როგორ გამოვიყენოთ YARA მავნე პროგრამების გაფართოებული აღმოსაჩენად

YARA საშუალებას იძლევა აღიწეროს მავნე პროგრამების ოჯახები სტრიქონების, ბინარული შაბლონებისა და ფაილის თვისებების საფუძველზე მოქნილი წესების გამოყენებით.
კარგად შემუშავებულ წესებს შეუძლია ყველაფრის აღმოჩენა, გამოსასყიდი პროგრამებიდან და APT-ებიდან დაწყებული, ვებშელითა და ნულოვანი დღის ექსპლოიტებით დამთავრებული, მრავალ გარემოში.
YARA-ს ინტეგრირება სარეზერვო ასლებში, სასამართლო პროცესებსა და კორპორატიულ ინსტრუმენტებში აძლიერებს დაცვას ტრადიციული ანტივირუსული პროგრამული უზრუნველყოფის მიღმა.
YARA-ს საზოგადოება და წესების საცავები აადვილებს ინტელექტის გაზიარებას და უწყვეტად აუმჯობესებს გამოვლენას.

¿როგორ გამოვიყენოთ YARA მავნე პროგრამების გაფართოებული აღმოსაჩენად? როდესაც ტრადიციული ანტივირუსული პროგრამები თავის ლიმიტებს აღწევენ და თავდამსხმელები ყველა შესაძლო ბზარს უშვებენ, მოქმედებაში ერთვება ინსტრუმენტი, რომელიც ინციდენტებზე რეაგირების ლაბორატორიებში შეუცვლელი გახდა: YARA, „შვეიცარიული დანა“ მავნე პროგრამების მოსაძებნადშექმნილია მავნე პროგრამული უზრუნველყოფის ოჯახების ტექსტური და ბინარული შაბლონების გამოყენებით აღსაწერად, ის საშუალებას იძლევა გასცდეს მარტივ ჰეშ-შესაბამობას.

სწორ ხელში, YARA მხოლოდ ადგილმდებარეობის დასადგენად არ არის განკუთვნილი არა მხოლოდ ცნობილი მავნე პროგრამების ნიმუშები, არამედ ახალი ვარიანტები, ნულოვანი დღის ექსპლოიტები და კომერციული შეტევითი ინსტრუმენტებიც კიამ სტატიაში ჩვენ სიღრმისეულად და პრაქტიკულად განვიხილავთ, თუ როგორ გამოვიყენოთ YARA მავნე პროგრამების მოწინავე აღმოსაჩენად, როგორ დავწეროთ სანდო წესები, როგორ გამოვცადოთ ისინი, როგორ ინტეგრირდეს ისინი Veeam-ის მსგავს პლატფორმებში ან თქვენს საკუთარ ანალიტიკურ სამუშაო პროცესში და რა საუკეთესო პრაქტიკას მისდევს პროფესიონალური საზოგადოება.

რა არის YARA და რატომ არის ის ასეთი ძლიერი მავნე პროგრამების აღმოსაჩენად?

YARA ნიშნავს „კიდევ ერთ რეკურსიულ აკრონიმს“ და საფრთხის ანალიზში ფაქტობრივ სტანდარტად იქცა, რადგან ის საშუალებას იძლევა აღიწეროს მავნე პროგრამების ოჯახები წაკითხვადი, მკაფიო და უაღრესად მოქნილი წესების გამოყენებით.YARA მხოლოდ სტატიკურ ანტივირუსულ ხელმოწერებზე დაყრდნობის ნაცვლად, მუშაობს თქვენ მიერ განსაზღვრულ შაბლონებზე.

ძირითადი იდეა მარტივია: YARA წესი ამოწმებს ფაილს (ან მეხსიერებას, ან მონაცემთა ნაკადს) და ამოწმებს, დაკმაყოფილებულია თუ არა პირობების სერია. პირობები, რომლებიც დაფუძნებულია ტექსტურ სტრიქონებზე, თექვსმეტობით თანმიმდევრობებზე, რეგულარულ გამოსახულებებზე ან ფაილის თვისებებზეთუ პირობა დაკმაყოფილებულია, არსებობს „შესაბამისობა“ და შეგიძლიათ გააფრთხილოთ, დაბლოკოთ ან ჩაატაროთ უფრო სიღრმისეული ანალიზი.

ეს მიდგომა უსაფრთხოების ჯგუფებს საშუალებას აძლევს ყველა ტიპის მავნე პროგრამების იდენტიფიცირება და კლასიფიკაცია: კლასიკური ვირუსები, ჭიები, ტროიანები, გამოსასყიდი პროგრამები, ვებშელი, კრიპტომაინერები, მავნე მაკროები და მრავალი სხვაის არ შემოიფარგლება მხოლოდ კონკრეტული ფაილის გაფართოებით ან ფორმატებით, ამიტომ ის ასევე აღმოაჩენს შენიღბულ შესრულებად ფაილს .pdf გაფართოებით ან HTML ფაილს, რომელიც შეიცავს webshell-ს.

გარდა ამისა, YARA უკვე ინტეგრირებულია კიბერუსაფრთხოების ეკოსისტემის მრავალ ძირითად სერვისსა და ინსტრუმენტში: VirusTotal, ისეთი „sandboxes“-ები, როგორიცაა Cuckoo, სარეზერვო პლატფორმები, როგორიცაა Veeam, ან საფრთხეების ძიების გადაწყვეტილებები წამყვანი მწარმოებლებისგანამიტომ, YARA-ს დაუფლება თითქმის აუცილებელი გახდა მოწინავე ანალიტიკოსებისა და მკვლევარებისთვის.

YARA-ს გამოყენების გაფართოებული შემთხვევები მავნე პროგრამების აღმოჩენაში

YARA-ს ერთ-ერთი ძლიერი მხარე ის არის, რომ ის ხელთათმანივით ეგუება მრავალ უსაფრთხოების სცენარს, SOC-დან დაწყებული მავნე პროგრამების ლაბორატორიით დამთავრებული. იგივე წესები ვრცელდება როგორც ერთჯერად ნადირობაზე, ასევე უწყვეტ მონიტორინგზე..

ყველაზე პირდაპირი შემთხვევა გულისხმობს შექმნას კონკრეტული წესები კონკრეტული მავნე პროგრამებისთვის ან მთელი ოჯახებისთვისთუ თქვენს ორგანიზაციას თავს ესხმის ცნობილი ოჯახის (მაგალითად, დისტანციური წვდომის ტროიანი ან APT საფრთხე) საფუძველზე შექმნილი კამპანია, შეგიძლიათ შექმნათ დამახასიათებელი სტრიქონებისა და ნიმუშების პროფილი და დააყენოთ წესები, რომლებიც სწრაფად ამოიცნობენ ახალ დაკავშირებულ ნიმუშებს.

კიდევ ერთი კლასიკური გამოყენება ფოკუსირებულია YARA ხელმოწერებზე დაფუძნებულიეს წესები შექმნილია ჰეშების, ძალიან სპეციფიკური ტექსტური სტრიქონების, კოდის ფრაგმენტების, რეესტრის გასაღებების ან თუნდაც კონკრეტული ბაიტების თანმიმდევრობების მოსაძებნად, რომლებიც მეორდება ერთი და იგივე მავნე პროგრამის მრავალ ვარიანტში. თუმცა, გაითვალისწინეთ, რომ თუ მხოლოდ ტრივიალურ სტრიქონებს ეძებთ, ცრუ დადებითი შედეგების გენერირების რისკის ქვეშ დგახართ.

YARA ასევე ბრწყინავს ფილტრაციის თვალსაზრისითაც. ფაილის ტიპები ან სტრუქტურული მახასიათებლებიშესაძლებელია PE-ს შესასრულებელ ფაილებზე, საოფისე დოკუმენტებზე, PDF ფაილებზე ან პრაქტიკულად ნებისმიერ ფორმატზე გავრცელებულ წესებზე კომბინირებით სტრიქონები ისეთ თვისებებთან, როგორიცაა ფაილის ზომა, კონკრეტული სათაურები (მაგ., 0x5A4D PE-ს შესასრულებელი ფაილებისთვის) ან საეჭვო ფუნქციების იმპორტი.

თანამედროვე გარემოში მისი გამოყენება დაკავშირებულია inteligencia de amenazasსაჯარო საცავები, კვლევითი ანგარიშები და IOC არხები ითარგმნება YARA წესებად, რომლებიც ინტეგრირებულია SIEM-ში, EDR-ში, სარეზერვო პლატფორმებში ან sandbox-ებში. ეს ორგანიზაციებს საშუალებას აძლევს სწრაფად აღმოაჩინეთ ახალი საფრთხეები, რომლებსაც აქვთ საერთო მახასიათებლები უკვე გაანალიზებულ კამპანიებთან.

YARA წესების სინტაქსის გაგება

YARA-ს სინტაქსი საკმაოდ ჰგავს C-ს სინტაქსს, მაგრამ უფრო მარტივი და ფოკუსირებული გზით. თითოეული წესი შედგება სახელისგან, არასავალდებულო მეტამონაცემების განყოფილებისგან, სტრიქონის განყოფილებისგან და, აუცილებლად, პირობის განყოფილებისგან.ამიერიდან ძალა იმაშია, თუ როგორ აერთიანებთ ამ ყველაფერს.

Lo primero es el წესის სახელიის უნდა განთავსდეს საკვანძო სიტყვის შემდეგ rule (o regla თუ დოკუმენტს ესპანურად წერთ, ფაილში საკვანძო სიტყვა იქნება ruleდა უნდა იყოს სწორი იდენტიფიკატორი: არც სივრცეები, არც რიცხვი და არც ქვედა ხაზი. კარგი იდეაა, დაიცვათ მკაფიო კონვენცია, მაგალითად, რაღაც მსგავსი Malware_Family_Variant o APT_მსახიობის_ინსტრუმენტი, რომელიც საშუალებას გაძლევთ ერთი შეხედვით ამოიცნოთ, რისი აღმოჩენაა მისი მიზანი.

ექსკლუზიური შინაარსი - დააწკაპუნეთ აქ ¿Cómo vincular mi cuenta de AVG AntiVirus con mi computadora?

შემდეგ მოდის განყოფილება stringsსადაც თქვენ განსაზღვრავთ იმ ნიმუშებს, რომელთა მოძიებაც გსურთ. აქ შეგიძლიათ გამოიყენოთ სამი ძირითადი ტიპი: ტექსტური სტრიქონები, თექვსმეტობითი თანმიმდევრობები და რეგულარული გამოსახულებებიტექსტური სტრიქონები იდეალურია ადამიანისთვის წასაკითხი კოდის ფრაგმენტებისთვის, URL-ებისთვის, შიდა შეტყობინებებისთვის, ბილიკის სახელებისთვის ან PDB-ებისთვის. თექვსმეტობითი რიცხვები საშუალებას გაძლევთ აღბეჭდოთ ბაიტების ნედლი ნიმუშები, რაც ძალიან სასარგებლოა, როდესაც კოდი დაბინდულია, მაგრამ ინარჩუნებს გარკვეულ მუდმივ თანმიმდევრობებს.

რეგულარული გამოსახულებები უზრუნველყოფს მოქნილობას, როდესაც საჭიროა სტრიქონში მცირე ვარიაციების დაფარვა, როგორიცაა დომენების შეცვლა ან კოდის ოდნავ შეცვლილი ნაწილები. გარდა ამისა, როგორც სტრიქონები, ასევე რეგულარული სიგნალები საშუალებას იძლევა, წარმოადგინონ თვითნებური ბაიტები., რაც ძალიან ზუსტი ჰიბრიდული ნიმუშების შექმნის კარს ხსნის.

La sección condition ეს ერთადერთი სავალდებულოა და განსაზღვრავს, თუ როდის ითვლება წესი ფაილთან „შესაბამისად“. აქ თქვენ იყენებთ ლოგიკურ და არითმეტიკულ ოპერაციებს (და, ან, არა, +, -, *, /, ნებისმიერი, ყველა, შეიცავს და ა.შ.) უფრო დახვეწილი დეტექციის ლოგიკის გამოსახატავად, ვიდრე მარტივი „თუ ეს სტრიქონი გამოჩნდება“.

მაგალითად, შეგიძლიათ მიუთითოთ, რომ წესი მხოლოდ იმ შემთხვევაში იქნება ვალიდური, თუ ფაილი გარკვეულ ზომაზე პატარაა, თუ ყველა კრიტიკული სტრიქონი გამოჩნდება ან თუ რამდენიმე სტრიქონიდან სულ მცირე ერთი მაინც არსებობს. ასევე შეგიძლიათ გააერთიანოთ ისეთი პირობები, როგორიცაა სტრიქონის სიგრძე, დამთხვევების რაოდენობა, ფაილში კონკრეტული ოფსეტები ან თავად ფაილის ზომა.კრეატიულობა აქ განსხვავებას ქმნის ზოგად წესებსა და ქირურგიულ აღმოჩენებს შორის.

და ბოლოს, თქვენ გაქვთ სურვილისამებრ განყოფილება metaიდეალურია პერიოდის დოკუმენტირებისთვის. ჩვეულებრივია მასში ჩართვა ავტორი, შექმნის თარიღი, აღწერა, შიდა ვერსია, ანგარიშებზე ან ბილეთებზე მითითება და, ზოგადად, ნებისმიერი ინფორმაცია, რომელიც ხელს უწყობს საცავის ორგანიზებულობას და სხვა ანალიტიკოსებისთვის გასაგებად შენარჩუნებას.

YARA-ს გაფართოებული წესების პრაქტიკული მაგალითები

ზემოაღნიშნულის პერსპექტივაში განსახილველად, სასარგებლოა იმის დანახვა, თუ როგორ არის სტრუქტურირებული მარტივი წესი და როგორ ხდება ის უფრო რთული, როდესაც საქმე შესრულებად ფაილებს, საეჭვო იმპორტირებას ან განმეორებადი ინსტრუქციების თანმიმდევრობას ეხება. დავიწყოთ სათამაშო სახაზავით და თანდათან გავზარდოთ ზომა..

მინიმალური წესი შეიძლება შეიცავდეს მხოლოდ სტრიქონს და პირობას, რომელიც მას სავალდებულოს ხდის. მაგალითად, შეგიძლიათ მოძებნოთ კონკრეტული ტექსტური სტრიქონი ან ბაიტების თანმიმდევრობა, რომელიც წარმოადგენს მავნე პროგრამის ფრაგმენტს. ამ შემთხვევაში, პირობა უბრალოდ მიუთითებდა, რომ წესი დაკმაყოფილებულია, თუ ეს სტრიქონი ან ნიმუში გამოჩნდება., დამატებითი ფილტრების გარეშე.

თუმცა, რეალურ პირობებში ეს არასაკმარისია, რადგან მარტივი ჯაჭვები ხშირად ბევრ ცრუ დადებით შედეგს წარმოქმნისსწორედ ამიტომ, ხშირად გამოიყენება რამდენიმე სტრიქონის (ტექსტური და თექვსმეტობითი) გაერთიანება დამატებითი შეზღუდვებით: ფაილის ზომა არ უნდა აღემატებოდეს გარკვეულ ზღვარს, უნდა შეიცავდეს კონკრეტულ სათაურებს ან უნდა გააქტიურდეს მხოლოდ იმ შემთხვევაში, თუ თითოეული განსაზღვრული ჯგუფიდან მოიძებნება სულ მცირე ერთი სტრიქონი.

PE შესრულებადი ფაილის ანალიზის ტიპიური მაგალითია მოდულის იმპორტირება. pe YARA-დან, რომელიც საშუალებას გაძლევთ მოითხოვოთ ბინარული ფაილის შიდა თვისებები: იმპორტირებული ფუნქციები, სექციები, დროის ნიშნულები და ა.შ. გაფართოებული წესი შეიძლება მოითხოვდეს ფაილის იმპორტირებას. შექმნის პროცესი -დან Kernel32.dll და ზოგიერთი HTTP ფუნქცია wininet.dll, გარდა იმისა, რომ შეიცავს მავნე ქცევის მაჩვენებელ კონკრეტულ სტრიქონს.

ამ ტიპის ლოგიკა იდეალურია ადგილმდებარეობის დასადგენად. ტროიანები დისტანციური კავშირის ან ექსფილტრაციის შესაძლებლობებითმაშინაც კი, როდესაც ფაილების სახელები ან ბილიკები იცვლება ერთი კამპანიიდან მეორეში. მნიშვნელოვანია ფოკუსირება ძირითად ქცევაზე: პროცესის შექმნა, HTTP მოთხოვნები, დაშიფვრა, შენარჩუნება და ა.შ.

კიდევ ერთი ძალიან ეფექტური ტექნიკაა იმის დანახვა, თუ განმეორებითი ინსტრუქციების თანმიმდევრობა ერთი და იგივე ოჯახის ნიმუშებს შორის. მაშინაც კი, თუ თავდამსხმელები პაკეტს ან აბნევენ ბინარულ ფაილს, ისინი ხშირად იყენებენ კოდის იმ ნაწილებს, რომელთა შეცვლაც რთულია. თუ სტატიკური ანალიზის შემდეგ აღმოაჩენთ ინსტრუქციების მუდმივ ბლოკებს, შეგიძლიათ ჩამოაყალიბოთ წესი ველური ნიშნები თექვსმეტობით სტრიქონებში რომელიც ასახავს ამ ნიმუშს გარკვეული ტოლერანტობის შენარჩუნებით.

ამ „კოდის ქცევაზე დაფუძნებული“ წესებით შესაძლებელია თვალყური ადევნეთ მთელ მავნე პროგრამების კამპანიებს, როგორიცაა PlugX/Korplug ან სხვა APT ოჯახების კამპანიებითქვენ არა მხოლოდ კონკრეტულ ჰეშს აღმოაჩენთ, არამედ, ასე ვთქვათ, თავდამსხმელების განვითარების სტილს მისდევთ.

YARA-ს გამოყენება რეალურ კამპანიებსა და ნულოვანი დღის საფრთხეებში

YARA-მ თავისი ღირებულება განსაკუთრებით დაამტკიცა მოწინავე საფრთხეებისა და ნულოვანი დღის ექსპლოიტების სფეროში, სადაც კლასიკური დაცვის მექანიზმები ძალიან გვიან ჩნდება. ცნობილი მაგალითია YARA-ს გამოყენება Silverlight-ში ექსპლოიტის აღმოსაჩენად მინიმალური გაჟონილი ინტელექტის გამოყენებით..

ამ შემთხვევაში, შეტევითი ინსტრუმენტების შემუშავებით დაკავებული კომპანიისგან მოპარული ელექტრონული ფოსტიდან საკმარისი ნიმუშები იქნა გამოყვანილი კონკრეტულ ექსპლოიტზე ორიენტირებული წესის შესაქმნელად. ამ ერთი წესის გამოყენებით, მკვლევრებმა შეძლეს ნიმუშის კვალის აღმოჩენა საეჭვო ფაილების ზღვაში.ამოიცანით ექსპლოიტი და აიძულეთ მისი გამოსწორება, რათა თავიდან აიცილოთ გაცილებით სერიოზული ზიანი.

ამ ტიპის ისტორიები ასახავს, თუ როგორ შეუძლია YARA-ს ფუნქციონირება, როგორც სათევზაო ბადე ფაილების ზღვაშიწარმოიდგინეთ თქვენი კორპორატიული ქსელი, როგორც ოკეანე, რომელიც სავსეა ყველანაირი „თევზით“ (ფაილებით). თქვენი წესები ტრალის ბადის განყოფილებებს ჰგავს: თითოეულ განყოფილებაში ინახება თევზები, რომლებიც სპეციფიკურ მახასიათებლებს შეესაბამება.

ექსკლუზიური შინაარსი - დააწკაპუნეთ აქ ¿Stack App incluye opciones para compartir archivos cifrados?

როდესაც დრაგს დაასრულებთ, გექნებათ ნიმუშები დაჯგუფებულია მსგავსების მიხედვით თავდამსხმელთა კონკრეტულ ოჯახებთან ან ჯგუფებთან: „სახეობა X-ის მსგავსი“, „სახეობა Y-ის მსგავსი“ და ა.შ. ამ ნიმუშებიდან ზოგიერთი შეიძლება თქვენთვის სრულიად ახალი იყოს (ახალი ბინარული ფაილები, ახალი კამპანიები), მაგრამ ისინი ჯდება ცნობილ ნიმუშში, რაც აჩქარებს თქვენს კლასიფიკაციას და რეაგირებას.

ამ კონტექსტში YARA-სგან მაქსიმალური სარგებლის მისაღებად, მრავალი ორგანიზაცია აერთიანებს მოწინავე ტრენინგი, პრაქტიკული ლაბორატორიები და კონტროლირებადი ექსპერიმენტული გარემოარსებობს მაღალსპეციალიზებული კურსები, რომლებიც ექსკლუზიურად კარგი წესების წერის ხელოვნებას ეძღვნება, ხშირად კიბერშპიონაჟის რეალურ შემთხვევებზე დაყრდნობით, სადაც სტუდენტები ავთენტური ნიმუშებით ვარჯიშობენ და სწავლობენ „რაღაცის“ ძიებას მაშინაც კი, როცა ზუსტად არ იციან, რას ეძებენ.

ინტეგრირება YARA-ს სარეზერვო ასლისა და აღდგენის პლატფორმებში

ერთ-ერთი სფერო, სადაც YARA იდეალურად ჯდება და რომელიც ხშირად შეუმჩნეველი რჩება, არის სარეზერვო ასლების დაცვა. თუ სარეზერვო ასლები დაინფიცირდება მავნე პროგრამით ან გამოსასყიდი პროგრამით, აღდგენას შეუძლია მთელი კამპანიის გადატვირთვა.სწორედ ამიტომ, ზოგიერთმა მწარმოებელმა YARA ძრავები პირდაპირ ჩართო თავის გადაწყვეტილებებში.

შესაძლებელია შემდეგი თაობის სარეზერვო ასლის პლატფორმების გაშვება YARA-ს წესებზე დაფუძნებული ანალიზის სესიები აღდგენის წერტილებზემიზანი ორმაგია: ინციდენტამდე ბოლო „სუფთა“ წერტილის პოვნა და ფაილებში დამალული მავნე შინაარსის აღმოჩენა, რომლებიც შესაძლოა სხვა შემოწმებებით არ ყოფილიყო გამოწვეული.

ასეთ გარემოში ტიპიური პროცესი გულისხმობს შემდეგი ვარიანტის არჩევას: „აღდგენის წერტილების სკანირება YARA სახაზავით„ანალიზის დავალების კონფიგურაციის დროს. შემდეგ, მითითებულია წესების ფაილისკენ მიმავალი გზა (ჩვეულებრივ, გაფართოებით .yara ან .yar), რომელიც, როგორც წესი, ინახება სარეზერვო ასლის გადაწყვეტისთვის სპეციფიკურ კონფიგურაციის საქაღალდეში.“

შესრულების დროს, ძრავა იტერაციას უკეთებს ასლში შემავალ ობიექტებს, იყენებს წესებს და ის ყველა მატჩს კონკრეტულ YARA ანალიზის ჟურნალში აღრიცხავს.ადმინისტრატორს შეუძლია ამ ჟურნალების ნახვა კონსოლიდან, სტატისტიკის გადახედვა, რომელმა ფაილებმა გაააქტიურა შეტყობინება და კიდევ თვალყური ადევნოს, თუ რომელ მანქანებს და კონკრეტულ თარიღს შეესაბამება თითოეული დამთხვევა.

ეს ინტეგრაცია ავსებს სხვა მექანიზმებს, როგორიცაა ანომალიების აღმოჩენა, სარეზერვო ასლის ზომის მონიტორინგი, კონკრეტული IOC-ების ძიება ან საეჭვო ინსტრუმენტების ანალიზიმაგრამ როდესაც საქმე ეხება კონკრეტული გამოსასყიდის პროგრამების ოჯახის ან კამპანიისთვის მორგებულ წესებს, YARA საუკეთესო ინსტრუმენტია ამ ძიების დახვეწისთვის.

როგორ შეამოწმოთ და დაადასტუროთ YARA-ს წესები თქვენი ქსელის დარღვევის გარეშე

როგორც კი საკუთარი წესების წერას დაიწყებთ, შემდეგი მნიშვნელოვანი ნაბიჯი მათი საფუძვლიანი ტესტირებაა. ზედმეტად აგრესიულმა წესმა შეიძლება ცრუ დადებითი შედეგების ნაკადი გამოიწვიოს, ხოლო ზედმეტად უადგილო წესმა შეიძლება რეალური საფრთხეები გამოტოვოს.სწორედ ამიტომ, ტესტირების ფაზა ისეთივე მნიშვნელოვანია, როგორც წერის ფაზა.

კარგი ამბავი ის არის, რომ ამისათვის არ გჭირდებათ მოქმედი მავნე პროგრამებით სავსე ლაბორატორიის შექმნა და ქსელის ნახევრის ინფიცირება. უკვე არსებობს საცავები და მონაცემთა ნაკრებები, რომლებიც ამ ინფორმაციას გვთავაზობენ. ცნობილი და კონტროლირებადი მავნე პროგრამების ნიმუშები კვლევის მიზნებისთვისშეგიძლიათ ეს ნიმუშები იზოლირებულ გარემოში გადმოწეროთ და თქვენი წესების სატესტო პლატფორმად გამოიყენოთ.

ჩვეულებრივი მიდგომაა YARA-ს ლოკალურად, ბრძანების ხაზიდან, საეჭვო ფაილების შემცველი დირექტორიაში გაშვება. თუ თქვენი წესები ემთხვევა საჭირო ადგილს და სუფთა ფაილებში ძლივს არღვევს წესებს, სწორ გზაზე ხართ.თუ ისინი ძალიან ხშირად ამოქმედებენ, დროა გადახედოთ სტრიქონებს, დახვეწოთ პირობები ან შემოიღოთ დამატებითი შეზღუდვები (ზომა, იმპორტი, ოფსეტები და ა.შ.).

კიდევ ერთი მნიშვნელოვანი საკითხია იმის უზრუნველყოფა, რომ თქვენი წესები არ ზღუდავს მუშაობას. დიდი დირექტორიების, სრული სარეზერვო ასლების ან მასიური ნიმუშების კოლექციების სკანირებისას, ცუდად ოპტიმიზებულ წესებს შეუძლიათ ანალიზის შენელება ან სასურველზე მეტი რესურსის მოხმარება.ამიტომ, მიზანშეწონილია დროის გაზომვა, რთული გამოსახულებების გამარტივება და ზედმეტად მძიმე რეგულარული ფორმულირებების თავიდან აცილება.

ლაბორატორიული ტესტირების ამ ეტაპის გავლის შემდეგ, თქვენ შეძლებთ წესების პოპულარიზაცია წარმოების გარემოშიიქნება ეს თქვენს SIEM-ში, სარეზერვო ასლების სისტემებში, ელექტრონული ფოსტის სერვერებში თუ სხვაგან, სადაც გსურთ მათი ინტეგრირება. და არ დაგავიწყდეთ უწყვეტი განხილვის ციკლის შენარჩუნება: კამპანიების განვითარებასთან ერთად, თქვენს წესებს პერიოდული კორექტირება დასჭირდება.

ინსტრუმენტები, პროგრამები და სამუშაო პროცესი YARA-სთან ერთად.

ფაილების გარეშე ფაილების იდენტიფიცირება

ოფიციალური ბინარული ფაილის გარდა, ბევრმა პროფესიონალმა შეიმუშავა YARA-ს გარშემო არსებული მცირე პროგრამები და სკრიპტები მისი ყოველდღიური გამოყენების გასაადვილებლად. ტიპიური მიდგომა გულისხმობს აპლიკაციის შექმნას შექმენით თქვენი საკუთარი უსაფრთხოების ნაკრები რომელიც ავტომატურად კითხულობს საქაღალდეში არსებულ ყველა წესს და იყენებს მათ ანალიზის დირექტორიაში.

ამ ტიპის ხელნაკეთი ხელსაწყოები, როგორც წესი, მარტივი დირექტორიის სტრუქტურით მუშაობს: ერთი საქაღალდე ინტერნეტიდან გადმოწერილი წესები (მაგალითად, „rulesyar“) და კიდევ ერთი საქაღალდე საეჭვო ფაილები, რომლებიც გაანალიზდება (მაგალითად, „მავნე პროგრამა“). პროგრამის გაშვებისას ის ამოწმებს ორივე საქაღალდის არსებობას, ეკრანზე აჩვენებს წესებს და ემზადება შესასრულებლად.

როდესაც დააჭერთ ღილაკს, როგორიცაა „დადასტურების დაწყებაშემდეგ აპლიკაცია ხსნის YARA-ს შესრულებად ფაილს სასურველი პარამეტრებით: საქაღალდეში არსებული ყველა ფაილის სკანირება, ქვედირექტორიების რეკურსიული ანალიზი, სტატისტიკის გამოტანა, მეტამონაცემების ბეჭდვა და ა.შ. ნებისმიერი დამთხვევა ნაჩვენებია შედეგების ფანჯარაში, რაც მიუთითებს, თუ რომელი ფაილი ემთხვეოდა რომელ წესს.

ექსკლუზიური შინაარსი - დააწკაპუნეთ აქ Como Reconocer Un Billete Falso De 500

ეს სამუშაო პროცესი, მაგალითად, საშუალებას იძლევა აღმოაჩინოს პრობლემები ექსპორტირებული ელფოსტის პაკეტში. ერთი შეხედვით უვნებელ ფაილებში დამალული მავნე ჩაშენებული სურათები, სახიფათო დანართები ან ვებ გარსებიკორპორატიულ გარემოში ჩატარებული მრავალი სასამართლო გამოძიება სწორედ ამ ტიპის მექანიზმს ეყრდნობა.

YARA-ს გამოძახებისას ყველაზე სასარგებლო პარამეტრებთან დაკავშირებით, გამოირჩევა შემდეგი ვარიანტები: -r რეკურსიული ძიებისთვის, -S სტატისტიკის საჩვენებლად, -m მეტამონაცემების ამოსაღებად და -w გაფრთხილებების იგნორირებისთვისამ დროშების გაერთიანებით, თქვენ შეგიძლიათ შეცვალოთ ქცევა თქვენს შემთხვევაში: კონკრეტულ დირექტორიაში სწრაფი ანალიზიდან დაწყებული, რთული საქაღალდის სტრუქტურის სრული სკანირებით დამთავრებული.

საუკეთესო პრაქტიკა YARA-ს წესების წერისა და შენარჩუნებისას

იმისათვის, რომ თქვენი წესების საცავი უმართავ არეულობად არ იქცეს, მიზანშეწონილია გამოიყენოთ საუკეთესო პრაქტიკის სერია. პირველი არის თანმიმდევრული შაბლონებითა და სახელდების კონვენციებით მუშაობარათა ნებისმიერ ანალიტიკოსს ერთი შეხედვით შეეძლოს იმის გაგება, თუ რას აკეთებს თითოეული წესი.

ბევრი გუნდი იყენებს სტანდარტულ ფორმატს, რომელიც მოიცავს სათაური მეტამონაცემებით, საფრთხის ტიპის, მოქმედი პირის ან პლატფორმის მითითებით და აღმოჩენილი მონაცემების მკაფიო აღწერითეს არა მხოლოდ შიდა გამოყენებისთვის დაგეხმარებათ, არამედ მაშინაც, როდესაც წესებს საზოგადოებას უზიარებთ ან საჯარო საცავებში წვლილს შეიტანთ.

კიდევ ერთი რეკომენდაციაა, რომ ყოველთვის გახსოვდეთ, რომ YARA თავდაცვის კიდევ ერთი ფენააის არ ცვლის ანტივირუსულ პროგრამულ უზრუნველყოფას ან EDR-ს, არამედ ავსებს მათ სტრატეგიებში. დაიცავით თქვენი Windows კომპიუტერიიდეალურ შემთხვევაში, YARA უნდა ჯდებოდეს უფრო ფართო საცნობარო ჩარჩოებში, როგორიცაა NIST ჩარჩო, რომელიც ასევე მოიცავს აქტივების იდენტიფიკაციას, დაცვას, აღმოჩენას, რეაგირებას და აღდგენას.

ტექნიკური თვალსაზრისით, ღირს დროის დათმობა evitar falsos positivosეს გულისხმობს ზედმეტად ზოგადი სტრიქონების თავიდან აცილებას, რამდენიმე პირობის გაერთიანებას და ისეთი ოპერატორების გამოყენებას, როგორიცაა all of o any of გამოიყენეთ თქვენი გონება და ისარგებლეთ ფაილის სტრუქტურული თვისებებით. რაც უფრო კონკრეტულია მავნე პროგრამის ქცევის ლოგიკა, მით უკეთესი.

და ბოლოს, შეინარჩუნეთ დისციპლინა ვერსიონირება და პერიოდული მიმოხილვა ეს უმნიშვნელოვანესია. მავნე პროგრამების ოჯახები ვითარდება, ინდიკატორები იცვლება და დღეს მოქმედი წესები შეიძლება არასაკმარისი ან მოძველებული გახდეს. თქვენი წესების ნაკრების პერიოდული გადახედვა და დახვეწა კიბერუსაფრთხოების „კატა-თაგვის“ თამაშის ნაწილია.

YARA-ს საზოგადოება და ხელმისაწვდომი რესურსები

YARA-ს აქამდე მიღწევის ერთ-ერთი მთავარი მიზეზი მისი საზოგადოების სიძლიერეა. მთელი მსოფლიოდან მკვლევარები, უსაფრთხოების ფირმები და რეაგირების ჯგუფები განუწყვეტლივ იზიარებენ წესებს, მაგალითებსა და დოკუმენტაციას.ძალიან მდიდარი ეკოსისტემის შექმნა.

მთავარი საცნობარო წერტილი არის YARA-ს ოფიციალური საცავი GitHub-ზეიქ თქვენ იხილავთ ხელსაწყოს უახლეს ვერსიებს, საწყის კოდს და დოკუმენტაციის ბმულებს. იქიდან შეგიძლიათ თვალყური ადევნოთ პროექტის პროგრესს, შეატყობინოთ პრობლემების შესახებ ან შეიტანოთ წვლილი გაუმჯობესებებში, თუ გსურთ.

ოფიციალური დოკუმენტაცია, რომელიც ხელმისაწვდომია ისეთ პლატფორმებზე, როგორიცაა ReadTheDocs, გთავაზობთ სრული სინტაქსის სახელმძღვანელო, ხელმისაწვდომი მოდულები, წესების მაგალითები და გამოყენების ცნობებიეს არის აუცილებელი რესურსი ყველაზე მოწინავე ფუნქციების, როგორიცაა PE შემოწმება, ELF, მეხსიერების წესები ან სხვა ინსტრუმენტებთან ინტეგრაცია, გამოყენებისთვის.

გარდა ამისა, არსებობს YARA-ს წესებისა და ხელმოწერების საზოგადოებრივი საცავი, სადაც მთელი მსოფლიოდან ანალიტიკოსები ისინი აქვეყნებენ მზა კოლექციებს ან კოლექციებს, რომელთა ადაპტირება თქვენს საჭიროებებზეა შესაძლებელი.ეს საცავები, როგორც წესი, მოიცავს წესებს კონკრეტული მავნე პროგრამების ოჯახებისთვის, ექსპლოიტების ნაკრებებისთვის, მავნედ გამოყენებული შეღწევადობის ტესტირების ხელსაწყოებისთვის, ვებშელილებისთვის, კრიპტომაინერებისთვის და სხვა მრავალისთვის.

პარალელურად, ბევრი მწარმოებელი და კვლევითი ჯგუფი გვთავაზობს სპეციფიკური ტრენინგი YARA-ში, საბაზისო დონიდან ძალიან მოწინავე კურსებამდეეს ინიციატივები ხშირად მოიცავს ვირტუალურ ლაბორატორიებს და რეალურ სცენარებზე დაფუძნებულ პრაქტიკულ სავარჯიშოებს. ზოგიერთი მათგანი უფასოდაც კი სთავაზობენ არაკომერციულ ორგანიზაციებს ან ორგანიზაციებს, რომლებიც განსაკუთრებით დაუცველები არიან მიზნობრივი თავდასხმების მიმართ.

მთელი ეს ეკოსისტემა ნიშნავს, რომ მცირე თავდადებით, შეგიძლიათ თქვენი პირველი ძირითადი წესების დაწერიდან გადახვიდეთ შეიმუშავეთ დახვეწილი კომპლექტები, რომლებსაც შეუძლიათ რთული კამპანიების თვალყურის დევნება და უპრეცედენტო საფრთხეების აღმოჩენადა, YARA-ს ტრადიციულ ანტივირუსთან, უსაფრთხო სარეზერვო ასლთან და საფრთხეების ინტელექტთან შერწყმით, თქვენ მნიშვნელოვნად ართულებთ ინტერნეტში დახეტიალ მავნე აქტორების საქმეს.

ყოველივე ზემოთქმულიდან გამომდინარე, ცხადია, რომ YARA გაცილებით მეტია, ვიდრე უბრალოდ ბრძანების ხაზის პროგრამა: ის არის pieza clave ნებისმიერ მოწინავე მავნე პროგრამების აღმოჩენის სტრატეგიაში, მოქნილი ინსტრუმენტი, რომელიც ადაპტირდება თქვენი, როგორც ანალიტიკოსის, აზროვნების წესთან და საერთო ენა რომელიც აკავშირებს ლაბორატორიებს, SOC-ებსა და კვლევით საზოგადოებებს მთელ მსოფლიოში, რაც თითოეულ ახალ წესს საშუალებას აძლევს, დაამატოს დაცვის კიდევ ერთი ფენა სულ უფრო დახვეწილი კამპანიებისგან.

დაკავშირებული სტატია:

როგორ ამოვიცნოთ საშიში უფაილო მავნე პროგრამა Windows 11-ში

კრისტიან გარსია

ბავშვობიდან გატაცებული იყო ტექნოლოგიებით. მე მიყვარს სექტორში სიახლეები და, უპირველეს ყოვლისა, კომუნიკაცია. სწორედ ამიტომ მე მრავალი წელია მიძღვნილი კომუნიკაციას ტექნოლოგიებისა და ვიდეო თამაშების ვებსაიტებზე. შეგიძლიათ მომძებნოთ, ვწერ Android-ზე, Windows-ზე, MacOS-ზე, iOS-ზე, Nintendo-ზე ან სხვა დაკავშირებულ თემაზე, რომელიც მახსენდება.