Жетілдірілген зиянды бағдарламаларды анықтау үшін YARA қалай пайдалануға болады

¿Жетілдірілген зиянды бағдарламаларды анықтау үшін YARA қалай пайдалануға болады? Дәстүрлі антивирустық бағдарламалар өз шегіне жеткенде және шабуылдаушылар барлық ықтимал сынықтардан өтіп кеткенде, инциденттерге жауап беру зертханаларында таптырмас құрал іске қосылады: YARA, зиянды бағдарламаларды аулауға арналған «швейцариялық пышақ».Мәтіндік және екілік үлгілерді пайдалана отырып, зиянды бағдарламалық жасақтаманың отбасыларын сипаттауға арналған ол қарапайым хэштерді сәйкестендіруден әлдеқайда жоғары өтуге мүмкіндік береді.

Оң қолдарда YARA тек орналасу үшін ғана емес белгілі зиянды бағдарлама үлгілері ғана емес, сонымен қатар жаңа нұсқалар, нөлдік күндік эксплойттар және тіпті коммерциялық шабуылдау құралдарыБұл мақалада біз YARA-ны кеңейтілген зиянды бағдарламаларды анықтау үшін қалай пайдалану керектігін, сенімді ережелерді қалай жазу керектігін, оларды қалай сынау керектігін, оларды Veeam немесе өзіңіздің талдау жұмыс үрдісіңіз сияқты платформаларға қалай біріктіру керектігін және кәсіби қауымдастық қандай ең жақсы тәжірибелерді ұстанатынын терең және іс жүзінде қарастырамыз.

YARA дегеніміз не және ол зиянды бағдарламаны анықтауда неге соншалықты күшті?

YARA «Тағы бір рекурсивті аббревиатура» дегенді білдіреді және қауіпті талдаудың іс жүзінде стандартына айналды, өйткені Ол оқылатын, түсінікті және жоғары икемді ережелерді пайдалана отырып, зиянды бағдарламалар тобын сипаттауға мүмкіндік береді.Тек статикалық антивирустық қолтаңбаларға сенудің орнына, YARA сіз өзіңіз анықтайтын үлгілермен жұмыс істейді.

Негізгі идея қарапайым: YARA ережесі файлды (немесе жадты немесе деректер ағынын) тексереді және бірқатар шарттар орындалғанын тексереді. мәтін жолдарына, он алтылық реттіліктерге, тұрақты өрнектерге немесе файл сипаттарына негізделген шарттарШарт орындалса, «сәйкестік» бар және ескертуге, блоктауға немесе тереңірек талдау жасауға болады.

Бұл тәсіл қауіпсіздік топтарына мүмкіндік береді Зиянды бағдарламалардың барлық түрлерін анықтаңыз және жіктеңіз: классикалық вирустар, құрттар, трояндар, ransomware, веб-қабықтар, криптоминерлер, зиянды макростар және т.б.Ол белгілі бір файл кеңейтімдерімен немесе пішімдерімен шектелмейді, сондықтан ол .pdf кеңейтімі бар жасырын орындалатын файлды немесе веб-қабығы бар HTML файлын анықтайды.

Сонымен қатар, YARA киберқауіпсіздік экожүйесінің көптеген негізгі қызметтері мен құралдарымен біріктірілген: VirusTotal, Cuckoo сияқты құм жәшіктері, Veeam сияқты сақтық көшірме платформалары немесе жоғары деңгейлі өндірушілердің қауіпті аңшылық шешімдеріСондықтан YARA-ны меңгеру озық сарапшылар мен зерттеушілер үшін дерлік талапқа айналды.

Зиянды бағдарламаларды анықтауда YARA қолданудың кеңейтілген жағдайлары

YARA-ның күшті жақтарының бірі - ол SOC-тен зиянды бағдарлама зертханасына дейін көптеген қауіпсіздік сценарийлеріне қолғап сияқты бейімделеді. Бір реттік аң аулауға да, үздіксіз бақылауға да бірдей ережелер қолданылады..

Ең тікелей жағдай жасауды қамтиды белгілі бір зиянды бағдарламаларға немесе тұтас отбасыларға арналған арнайы ережелерҰйымыңызға белгілі отбасына негізделген науқан шабуыл жасаса (мысалы, қашықтан қатынау трояны немесе APT қаупі), жаңа қатысты үлгілерді жылдам анықтайтын сипаттамалық жолдар мен үлгілерді профильдеуге және ережелерді көтеруге болады.

Тағы бір классикалық пайдалану фокус болып табылады YARA қол қоюға негізделгенБұл ережелер хэштерді, өте нақты мәтін жолдарын, код үзінділерін, тізілім кілттерін немесе бір зиянды бағдарламаның бірнеше нұсқаларында қайталанатын нақты байт тізбектерін анықтауға арналған. Дегенмен, тривиальды жолдарды ғана іздесеңіз, жалған позитивтерді жасау қаупі бар екенін есте сақтаңыз.

YARA сонымен қатар сүзгілеуге келгенде жарқырайды файл түрлері немесе құрылымдық сипаттамаларыЖолдарды файл өлшемі, арнайы тақырыптар (мысалы, PE орындалатын файлдар үшін 0x5A4D) немесе күдікті функция импорттары сияқты сипаттармен біріктіру арқылы PE орындалатын файлдарына, кеңсе құжаттарына, PDF файлдарына немесе іс жүзінде кез келген пішімге қолданылатын ережелерді жасауға болады.

Заманауи орталарда оны пайдалану байланысты inteligencia de amenazasҚоғамдық репозиторийлер, зерттеу есептері және ХОК арналары SIEM, EDR, сақтық көшірме платформаларына немесе құм жәшіктеріне біріктірілген YARA ережелеріне аударылады. Бұл ұйымдарға мүмкіндік береді талданған науқандармен сипаттамаларды бөлісетін пайда болатын қауіптерді жылдам анықтау.

YARA ережелерінің синтаксисін түсіну

YARA синтаксисі C тіліне өте ұқсас, бірақ қарапайым және көбірек бағытталған. Әрбір ереже атаудан, қосымша метадеректер бөлімінен, жол бөлімінен және міндетті түрде шарт бөлімінен тұрады.Осы сәттен бастап күш сіз мұның барлығын қалай біріктіргеніңізде.

Lo primero es el ереже атауыОл кілт сөзден кейін тұруы керек rule (o regla Егер сіз испан тілінде құжат жасасаңыз, файлдағы кілт сөз болады ruleжәне жарамды идентификатор болуы керек: бос орындар, сан және астын сызу жоқ. Нақты конвенцияны ұстанған дұрыс, мысалы, бір нәрсе Зиянды бағдарламалық қамтамасыз ету_отбасы_нұсқасы o APT_Actor_Tool, ол нені анықтауға арналғанын бір қарағанда анықтауға мүмкіндік береді.

Келесі бөлім келеді stringsонда сіз іздегіңіз келетін үлгілерді анықтайсыз. Мұнда сіз үш негізгі түрді пайдалана аласыз: мәтін жолдары, он алтылық реттіліктер және тұрақты өрнектерМәтін жолдары адам оқи алатын код үзінділері, URL мекенжайлары, ішкі хабарлар, жол атаулары немесе PDB үшін өте қолайлы. Он алтылық сандар шикі байт үлгілерін түсіруге мүмкіндік береді, бұл код түсініксіз болған кезде өте пайдалы, бірақ белгілі бір тұрақты тізбектерді сақтайды.

Әдеттегі өрнектер домендерді өзгерту немесе кодтың сәл өзгертілген бөліктері сияқты жолдағы шағын вариацияларды қамту қажет болғанда икемділікті қамтамасыз етеді. Сонымен қатар, жолдар да, regex екеуі де қашып кетулерге ерікті байтты көрсетуге мүмкіндік береді, бұл өте дәл гибридті үлгілерге есік ашады.

La sección condition Ол жалғыз міндетті болып табылады және ереже файлға «сәйкес» деп қарастырылатын уақытты анықтайды. Мұнда логикалық және арифметикалық амалдарды қолданасыз (және, немесе, емес, +, -, *, /, кез келген, барлығы, құрамында, т.б.) қарапайым "егер бұл жол пайда болса" дегеннен гөрі дәлірек анықтау логикасын білдіру үшін.

Мысалы, файл белгілі бір өлшемнен кішірек болса, барлық маңызды жолдар пайда болса немесе бірнеше жолдың кем дегенде біреуі болса ғана ереженің жарамды екенін көрсетуге болады. Сондай-ақ, жол ұзындығы, сәйкестіктер саны, файлдағы нақты ығысулар немесе файлдың өзі сияқты шарттарды біріктіруге болады.Мұнда шығармашылық жалпы ережелер мен хирургиялық анықтаулар арасындағы айырмашылықты жасайды.

Соңында сізде қосымша бөлім бар metaМерзімді құжаттау үшін өте қолайлы. қосу әдеттегідей авторы, жасалған күні, сипаттамасы, ішкі нұсқасы, есептерге немесе билеттерге сілтеме және жалпы алғанда, репозиторийді ұйымдасқан және басқа талдаушылар үшін түсінікті сақтауға көмектесетін кез келген ақпарат.

Жетілдірілген YARA ережелерінің практикалық мысалдары

Жоғарыда айтылғандардың барлығын перспективаға келтіру үшін қарапайым ереженің қалай құрылымдалғанын және орындалатын файлдар, күдікті импорттаулар немесе қайталанатын нұсқаулар тізбегі іске қосылғанда оның қалай күрделене түсетінін көру пайдалы. Ойыншық сызғыштан бастайық және бірте-бірте өлшемін үлкейтейік..

Ең аз ереже тек жолды және оны міндетті ететін шартты қамтуы мүмкін. Мысалы, белгілі бір мәтін жолын немесе зиянды бағдарлама фрагментінің байт реттілігін іздеуге болады. Бұл жағдайда шарт сол жол немесе үлгі пайда болса, ереже орындалатынын жай ғана көрсетеді., қосымша сүзгілерсіз.

Дегенмен, нақты әлем параметрлерінде бұл жеткіліксіз, өйткені Қарапайым тізбектер жиі көптеген жалған позитивтерді тудырадыСондықтан бірнеше жолдарды (мәтіндік және он алтылық) қосымша шектеулермен біріктіру әдеттегідей: файлдың белгілі бір өлшемнен аспауы, оның құрамында арнайы тақырыптар болуы немесе әрбір анықталған топтан кем дегенде бір жол табылған жағдайда ғана белсендірілуі.

PE орындалатын талдаудағы әдеттегі мысал модульді импорттауды қамтиды pe екілік файлдың ішкі сипаттарын сұрауға мүмкіндік беретін YARA жүйесінен: импортталған функциялар, бөлімдер, уақыт белгілері және т.б.. Қосымша ереже файлды импорттауды талап етуі мүмкін. Процесс жасау desde Kernel32.dll және кейбір HTTP функциясынан wininet.dll, зиянды әрекетті көрсететін арнайы жолды қамтитын қосымша.

Логиканың бұл түрі орынды анықтауға өте ыңғайлы Қашықтан қосылу немесе эксфильтрация мүмкіндіктері бар трояндартіпті файл атаулары немесе жолдар бір науқаннан екіншісіне өзгерсе де. Маңыздысы - негізгі әрекетке назар аудару: процесті құру, HTTP сұраулары, шифрлау, тұрақтылық және т.б.

Тағы бір өте тиімді әдіс - бұл қарау қайталанатын нұсқаулар тізбегі бір отбасынан алынған үлгілер арасында. Зиянкестер екілік файлды буып немесе жасырса да, олар өзгертуге қиын код бөліктерін жиі қайта пайдаланады. Егер статикалық талдаудан кейін нұсқаулардың тұрақты блоктарын тапсаңыз, онымен ереже құрастыруға болады он алтылық жолдардағы қойылмалы таңбалар бұл белгілі бір төзімділікті сақтай отырып, сол үлгіні түсіреді.

Осы «кодтық мінез-құлыққа негізделген» ережелермен бұл мүмкін PlugX/Korplug немесе басқа APT отбасылары сияқты зиянды бағдарлама науқандарын бақылаңызСіз тек белгілі бір хэшті анықтап қана қоймайсыз, бірақ сіз шабуылдаушылардың әзірлеу стилінен кейін жүресіз.

YARA-ны нақты науқандарда және нөлдік күндік қауіптерде пайдалану

YARA классикалық қорғаныс механизмдері тым кеш келетін жетілдірілген қауіптер мен нөлдік күндік эксплойттар саласында өзінің құндылығын дәлелдеді. Белгілі мысал - YARA-ны Silverlight-тағы эксплойтты табу үшін минималды ағып кеткен барлау деректерінен табу..

Бұл жағдайда, қорлау құралдарын әзірлеуге арналған компаниядан ұрланған электрондық хаттардан белгілі бір эксплуатқа бағытталған ережені құру үшін жеткілікті үлгілер шығарылды. Осы бір ережемен зерттеушілер үлгіні күдікті файлдар теңізі арқылы бақылай алды.Эксплуатацияны анықтаңыз және одан да ауыр зақымдануды болдырмай, оны түзетуге мәжбүр етіңіз.

Бұл әңгімелер YARA қалай жұмыс істейтінін көрсетеді файлдар теңізіндегі балық аулау торыКорпоративтік желіңізді барлық түрдегі «балықтарға» (файлдарға) толы мұхит ретінде елестетіңіз. Сіздің ережелеріңіз трал торындағы бөліктерге ұқсайды: әрбір бөлімде белгілі бір сипаттамаларға сәйкес келетін балық сақталады.

Сіз сүйреуді аяқтаған кезде, сізде бар нақты отбасыларға немесе шабуылдаушылардың топтарына ұқсастығы бойынша топтастырылған үлгілер: “X түріне ұқсас”, “Ү түріне ұқсас” т.б. Бұл үлгілердің кейбірі сіз үшін мүлдем жаңа болуы мүмкін (жаңа екілік файлдар, жаңа науқандар), бірақ олар белгілі үлгіге сәйкес келеді, бұл сіздің жіктеуіңізді және жауапыңызды жылдамдатады.

Осы тұрғыда YARA-дан барынша пайда алу үшін көптеген ұйымдар біріктіреді біліктілікті арттыру, тәжірибелік зертханалар және басқарылатын эксперимент орталарыКөбінесе кибер тыңшылықтың нақты жағдайларына негізделген, тек жақсы ережелерді жазу өнеріне арналған жоғары мамандандырылған курстар бар, оларда студенттер шынайы үлгілермен жаттығады және олар не іздеп жатқанын нақты білмесе де, «бір нәрсені» іздеуді үйренеді.

YARA-ны сақтық көшірме және қалпына келтіру платформаларына біріктіріңіз

YARA тамаша сәйкес келетін және жиі байқалмайтын саланың бірі - сақтық көшірмелерді қорғау. Сақтық көшірмелер зиянды бағдарламамен немесе төлемдік бағдарламамен жұқтырылған болса, қалпына келтіру бүкіл науқанды қайта бастауы мүмкін.Сондықтан кейбір өндірушілер YARA қозғалтқыштарын өз шешімдеріне тікелей енгізді.

Келесі ұрпақтың резервтік платформаларын іске қосуға болады Қалпына келтіру нүктелеріндегі YARA ережесіне негізделген талдау сеанстарыМақсат екі жақты: оқиға алдындағы соңғы «таза» нүктені табу және басқа тексерулер арқылы іске қосылмаған файлдарда жасырылған зиянды мазмұнды анықтау.

Бұл орталарда әдеттегі процесс « опциясын таңдауды қамтиды.YARA сызғышымен қалпына келтіру нүктелерін сканерлеңіз"талдау тапсырмасын конфигурациялау кезінде. Содан кейін ережелер файлына жол көрсетіледі (әдетте .yara немесе .yar кеңейтімімен), ол әдетте сақтық көшірме шешіміне тән конфигурация қалтасында сақталады."

Орындау кезінде қозғалтқыш көшірмедегі нысандар арқылы итерацияланады, ережелерді қолданады және Ол барлық сәйкестіктерді арнайы YARA талдау журналында жазады.Әкімші бұл журналдарды консольден көре алады, статистиканы қарай алады, қандай файлдар ескертуді іске қосқанын көре алады және тіпті әр сәйкестіктің қай машиналар мен нақты күнді бақылай алады.

Бұл интеграция басқа механизмдермен толықтырылады, мысалы аномалияны анықтау, сақтық көшірме өлшемін бақылау, нақты IOC іздеу немесе күдікті құралдарды талдауБірақ белгілі бір төлем бағдарламасының отбасына немесе науқанына бейімделген ережелерге келетін болсақ, YARA бұл іздеуді нақтылаудың ең жақсы құралы болып табылады.

Желіңізді бұзбай YARA ережелерін қалай тексеруге және тексеруге болады

Сіз өзіңіздің ережелеріңізді жаза бастағаннан кейін, келесі маңызды қадам - ​​оларды мұқият тексеру. Тым агрессивті ереже жалған позитивтердің тасқынын тудыруы мүмкін, ал тым жеңіл ереже нақты қауіптердің өтуіне мүмкіндік береді.Сондықтан тестілеу кезеңі жазу кезеңі сияқты маңызды.

Жақсы жаңалық - бұл әрекетті орындау үшін жұмыс істейтін зиянды бағдарламаларға толы зертхананы орнатудың және желінің жартысын жұқтырудың қажеті жоқ. Бұл ақпаратты ұсынатын репозиторийлер мен деректер жиындары бұрыннан бар. зерттеу мақсатында белгілі және басқарылатын зиянды бағдарлама үлгілеріСіз бұл үлгілерді оқшауланған ортаға жүктеп алып, оларды ережелеріңіз үшін сынақ алаңы ретінде пайдалана аласыз.

Әдеттегі әдіс - YARA-ны жергілікті түрде, пәрмен жолынан, күдікті файлдары бар каталогқа қарсы іске қосу. Егер сіздің ережелеріңіз олар қажет жерге сәйкес келсе және таза файлдарда әрең бұзылса, сіз дұрыс жолдасыз.Егер олар тым көп іске қосылса, жолдарды қарап шығу, шарттарды нақтылау немесе қосымша шектеулерді (өлшем, импорт, ығыстыру және т.б.) енгізу уақыты келді.

Тағы бір маңызды мәселе - сіздің ережелеріңіз өнімділікке нұқсан келтірмеуін қамтамасыз ету. Үлкен каталогтарды, толық сақтық көшірмелерді немесе ауқымды үлгі жинақтарын сканерлеген кезде, Нашар оңтайландырылған ережелер талдауды баяулатады немесе қажеттіден көбірек ресурстарды тұтынуы мүмкін.Сондықтан уақытты өлшеу, күрделі өрнектерді жеңілдету және шамадан тыс ауыр регекстен аулақ болу ұсынылады.

Зертханалық сынақ кезеңінен өткеннен кейін сіз жасай аласыз Өндірістік ортаға ережелерді жылжытыңызОл SIEM жүйесінде, сақтық көшірме жүйелерінде, электрондық пошта серверлерінде немесе оларды біріктіргіңіз келетін жерде болсын. Үздіксіз шолу циклін сақтауды ұмытпаңыз: науқандар дамып келе жатқанда, ережелеріңізге мерзімді түзетулер қажет болады.

YARA-мен құралдар, бағдарламалар және жұмыс процесі

Ресми екілік жүйеден басқа, көптеген мамандар күнделікті пайдалануды жеңілдету үшін YARA айналасында шағын бағдарламалар мен сценарийлерді әзірледі. Әдеттегі тәсіл қолданбаны жасауды қамтиды өз қауіпсіздік жинағын жинаңыз қалтадағы барлық ережелерді автоматты түрде оқиды және оларды талдау каталогына қолданады.

Үй құралдарының бұл түрлері әдетте қарапайым каталог құрылымымен жұмыс істейді: бір қалта ережелер интернеттен жүктеп алынған (мысалы, «rulesyar») және басқа қалта үшін талданатын күдікті файлдар (мысалы, «зиянды бағдарлама»). Бағдарлама іске қосылғанда, ол екі қалтаны да бар-жоғын тексереді, экрандағы ережелерді тізімдейді және орындауға дайындалады.

« сияқты түймені басқан кездеТексеруді бастаңызСодан кейін қолданба қажетті параметрлері бар YARA орындалатын файлын іске қосады: қалтадағы барлық файлдарды сканерлеу, ішкі каталогтарды рекурсивті талдау, статистиканы шығару, метадеректерді басып шығару және т.б. Кез келген сәйкестіктер қай файлдың қай ережеге сәйкес келетінін көрсететін нәтижелер терезесінде көрсетіледі.

Бұл жұмыс процесі, мысалы, экспортталған электрондық пошталар топтамасындағы мәселелерді анықтауға мүмкіндік береді. Зиянды ендірілген кескіндер, қауіпті тіркемелер немесе зиянсыз болып көрінетін файлдарда жасырылған веб-қабықтарКорпоративтік ортадағы көптеген сот сараптамалары дәл осы механизм түріне сүйенеді.

YARA шақыру кезіндегі ең пайдалы параметрлерге келетін болсақ, келесі опциялар ерекшеленеді: -r рекурсивті іздеу үшін, -S статистиканы көрсету үшін, -m метадеректерді шығару үшін және -w ескертулерді елемеу үшінОсы жалаушаларды біріктіру арқылы сіз өзіңіздің жағдайыңызға әрекетті реттей аласыз: нақты каталогтағы жылдам талдаудан күрделі қалта құрылымын толық сканерлеуге дейін.

YARA ережелерін жазу және сақтаудағы ең жақсы тәжірибелер

Ережелер репозиторийінің басқарылмайтын тәртіпсіздікке айналуын болдырмау үшін ең жақсы тәжірибелер қатарын қолданған жөн. Біріншісі - дәйекті үлгілермен және атау конвенцияларымен жұмыс істеукез келген талдаушы әрбір ереженің не істейтінін бір қарағанда түсінуі үшін.

Көптеген командалар стандартты форматты қабылдайды, оның ішінде метадеректері бар тақырып, қауіп түрін, актерді немесе платформаны көрсететін тегтер және анықталатын нәрсенің нақты сипаттамасыБұл тек ішкі жүйеде ғана емес, сонымен қатар ережелерді қауымдастықпен бөліскенде немесе жалпы репозиторийлерге үлес қосқанда да көмектеседі.

Тағы бір ұсыныс - бұл әрқашан есте сақтау YARA - бұл қорғаныстың тағы бір қабатыОл антивирустық бағдарламалық жасақтаманы немесе EDR-ді алмастырмайды, керісінше оларды стратегияларда толықтырады Windows компьютеріңізді қорғаңызЕң дұрысы, YARA активті сәйкестендіру, қорғау, анықтау, жауап беру және қалпына келтіру мәселелерін қарастыратын NIST жүйесі сияқты кеңірек анықтамалық жүйелерге сәйкес келуі керек.

Техникалық тұрғыдан алғанда, оған уақыт бөлу керек evitar falsos positivosБұл тым жалпы жолдардан аулақ болуды, бірнеше шарттарды біріктіруді және сияқты операторларды пайдалануды қамтиды all of o any of Басыңызды пайдаланыңыз және файлдың құрылымдық қасиеттерін пайдаланыңыз. Зиянды бағдарламаның әрекетіне қатысты логика неғұрлым нақты болса, соғұрлым жақсы.

Соңында, тәртіпті сақтаңыз нұсқасын жасау және мерзімді шолу Бұл шешуші. Зиянды бағдарламалар тобы дамиды, көрсеткіштер өзгереді және бүгінгі күні жұмыс істейтін ережелер жетіспеуі немесе ескіруі мүмкін. Ережелер жинағын мерзімді түрде қарап шығу және нақтылау киберқауіпсіздіктің мысық пен тышқан ойынының бөлігі болып табылады.

YARA қауымдастығы және қол жетімді ресурстар

YARA-ның осы уақытқа дейін жетуінің басты себептерінің бірі - оның қауымдастығының күші. Дүние жүзіндегі зерттеушілер, қауіпсіздік фирмалары және жауап беру топтары ережелерді, мысалдарды және құжаттамаларды үздіксіз бөліседі.өте бай экожүйені құру.

Негізгі анықтамалық нүкте болып табылады GitHub-тағы YARA ресми репозиторийіОнда құралдың соңғы нұсқаларын, бастапқы кодты және құжаттамаға сілтемелерді табасыз. Осы жерден жобаның орындалу барысын бақылай аласыз, мәселелер туралы есеп бере аласыз немесе қаласаңыз, жақсартуға үлес қоса аласыз.

ReadTheDocs сияқты платформаларда қолжетімді ресми құжаттама ұсынады толық синтаксистік нұсқаулық, қолжетімді модульдер, ереже мысалдары және пайдалану сілтемелеріБұл PE инспекциясы, ELF, жад ережелері немесе басқа құралдармен біріктіру сияқты ең жетілдірілген функцияларды пайдалану үшін маңызды ресурс болып табылады.

Сонымен қатар, YARA ережелері мен қолтаңбаларының қауымдастық репозиторийлері бар, онда бүкіл әлемнен талдаушылар Олар сіздің қажеттіліктеріңізге бейімделуі мүмкін пайдалануға дайын жинақтарды немесе жинақтарды басып шығарады.Бұл репозиторийлер әдетте белгілі бір зиянды бағдарламалар отбасыларына арналған ережелерді, эксплуатациялық жинақтарды, зиянды түрде пайдаланылған пентестинг құралдарын, веб-қабаттарды, криптоминерлерді және т.б. қамтиды.

Сонымен қатар, көптеген өндірушілер мен зерттеу топтары ұсынады YARA-да негізгі деңгейлерден бастап өте жоғары курстарға дейін арнайы дайындықБұл бастамалар көбінесе виртуалды зертханаларды және нақты әлем сценарийлеріне негізделген практикалық жаттығуларды қамтиды. Кейбіреулер тіпті коммерциялық емес ұйымдарға немесе мақсатты шабуылдарға әсіресе осал ұйымдарға тегін ұсынылады.

Бұл бүкіл экожүйе сізге аздап берілу арқылы алғашқы негізгі ережелерді жазудан бастап өтуге болатынын білдіреді күрделі науқандарды бақылай алатын және бұрын-соңды болмаған қауіптерді анықтай алатын күрделі люкстерді әзірлеуYARA-ны дәстүрлі антивируспен, қауіпсіз сақтық көшірмемен және қауіп барлауымен біріктіру арқылы сіз интернетте роуминг жасайтын зиянды әрекеттерді айтарлықтай қиындатасыз.

Жоғарыда айтылғандардың барлығымен YARA қарапайым пәрмен жолы утилитасынан әлдеқайда көп екені анық: бұл pieza clave зиянды бағдарламаларды анықтаудың кез келген кеңейтілген стратегиясында талдаушы ретінде ойлау тәсіліне бейімделетін икемді құрал және ортақ тіл ол бүкіл әлемдегі зертханаларды, SOC және зерттеу қауымдастықтарын байланыстырады, бұл әрбір жаңа ережеге барған сайын күрделі науқандардан қорғаныстың тағы бір қабатын қосуға мүмкіндік береді.