Hvernig á að nota YARA til að greina spilliforrit ítarlega

¿Hvernig á að nota YARA til að greina háþróaða spilliforrit? Þegar hefðbundin vírusvarnarforrit ná takmörkum sínum og árásarmenn komast í gegnum allar mögulegar sprungur, kemur tól til sögunnar sem er orðið ómissandi í rannsóknarstofum á sviði atviksviðbragða: YARA, „svissneski hnífurinn“ til að veiða spilliforritÞað er hannað til að lýsa fjölskyldum skaðlegra hugbúnaðar með því að nota texta- og tvíundamynstur og gerir kleift að fara langt út fyrir einfalda kjötsamsvörun.

Í réttum höndum er YARA ekki bara til að finna ekki aðeins þekkt sýnishorn af spilliforritum, heldur einnig nýjar afbrigði, núlldagsnýtingar og jafnvel viðskiptaleg sóknarverkfæriÍ þessari grein munum við skoða ítarlega og hagnýtt hvernig á að nota YARA til að greina spilliforrit ítarlega, hvernig á að skrifa traustar reglur, hvernig á að prófa þær, hvernig á að samþætta þær við palla eins og Veeam eða þitt eigið greiningarvinnuflæði og hvaða bestu starfsvenjur fagfólkið fylgir.

Hvað er YARA og hvers vegna er það svona öflugt til að greina spilliforrit?

YARA stendur fyrir „Enn ein endurkvæm skammstöfun“ og hefur orðið staðall í ógnargreiningu vegna þess að Það gerir kleift að lýsa spilliforritafjölskyldum með því að nota læsilegar, skýrar og mjög sveigjanlegar reglur.Í stað þess að reiða sig eingöngu á kyrrstæðar undirskriftir vírusvarnarforrita, vinnur YARA með mynstrum sem þú skilgreinir sjálfur.

Grunnhugmyndin er einföld: YARA-regla skoðar skrá (eða minni eða gagnastraum) og athugar hvort röð skilyrða sé uppfyllt. skilyrði byggð á textastrengjum, sextándakerfisröðum, reglulegum segðum eða skráareiginleikumEf skilyrðið er uppfyllt er „samsvörun“ til staðar og þú getur sent viðvörun, lokað fyrir eða framkvæmt ítarlegri greiningu.

Þessi aðferð gerir öryggisteymum kleift Greinið og flokkið spilliforrit af öllum gerðum: klassískar vírusar, orma, Trójuhesta, ransomware, vefskeljar, dulritunarvinnsluforrit, illgjarn makró og margt fleira.Það er ekki takmarkað við ákveðnar skráarendingar eða snið, svo það greinir einnig dulbúna keyrsluskrá með .pdf-endingu eða HTML-skrá sem inniheldur vefskel.

Þar að auki er YARA þegar samþætt mörgum lykilþjónustum og verkfærum netöryggiskerfisins: VirusTotal, sandkassar eins og Cuckoo, afritunarpallar eins og Veeam eða ógnarleitarlausnir frá fremstu framleiðendumÞess vegna er það nánast nauðsynlegt fyrir lengra komna greinendur og vísindamenn að ná góðum tökum á YARA.

Ítarleg notkunartilvik YARA við uppgötvun spilliforrita

Einn af styrkleikum YARA er að það aðlagast eins og hanski að fjölbreyttum öryggisaðstæðum, allt frá SOC til spilliforrita. Sömu reglur gilda bæði um stakar veiðar og samfellda vöktun..

Beinasta tilfellið felst í því að skapa Sérstakar reglur fyrir tiltekna spilliforrit eða heilar fjölskyldurEf fyrirtækið þitt verður fyrir árásum frá herferð sem byggir á þekktri fjölskyldu (til dæmis fjartengdum trójuhesti eða APT-ógn), geturðu greint einkennandi strengi og mynstur og búið til reglur sem bera fljótt kennsl á ný skyld sýni.

Önnur klassísk notkun er áherslan á YARA byggt á undirskriftumÞessar reglur eru hannaðar til að finna hass, mjög sértæka textastrengi, kóðabúta, skráningarlykla eða jafnvel ákveðnar bætiraðir sem eru endurteknar í mörgum afbrigðum af sama spilliforritinu. Hafðu þó í huga að ef þú leitar aðeins að ómerkilegum strengjum er hætta á að þú fáir falskar jákvæðar niðurstöður.

YARA skín einnig þegar kemur að síun eftir skráartegundir eða byggingareiginleikarÞað er mögulegt að búa til reglur sem eiga við um PE keyrsluskrár, Office skjöl, PDF skjöl eða nánast hvaða snið sem er, með því að sameina strengi með eiginleikum eins og skráarstærð, tilteknum hausum (t.d. 0x5A4D fyrir PE keyrsluskrár) eða innflutningi grunsamlegra aðgerða.

Í nútímaumhverfi tengist notkun þess ógnarupplýsingarOpinber gagnasöfn, rannsóknarskýrslur og IOC-straumar eru þýddir í YARA-reglur sem eru samþættar SIEM, EDR, afritunarpöllum eða sandkassa. Þetta gerir fyrirtækjum kleift að greina fljótt nýjar ógnir sem deila einkennum með herferðum sem þegar hafa verið greindar.

Að skilja setningafræði YARA-reglna

Setningafræði YARA er nokkuð svipuð og í C, en á einfaldari og markvissari hátt. Hver regla samanstendur af nafni, valfrjálsum lýsigagnahluta, strenghluta og, nauðsynlega, skilyrðishluta.Héðan í frá liggur krafturinn í því hvernig þú sameinar allt þetta.

Fyrsta er regluheitiÞað verður að koma strax á eftir leitarorðinu reglu (o regla Ef þú skráir á spænsku, þó að leitarorðið í skránni verði regluog verður að vera gilt auðkenni: engin bil, engin tala og ekkert undirstrik. Það er góð hugmynd að fylgja skýrri venju, til dæmis eitthvað eins og Afbrigði af spilliforritafjölskyldunni o APT_Actor_Tool, sem gerir þér kleift að bera kennsl á í fljótu bragði hvað það á að greina.

Næst kemur kafli strengirþar sem þú skilgreinir mynstrin sem þú vilt leita að. Hér geturðu notað þrjár megingerðir: textastrengir, sextándakerfisraðir og reglulegar segðirTextastrengir eru tilvaldir fyrir læsilega kóðabúta, vefslóðir, innri skilaboð, slóðanöfn eða PDB-skrár. Sextándakerfistölur gera þér kleift að fanga hrá bætimynstur, sem eru mjög gagnleg þegar kóðinn er dulbúinn en heldur ákveðnum föstum röðum.

Reglulegar segðir veita sveigjanleika þegar þú þarft að hylja litlar breytingar í streng, eins og að breyta léni eða örlítið breyttum hlutum kóða. Ennfremur leyfa bæði strengir og regex að escape-tákn tákni handahófskennd bæti., sem opnar dyrnar að mjög nákvæmum blendingamynstrum.

Kafla ástand Þetta er eina skyldureglan og skilgreinir hvenær regla telst „passa“ við skrá. Þar eru notaðar Boolean- og reikniaðgerðir (og, eða, ekki, +, -, *, /, einhver, allt, inniheldur, o.s.frv.) til að tjá fínni greiningarrökfræði en einföld „ef þessi strengur birtist“.

Til dæmis er hægt að tilgreina að reglan sé aðeins gild ef skráin er minni en ákveðin stærð, ef allir mikilvægir strengir birtast eða ef að minnsta kosti einn af nokkrum strengjum er til staðar. Þú getur einnig sameinað skilyrði eins og strenglengd, fjölda samsvöruna, tilteknar frávik í skránni eða stærð skráarinnar sjálfrar.Sköpunargáfa hér skiptir máli á milli almennra reglna og skurðaðgerða.

Að lokum hefur þú valfrjálsa hlutann MetaTilvalið til að skrásetja tímabilið. Algengt er að taka með höfundur, sköpunardagur, lýsing, innri útgáfa, tilvísun í skýrslur eða miða og almennt allar upplýsingar sem hjálpa til við að halda gagnagrunninum skipulögðum og skiljanlegum fyrir aðra greinendur.

Hagnýt dæmi um háþróaðar YARA reglur

Til að setja allt ofangreint í samhengi er gagnlegt að sjá hvernig einföld regla er uppbyggð og hvernig hún verður flóknari þegar keyrsluskrár, grunsamlegar innflutningar eða endurteknar skipanalínur koma við sögu. Byrjum með leikfangareglustiku og aukum stærðina smám saman..

Lágmarksregla getur aðeins innihaldið streng og skilyrði sem gerir hana skyldubundna. Til dæmis gætirðu leitað að tilteknum textastreng eða bætiröð sem er dæmigerð fyrir brot úr spilliforriti. Skilyrðið, í því tilfelli, myndi einfaldlega segja að reglan sé uppfyllt ef sá strengur eða mynstur birtist., án frekari síunar.

Hins vegar gengur þetta ekki upp í raunverulegum aðstæðum, því Einfaldar keðjur skapa oft margar falskar jákvæðar niðurstöðurÞess vegna er algengt að sameina nokkra strengi (texta og sextándakerfisstrengi) með viðbótartakmörkunum: að skráin fari ekki yfir ákveðna stærð, að hún innihaldi ákveðnar hausa eða að hún sé aðeins virkjuð ef að minnsta kosti einn strengur úr hverjum skilgreindum hópi finnst.

Dæmigert dæmi í keyrslugreiningu PE felur í sér að flytja inn eininguna pe frá YARA, sem gerir þér kleift að spyrjast fyrir um innri eiginleika tvíundarskrárinnar: innfluttar aðgerðir, hluta, tímastimpla o.s.frv. Ítarleg regla gæti krafist þess að skráin sé flutt inn Búa til ferli frá Kernel32.dll og einhver HTTP-virkni frá wininet.dll, auk þess að innihalda ákveðinn streng sem gefur til kynna illgjarn hegðun.

Þessi tegund rökfræði er fullkomin til að finna Trójuhestar með fjartengingu eða útrýmingarmöguleikumjafnvel þótt skráarnöfn eða slóðir breytist frá einni herferð til annarrar. Það mikilvæga er að einbeita sér að undirliggjandi hegðun: sköpun ferla, HTTP beiðnir, dulkóðun, varanleika o.s.frv.

Önnur mjög áhrifarík aðferð er að skoða röð af endurteknum leiðbeiningum milli sýna úr sömu fjölskyldu. Jafnvel þótt árásarmenn pakka eða rugli tvíundarkóðanum, endurnýta þeir oft hluta kóðans sem erfitt er að breyta. Ef þú finnur stöðugar skipanablokkir eftir kyrrstæða greiningu, geturðu mótað reglu með Algildisstafir í sextándakerfisstrengjum sem fangar þetta mynstur en viðheldur samt ákveðnu þolmörkum.

Með þessum „reglum sem byggja á hegðun kóða“ er mögulegt fylgstu með heilum herferðum fyrir spilliforrit eins og þeim sem PlugX/Korplug eða aðrar APT fjölskyldur geraÞú greinir ekki bara ákveðið kjötkássu, heldur eltir þú þróunarstíl árásarmannanna, ef svo má að orði komast.

Notkun YARA í raunverulegum herferðum og núlldagsógnum

YARA hefur sannað gildi sitt sérstaklega á sviði háþróaðra ógna og núlldagsárása, þar sem hefðbundnar verndaraðferðir koma of seint. Þekkt dæmi er notkun YARA til að finna glæp í Silverlight út frá lágmarks lekum upplýsingum..

Í því tilviki, úr tölvupóstum sem stolnir voru frá fyrirtæki sem sérhæfir sig í þróun móðgandi tækja, voru nægileg mynstur áleidd til að búa til reglu sem miðar að tilteknu árásargjarnu athæfi. Með þessari einu reglu gátu vísindamennirnir rakið sýnið í gegnum hafsjó af grunsamlegum skrám.Greinið nýtingartilraunina og þvingið fram uppfærslur á henni, til að koma í veg fyrir mun alvarlegri skaða.

Þessar tegundir sagna sýna hvernig YARA getur virkað sem fiskinet í hafi af skrámÍmyndaðu þér fyrirtækjanetið þitt sem haf fullt af „fiskum“ (skrám) af öllum gerðum. Reglurnar þínar eru eins og hólf í botnvörpu: hvert hólf geymir fiskinn sem passar við ákveðna eiginleika.

Þegar þú ert búinn að draga, þá hefurðu sýni flokkuð eftir líkindum við ákveðnar fjölskyldur eða hópa árásarmanna: „líkt og tegund X“, „líkt og tegund Y“ o.s.frv. Sum þessara sýna kunna að vera alveg ný fyrir þig (nýjar tvíundarskrár, nýjar herferðir), en þau passa inn í þekkt mynstur, sem flýtir fyrir flokkun þinni og svörun.

Til að fá sem mest út úr YARA í þessu samhengi sameina margar stofnanir framhaldsnám, verklegar rannsóknarstofur og stýrð tilraunaumhverfiÞað eru til mjög sérhæfð námskeið sem eru eingöngu tileinkuð listinni að skrifa góðar reglur, oft byggðar á raunverulegum tilvikum netnjósna, þar sem nemendur æfa sig með áreiðanleg dæmi og læra að leita að „eitthvað“ jafnvel þegar þeir vita ekki nákvæmlega hvað þeir eru að leita að.

Samþættu YARA við afritunar- og endurheimtarkerfi

Eitt svið þar sem YARA passar fullkomlega inn í kerfið, og sem oft fer nokkuð fram hjá neinum, er verndun afrita. Ef afrit eru sýkt af spilliforritum eða ransomware getur endurheimt endurræst alla herferð.Þess vegna hafa sumir framleiðendur fellt YARA vélar beint inn í lausnir sínar.

Hægt er að setja af stað næstu kynslóð afritunarpalla Reglubundnar greiningarlotur YARA á endurheimtarpunktumMarkmiðið er tvíþætt: að finna síðasta „hreinsunarpunktinn“ fyrir atvik og að greina skaðlegt efni sem er falið í skrám sem aðrar athuganir hafa hugsanlega ekki virkjað.

Í þessum aðstæðum felst dæmigert ferli í því að velja valkostinn „Skannaðu endurheimtarpunkta með YARA reglustiku„við stillingu greiningarverks. Næst er slóðin að regluskránni tilgreind (venjulega með endingunni .yara eða .yar), sem er venjulega geymd í stillingarmöppu sem er sértæk fyrir afritunarlausnina.“

Við keyrslu fer vélin í gegnum hlutina sem eru í afritinu, beitir reglunum og Það skráir allar niðurstöður í sérstaka YARA greiningarskrá.Stjórnandinn getur skoðað þessar skrár úr stjórnborðinu, skoðað tölfræði, séð hvaða skrár kveiktu á viðvöruninni og jafnvel rakið hvaða vélar og tiltekna dagsetningu hver samsvörun samsvarar.

Þessi samþætting er studd af öðrum aðferðum eins og fráviksgreining, eftirlit með stærð afrita, leit að tilteknum IOCs eða greining á grunsamlegum verkfærumEn þegar kemur að reglum sem eru sniðnar að tiltekinni ransomware-fjölskyldu eða herferð, þá er YARA besta tólið til að betrumbæta þá leit.

Hvernig á að prófa og sannreyna YARA reglur án þess að brjóta netið þitt

Þegar þú byrjar að skrifa þínar eigin reglur er næsta mikilvæga skref að prófa þær vandlega. Of árásargjörn regla getur skapað flóð af fölskum jákvæðum niðurstöðum, en of slök regla getur látið raunverulegar ógnir sleppa í gegn.Þess vegna er prófunarfasinn jafn mikilvægur og ritunarfasinn.

Góðu fréttirnar eru þær að þú þarft ekki að setja upp rannsóknarstofu fulla af virkum spilliforritum og smita helming netsins til að gera þetta. Geymslur og gagnasöfn eru þegar til sem bjóða upp á þessar upplýsingar. þekkt og stýrð sýni af spilliforritum í rannsóknarskyniÞú getur sótt þessi sýnishorn í einangrað umhverfi og notað þau sem prófunarumhverfi fyrir reglurnar þínar.

Venjulega er að byrja á að keyra YARA staðbundið, úr skipanalínunni, á móti möppu sem inniheldur grunsamlegar skrár. Ef reglurnar þínar passa þar sem þær eiga að passa og brjóta varla í hreinum skrám, þá ertu á réttri leið.Ef þeir eru að virkja of mikið er kominn tími til að endurskoða strengi, betrumbæta skilyrði eða setja inn frekari takmarkanir (stærð, innflutning, offsets o.s.frv.).

Annað lykilatriði er að tryggja að reglurnar skerði ekki afköst. Þegar skannað er stórar möppur, afrit eru tekin í notkun eða gríðarleg sýnishorn eru notuð, Illa fínstilltar reglur geta hægt á greiningu eða neytt meiri auðlinda en æskilegt er.Þess vegna er ráðlegt að mæla tímasetningu, einfalda flóknar segðir og forðast of þungar regex.

Eftir að hafa lokið þessu rannsóknarstofuprófunarstigi munt þú geta Kynna reglurnar í framleiðsluumhverfinuHvort sem það er í SIEM kerfinu þínu, afritunarkerfum, tölvupóstþjónum eða hvar sem þú vilt samþætta þau. Og ekki gleyma að viðhalda stöðugri endurskoðunarlotu: eftir því sem herferðir þróast þarf að aðlaga reglurnar þínar reglulega.

Verkfæri, forrit og vinnuflæði með YARA

Auk opinberu tvíundarútgáfunnar hafa margir sérfræðingar þróað lítil forrit og forskriftir í kringum YARA til að auðvelda daglega notkun þess. Algeng aðferð felst í því að búa til forrit fyrir setja saman þitt eigið öryggissett sem les sjálfkrafa allar reglur í möppu og beitir þeim á greiningarmöppu.

Þessar tegundir af heimagerðum verkfærum virka venjulega með einfaldri möppuuppbyggingu: ein mappa fyrir reglur sóttar af internetinu (til dæmis „rulesyar“) og önnur mappa fyrir grunsamlegar skrár sem verða greindar (til dæmis „spilliforrit“). Þegar forritið ræsist athugar það hvort báðar möppurnar séu til staðar, birtir reglurnar á skjánum og býr sig undir keyrslu.

Þegar þú ýtir á takka eins og „Hefja staðfestinguForritið ræsir síðan YARA keyrsluskrána með þeim stillingum sem óskað er eftir: skönnun á öllum skrám í möppunni, endurkvæm greining á undirmöppum, úttak tölfræði, prentun lýsigagna o.s.frv. Allar niðurstöður birtast í niðurstöðuglugga sem gefur til kynna hvaða skrá passaði við hvaða reglu.

Þetta verkflæði gerir til dæmis kleift að greina vandamál í hópi útfluttra tölvupósta. Illgjarnar innfelldar myndir, hættuleg viðhengi eða vefskeljar falnar í skrám sem virðast saklausarMargar réttarlæknisfræðilegar rannsóknir í fyrirtækjaumhverfi treysta einmitt á þessa tegund aðferða.

Hvað varðar gagnlegustu færibreyturnar þegar YARA er kallað á, þá standa eftirfarandi valkostir upp úr: -r til að leita endurkvæmt, -S til að birta tölfræði, -m til að draga út lýsigögn og -w til að hunsa viðvaranirMeð því að sameina þessi fána er hægt að aðlaga hegðunina að þínu tilviki: allt frá fljótlegri greiningu í tiltekinni möppu til heildarskönnunar á flókinni möppuuppbyggingu.

Bestu starfsvenjur við gerð og viðhald YARA-reglna

Til að koma í veg fyrir að reglugeymslan þín verði að óviðráðanlegu rugli er ráðlegt að fylgja nokkrum bestu starfsvenjum. Í fyrsta lagi er að vinna með samræmd sniðmát og nafngiftarreglurþannig að hver greinandi geti í fljótu bragði skilið hvað hver regla gerir.

Mörg lið taka upp staðlað snið sem felur í sér haus með lýsigögnum, merkjum sem gefa til kynna tegund ógnunar, aðila eða vettvang og skýra lýsingu á því sem verið er að greinaÞetta hjálpar ekki aðeins innbyrðis, heldur einnig þegar þú deilir reglum með samfélaginu eða leggur þitt af mörkum til opinberra gagnasöfna.

Önnur ráðlegging er að hafa alltaf í huga að YARA er bara eitt varnarlag í viðbótÞað kemur ekki í stað vírusvarnarhugbúnaðar eða EDR, heldur bætir það við með aðferðum til að... Verndaðu Windows tölvuna þínaHelst ætti YARA að falla innan víðtækari viðmiðunarramma, svo sem NIST-rammans, sem einnig fjallar um auðkenningu, vernd, uppgötvun, viðbrögð og endurheimt eigna.

Frá tæknilegu sjónarmiði er vert að gefa sér tíma til að forðast rangar jákvæðar niðurstöðurÞetta felur í sér að forðast of almennar strengi, sameina nokkur skilyrði og nota virkja eins og allt o eitthvað af Notaðu hugann og nýttu þér uppbyggingu skráarinnar. Því nákvæmari sem rökfræðin er um hegðun spilliforritsins, því betra.

Að lokum, viðhalda aga útgáfustjórnun og reglubundin endurskoðun Þetta er afar mikilvægt. Spilliforritafjölskyldur þróast, vísbendingar breytast og reglurnar sem virka í dag geta verið ófullnægjandi eða úreltar. Að endurskoða og fínpússa reglusettið reglulega er hluti af kattar-og-músarleik netöryggis.

YARA samfélagið og tiltæk úrræði

Ein af helstu ástæðunum fyrir því að YARA hefur náð svona langt er styrkur samfélagsins. Rannsakendur, öryggisfyrirtæki og viðbragðsteymi um allan heim deila stöðugt reglum, dæmum og skjölum.að skapa mjög ríkt vistkerfi.

Helsta viðmiðunarpunkturinn er Opinbera gagnasafn YARA á GitHubÞar finnur þú nýjustu útgáfur tólsins, frumkóðann og tengla á skjölunina. Þaðan geturðu fylgst með framvindu verkefnisins, tilkynnt vandamál eða lagt til úrbætur ef þú vilt.

Opinber skjölun, sem er aðgengileg á kerfum eins og ReadTheDocs, býður upp á heildarleiðbeiningar um setningafræði, tiltækar einingar, dæmi um reglur og notkunartilvísanirÞetta er nauðsynleg auðlind til að nýta sér fullkomnustu virknina, svo sem PE skoðun, ELF, minnisreglur eða samþættingu við önnur verkfæri.

Að auki eru til samfélagssafnar með reglum og undirskriftum YARA þar sem greinendur frá öllum heimshornum Þeir gefa út tilbúin söfn eða söfn sem hægt er að aðlaga að þínum þörfum.Þessi gagnageymslur innihalda venjulega reglur fyrir tilteknar fjölskyldur spilliforrita, ávinningssett, illgjarn notuð innbrotsprófunartól, vefskeljar, dulritunarvinnslutæki og margt fleira.

Samhliða því bjóða margir framleiðendur og rannsóknarhópar upp á Sérstök þjálfun hjá YARA, allt frá grunnnámskeiðum upp í mjög framhaldsnámskeiðÞessi verkefni fela oft í sér sýndartilraunir og verklegar æfingar byggðar á raunverulegum aðstæðum. Sum þeirra eru jafnvel í boði án endurgjalds fyrir hagnaðarskynilaus samtök eða aðila sem eru sérstaklega viðkvæmir fyrir markvissum árásum.

Allt þetta vistkerfi þýðir að með smá eljusemi geturðu farið frá því að skrifa fyrstu grunnreglurnar þínar yfir í þróa háþróaðar lausnir sem geta fylgst með flóknum herferðum og greint fordæmalausar ógnirOg með því að sameina YARA við hefðbundna vírusvarnarforrit, örugga afritun og ógnargreind, gerir þú hlutina töluvert erfiðari fyrir illgjarna aðila sem ferðast um internetið.

Með öllu framangreindu er ljóst að YARA er miklu meira en einfalt skipanalínuforrit: það er a lykilhluti í hvaða háþróaðri aðferð til að greina spilliforrit sem er, sveigjanlegt tól sem aðlagast hugsunarhætti þínum sem greinanda og a sameiginlegt tungumál sem tengir saman rannsóknarstofur, starfsemi stofnana og rannsóknarsamfélög um allan heim, sem gerir því kleift að bæta við enn einu verndarlagi gegn sífellt flóknari herferðum með hverri nýrri reglu.