ebute site na nlele ndị ọzọ.

N'ebe ndị a, usoro a na-ahụkarị gụnyere ịhọrọ nhọrọ nke "Jiri onye ọchịchị YAR were nyocha weghachi ihe"N'oge nhazi nke ọrụ nyocha. Na-esote, a na-akọwa ụzọ nke faịlụ iwu (na-emekarị na ndọtị .yara ma ọ bụ .yar), nke a na-echekwa na nchekwa nhazi kpọmkwem maka ngwọta ndabere."

N'oge ogbugbu, engine na-emegharị site na ihe ndị dị na oyiri ahụ, na-etinye iwu, na Ọ na-edekọ egwuregwu niile n'ime ndekọ nyocha YARA akọwapụtara.Onye nchịkwa nwere ike ịlele ndekọ ndị a site na njikwa, nyochaa ọnụ ọgụgụ, hụ faịlụ ndị kpalitere njikere, na ọbụna chọpụta nke igwe na kpọmkwem ụbọchị egwuregwu ọ bụla kwekọrọ.

A na-ejikọta njikọ a site na usoro ndị ọzọ dị ka nchọpụta anomaly, nleba anya nha nkwado ndabere, ịchọ IOC ndị akọwapụtara, ma ọ bụ nyocha nke ngwaọrụ enyo enyoMana a bịa n'iwu ahaziri maka ezinaụlọ ma ọ bụ mgbasa ozi ransomware, YARA bụ ngwa kachasị mma maka imezi ọchụchọ ahụ.

Otu esi anwale ma kwado iwu YAR na-emebighị netwọkụ gị

Ozugbo ịmalitere ide iwu nke gị, nzọụkwụ ọzọ dị mkpa bụ ịnwale ha nke ọma. Ọchịchị na-emebiga ihe ókè nwere ike ime ka iju mmiri dị mma, ebe ịdị umengwụ nke ukwuu nwere ike ikwe ka ihe iyi egwu na-agabiga.Ọ bụ ya mere usoro ule ji dị mkpa ka oge ederede.

Ozi ọma ahụ bụ na ọ dịghị mkpa ka ịmepụta ụlọ nyocha jupụtara na malware na-arụ ọrụ ma bute ọkara netwọk iji mee nke a. Ebe nchekwa na dataset adịlarị na-enye ozi a. ihe nlele malware mara na nke a na-achịkwa maka ebumnuche nyochaỊ nwere ike ibudata ihe nlele ndị ahụ n'ime ebe dịpụrụ adịpụ wee jiri ha dị ka ihe nleba anya maka iwu gị.

Ụzọ a na-emebu bụ ịmalite site na ịgba ọsọ YARA na mpaghara, site na ahịrị iwu, megide akwụkwọ ndekọ aha nwere faịlụ enyo enyo. Ọ bụrụ na iwu gị dabara n'ebe ha kwesịrị ma na-agbaji na faịlụ dị ọcha, ị nọ n'ụzọ ziri ezi.Ọ bụrụ na ha na-akpalite nke ukwuu, ọ bụ oge iji nyochaa eriri, mee ka ọnọdụ dị mma, ma ọ bụ webata mmachi ndị ọzọ (nha, mbubata, nkwụsị, wdg).

Isi ihe ọzọ bụ ịhụ na iwu gị anaghị emebi arụmọrụ. Mgbe ị na-enyocha nnukwu akwụkwọ ndekọ aha, nkwado ndabere zuru oke, ma ọ bụ nnukwu mkpokọta nlele, Iwu emezighị nke ọma nwere ike belata nyocha ma ọ bụ rie ọtụtụ akụrụngwa karịa ka achọrọ.Ya mere, ọ bụ ihe amamihe dị na ya ịlele oge, mee ka okwu dị mgbagwoju anya dị mfe, ma zere regex dị arọ gabiga ókè.

Mgbe ị gafechara usoro nyocha ụlọ nyocha ahụ, ị ​​ga-enwe ike Kwalite iwu na gburugburu mmepụta iheMa ọ dị na SIEM gị, sistemụ nkwado gị, sava email, ma ọ bụ ebe ọ bụla ịchọrọ ijikọ ha. Echefula idowe usoro nyocha na-aga n'ihu: ka mkpọsa na-amalite, iwu gị ga-achọ mgbanwe oge.

Ngwa, mmemme na usoro ọrụ ya na YAR

E wezụga ọnụọgụ abụọ gọọmentị, ọtụtụ ndị ọkachamara ewepụtala obere mmemme na edemede gburugburu YARA iji kwado ojiji ya kwa ụbọchị. Ụzọ a na-ahụkarị gụnyere ịmepụta ngwa maka chịkọta ihe nchekwa nke gị nke na-agụpụta iwu niile dị na folda na-akpaghị aka ma tinye ha na ndekọ nyocha.

Ụdị ngwá ọrụ ndị a na-arụ n'ụlọ na-arụ ọrụ na usoro ndekọ dị mfe: otu nchekwa maka iwu ebudatara na ịntanetị (dịka ọmụmaatụ, "rulesyar") na nchekwa ọzọ maka faịlụ na-enyo enyo nke a ga-enyocha (dịka ọmụmaatụ, "malware"). Mgbe mmemme ahụ malitere, ọ na-enyocha na folda abụọ ahụ dị, depụta iwu ndị dị na ihuenyo, ma kwadoo maka igbu.

Mgbe ị pịa bọtịnụ dị ka "Malite nleleNgwa ahụ na-ebupụta YARA executable na paramita achọrọ: nyocha faịlụ niile dị na folda ahụ, nyocha recursive nke subdirectories, ọnụ ọgụgụ mmepụta, ibipụta metadata, wdg. A na-egosipụta egwuregwu ọ bụla na windo nsonaazụ, na-egosi ụdị faịlụ dabara na nke iwu.

Usoro a na-arụ ọrụ na-enye ohere, dịka ọmụmaatụ, nchọpụta nsogbu n'ime batch nke ozi ịntanetị ebupụ. onyonyo agbakwunyere obi ọjọọ, mgbakwunye dị ize ndụ, ma ọ bụ shei webụ zoro ezo n'ime faịlụ ndị yiri ka enweghị mmerụ ahụỌtụtụ nyocha nyocha na gburugburu ụlọ ọrụ na-adabere kpọmkwem na ụdị usoro a.

Banyere paramita kacha baa uru mgbe ị na-akpọ YAR, nhọrọ dị ka ndị a pụtara: -r ịchọgharị ugboro ugboro, -S iji gosipụta ọnụ ọgụgụ, -m wepụ metadata, na -w ileghara ịdọ aka ná ntị anya.Site na ijikọta ọkọlọtọ ndị a ị nwere ike ịhazigharị omume ahụ na ikpe gị: site na nyocha ngwa ngwa n'ime ndekọ aha kpọmkwem ruo nyocha zuru oke nke nhazi nchekwa dị mgbagwoju anya.

Omume kachasị mma mgbe ị na-ede na idobe iwu YARA

Iji gbochie ebe nchekwa iwu gị ka ọ bụrụ ọgbaghara a na-agaghị ejikwa, ọ dị mma itinye usoro omume kacha mma. Nke mbụ bụ ịrụ ọrụ na ndebiri na-agbanwe agbanwe na mgbakọ ahaka onye nyocha ọ bụla wee nwee ike ịghọta na ilele ihe iwu ọ bụla na-eme.

Ọtụtụ ndị otu na-eji usoro ọkọlọtọ gụnyere nkụnye eji isi mee nwere metadata, mkpado na-egosi ụdị iyi egwu, onye na-eme ihe nkiri ma ọ bụ ikpo okwu, yana nkọwa doro anya nke ihe a na-achọpụta.Nke a na-enyere ọ bụghị naanị n'ime, kamakwa mgbe ị na-ekerịta iwu na obodo ma ọ bụ tinye aka na ebe nchekwa ọha.

Ndụmọdụ ọzọ bụ icheta nke ahụ mgbe niile YAR bụ naanị otu nchekwa nchekwa ọzọỌ naghị edochi sọftụwia antivirus ma ọ bụ EDR, kama ọ na-emeju ha na atụmatụ maka Chebe Windows PC gịDị ka o kwesịrị, YAR kwesịrị dabara n'ime usoro ntụaka sara mbara, dị ka usoro NIST, nke na-ekwukwa maka njirimara akụrụngwa, nchekwa, nchọpụta, nzaghachi, na mgbake.

Site na echiche teknụzụ, ọ bara uru ịrara oge zere ihe ndị na-ezighị eziNke a na-agụnye ịzere ụdọ ndị na-emebiga ihe ókè, ijikọta ọnọdụ dị iche iche, na iji ndị na-arụ ọrụ dịka niile o nke ọ bụla n'ime Jiri isi gị wee nweta uru nke ihe nhazi faịlụ ahụ. Ka akọnuche dị na gburugburu omume malware, ka ahụ ka mma.

N'ikpeazụ, nọgide na-a ịdọ aka ná ntị nke nsụgharị na nyocha oge Ọ dị oke mkpa. Ezinụlọ Malware na-etolite, ihe ngosi na-agbanwe, na iwu ndị na-arụ ọrụ taa nwere ike ịda ada ma ọ bụ gharazie ike. Nyochaa na imezigharị iwu gị nke atọrọ kwa oge bụ akụkụ nke egwuregwu pusi na òké nke cybersecurity.

Obodo YAR na akụrụngwa dịnụ

Otu n'ime isi ihe kpatara YAR ji bia ugbu a bụ ike obodo ya. Ndị nyocha, ụlọ ọrụ nchekwa na ndị otu nzaghachi sitere na gburugburu ụwa na-ekekọrịta iwu, ihe atụ na akwụkwọ.imepụta gburugburu ebe obibi bara ụba nke ukwuu.

Isi ihe nrụtụ aka bụ Ebe nchekwa ọrụ YARA na GitHubN'ebe ahụ, ị ​​ga-ahụ ụdị ngwa ọrụ kachasị ọhụrụ, koodu isi mmalite, yana njikọ na akwụkwọ ahụ. Site n'ebe ahụ ị nwere ike soro ọganihu nke oru ngo, kọọ akụkọ, ma ọ bụ nye aka melite ma ọ bụrụ na-amasị gị.

Akwụkwọ gọọmentị, dị na nyiwe dị ka ReadTheDocs, na-enye ntuziaka syntax zuru oke, modul dị, ọmụmaatụ iwu, na ntụnyere ojijiỌ bụ ihe dị mkpa maka iji ọrụ kachasị elu, dị ka nyocha PE, ELF, iwu ebe nchekwa, ma ọ bụ ijikọ na ngwaọrụ ndị ọzọ.

Na mgbakwunye, enwere ebe nchekwa obodo nke iwu YARA na mbinye aka ebe ndị nyocha si n'akụkụ ụwa niile. Ha na-ebipụta mkpokọta ma ọ bụ mkpokọta dị njikere iji mee ihe nke enwere ike ime ka mkpa gị dị.Ebe nchekwa ndị a na-agụnyekarị iwu maka ezinaụlọ malware akọwapụtara, ngwa nrigbu, ngwa eji eme ihe n'ụzọ obi ọjọọ, webshells, cryptominers, na ọtụtụ ndị ọzọ.

N'otu aka ahụ, ọtụtụ ndị nrụpụta na otu nyocha na-enye Ọzụzụ pụrụ iche na YAR, site na ọkwa ndị bụ isi ruo na nkuzi dị eluAtụmatụ ndị a na-agụnyekarị ụlọ nyocha mebere na mmega ahụ dabere na ọnọdụ ụwa n'ezie. A na-enye ụfọdụ ndị na-anaghị akwụ ụgwọ n'efu nye ndị otu ma ọ bụ ụlọ ọrụ ndị na-adịghị ike na mbuso agha ezubere iche.

Usoro gburugburu ebe obibi a dum pụtara na, site na obere nraranye, ị nwere ike ịga site na ide iwu mbụ gị gaa wulite suites ọkaibe nwere ike ịsochi mkpọsa siri ike yana ịchọpụta ihe egwu na-enwetụbeghị ụdị yaNa, site na ijikọ YAR na antivirus ọdịnala, nchekwa nchekwa na ọgụgụ isi iyi egwu, ị na-eme ka ihe siere ndị na-eme ihe ọjọọ ike na-agagharị na ịntanetị.

N'ihe niile dị n'elu, o doro anya na YARA karịrị ngwa ngwa-ahịrị iwu: ọ bụ igodo mpempe na atụmatụ nchọpụta malware ọ bụla dị elu, ngwá ọrụ na-agbanwe agbanwe nke na-adaba n'ụzọ gị echiche dị ka onye nyocha na a asụsụ nkịtị nke na-ejikọta ụlọ nyocha, SOC na obodo nyocha gburugburu ụwa, na-ekwe ka iwu ọhụrụ ọ bụla tinye ihe nchebe ọzọ megide mgbasa ozi na-arịwanye elu.