ಸುಧಾರಿತ ಮಾಲ್‌ವೇರ್ ಪತ್ತೆಗಾಗಿ YARA ಅನ್ನು ಹೇಗೆ ಬಳಸುವುದು

¿ಸುಧಾರಿತ ಮಾಲ್‌ವೇರ್ ಪತ್ತೆಗಾಗಿ YARA ಅನ್ನು ಹೇಗೆ ಬಳಸುವುದು? ಸಾಂಪ್ರದಾಯಿಕ ಆಂಟಿವೈರಸ್ ಪ್ರೋಗ್ರಾಂಗಳು ತಮ್ಮ ಮಿತಿಗಳನ್ನು ತಲುಪಿದಾಗ ಮತ್ತು ದಾಳಿಕೋರರು ಪ್ರತಿಯೊಂದು ಸಂಭಾವ್ಯ ಬಿರುಕುಗಳ ಮೂಲಕ ಜಾರಿದಾಗ, ಘಟನೆ ಪ್ರತಿಕ್ರಿಯೆ ಪ್ರಯೋಗಾಲಯಗಳಲ್ಲಿ ಅನಿವಾರ್ಯವಾಗಿರುವ ಒಂದು ಸಾಧನವು ಕಾರ್ಯರೂಪಕ್ಕೆ ಬರುತ್ತದೆ: ಯಾರಾ, ಮಾಲ್‌ವೇರ್‌ಗಳನ್ನು ಬೇಟೆಯಾಡಲು "ಸ್ವಿಸ್ ಚಾಕು"ಪಠ್ಯ ಮತ್ತು ಬೈನರಿ ಮಾದರಿಗಳನ್ನು ಬಳಸಿಕೊಂಡು ದುರುದ್ದೇಶಪೂರಿತ ಸಾಫ್ಟ್‌ವೇರ್‌ಗಳ ಕುಟುಂಬಗಳನ್ನು ವಿವರಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ, ಇದು ಸರಳ ಹ್ಯಾಶ್ ಹೊಂದಾಣಿಕೆಯನ್ನು ಮೀರಿ ಹೋಗಲು ಅನುಮತಿಸುತ್ತದೆ.

ಬಲಗೈಯಲ್ಲಿ, ಯಾರಾ ಕೇವಲ ಪತ್ತೆಹಚ್ಚಲು ಅಲ್ಲ ತಿಳಿದಿರುವ ಮಾಲ್‌ವೇರ್ ಮಾದರಿಗಳು ಮಾತ್ರವಲ್ಲದೆ, ಹೊಸ ರೂಪಾಂತರಗಳು, ಶೂನ್ಯ-ದಿನದ ಶೋಷಣೆಗಳು ಮತ್ತು ವಾಣಿಜ್ಯ ಆಕ್ರಮಣಕಾರಿ ಸಾಧನಗಳು ಸಹಈ ಲೇಖನದಲ್ಲಿ, ಸುಧಾರಿತ ಮಾಲ್‌ವೇರ್ ಪತ್ತೆಗಾಗಿ YARA ಅನ್ನು ಹೇಗೆ ಬಳಸುವುದು, ದೃಢವಾದ ನಿಯಮಗಳನ್ನು ಹೇಗೆ ಬರೆಯುವುದು, ಅವುಗಳನ್ನು ಹೇಗೆ ಪರೀಕ್ಷಿಸುವುದು, Veeam ಅಥವಾ ನಿಮ್ಮ ಸ್ವಂತ ವಿಶ್ಲೇಷಣಾ ಕಾರ್ಯಪ್ರವಾಹದಂತಹ ವೇದಿಕೆಗಳಲ್ಲಿ ಅವುಗಳನ್ನು ಹೇಗೆ ಸಂಯೋಜಿಸುವುದು ಮತ್ತು ವೃತ್ತಿಪರ ಸಮುದಾಯವು ಯಾವ ಉತ್ತಮ ಅಭ್ಯಾಸಗಳನ್ನು ಅನುಸರಿಸುತ್ತದೆ ಎಂಬುದನ್ನು ನಾವು ಆಳವಾಗಿ ಮತ್ತು ಪ್ರಾಯೋಗಿಕವಾಗಿ ಅನ್ವೇಷಿಸುತ್ತೇವೆ.

ಯಾರಾ ಎಂದರೇನು ಮತ್ತು ಅದು ಮಾಲ್‌ವೇರ್‌ಗಳನ್ನು ಪತ್ತೆಹಚ್ಚುವಲ್ಲಿ ಏಕೆ ಪ್ರಬಲವಾಗಿದೆ?

YARA ಎಂದರೆ "Yet Another Recursive Acronym" ಮತ್ತು ಬೆದರಿಕೆ ವಿಶ್ಲೇಷಣೆಯಲ್ಲಿ ವಾಸ್ತವಿಕ ಮಾನದಂಡವಾಗಿದೆ ಏಕೆಂದರೆ ಇದು ಓದಬಲ್ಲ, ಸ್ಪಷ್ಟ ಮತ್ತು ಹೆಚ್ಚು ಹೊಂದಿಕೊಳ್ಳುವ ನಿಯಮಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಮಾಲ್‌ವೇರ್ ಕುಟುಂಬಗಳನ್ನು ವಿವರಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.ಸ್ಥಿರ ಆಂಟಿವೈರಸ್ ಸಹಿಗಳನ್ನು ಮಾತ್ರ ಅವಲಂಬಿಸುವ ಬದಲು, YARA ನೀವೇ ವ್ಯಾಖ್ಯಾನಿಸುವ ಮಾದರಿಗಳೊಂದಿಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ.

ಮೂಲ ಕಲ್ಪನೆ ಸರಳವಾಗಿದೆ: YARA ನಿಯಮವು ಫೈಲ್ (ಅಥವಾ ಮೆಮೊರಿ, ಅಥವಾ ಡೇಟಾ ಸ್ಟ್ರೀಮ್) ಅನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ ಮತ್ತು ಷರತ್ತುಗಳ ಸರಣಿಯನ್ನು ಪೂರೈಸಲಾಗಿದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸುತ್ತದೆ. ಪಠ್ಯ ಸ್ಟ್ರಿಂಗ್‌ಗಳು, ಹೆಕ್ಸಾಡೆಸಿಮಲ್ ಅನುಕ್ರಮಗಳು, ನಿಯಮಿತ ಅಭಿವ್ಯಕ್ತಿಗಳು ಅಥವಾ ಫೈಲ್ ಗುಣಲಕ್ಷಣಗಳನ್ನು ಆಧರಿಸಿದ ಷರತ್ತುಗಳುಷರತ್ತು ಪೂರೈಸಿದರೆ, ಅಲ್ಲಿ "ಹೊಂದಾಣಿಕೆ" ಇರುತ್ತದೆ ಮತ್ತು ನೀವು ಎಚ್ಚರಿಸಬಹುದು, ನಿರ್ಬಂಧಿಸಬಹುದು ಅಥವಾ ಹೆಚ್ಚು ಆಳವಾದ ವಿಶ್ಲೇಷಣೆ ಮಾಡಬಹುದು.

ಈ ವಿಧಾನವು ಭದ್ರತಾ ತಂಡಗಳಿಗೆ ಅನುಮತಿಸುತ್ತದೆ ಎಲ್ಲಾ ರೀತಿಯ ಮಾಲ್‌ವೇರ್‌ಗಳನ್ನು ಗುರುತಿಸಿ ಮತ್ತು ವರ್ಗೀಕರಿಸಿ: ಕ್ಲಾಸಿಕ್ ವೈರಸ್‌ಗಳು, ವರ್ಮ್‌ಗಳು, ಟ್ರೋಜನ್‌ಗಳು, ರಾನ್ಸಮ್‌ವೇರ್, ವೆಬ್‌ಶೆಲ್‌ಗಳು, ಕ್ರಿಪ್ಟೋಮೈನರ್‌ಗಳು, ದುರುದ್ದೇಶಪೂರಿತ ಮ್ಯಾಕ್ರೋಗಳು ಮತ್ತು ಇನ್ನೂ ಹೆಚ್ಚಿನವು.ಇದು ನಿರ್ದಿಷ್ಟ ಫೈಲ್ ವಿಸ್ತರಣೆಗಳು ಅಥವಾ ಸ್ವರೂಪಗಳಿಗೆ ಸೀಮಿತವಾಗಿಲ್ಲ, ಆದ್ದರಿಂದ ಇದು .pdf ವಿಸ್ತರಣೆಯೊಂದಿಗೆ ವೇಷ ಧರಿಸಿದ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಅಥವಾ ವೆಬ್‌ಶೆಲ್ ಹೊಂದಿರುವ HTML ಫೈಲ್ ಅನ್ನು ಸಹ ಪತ್ತೆ ಮಾಡುತ್ತದೆ.

ಇದಲ್ಲದೆ, ಯಾರಾ ಈಗಾಗಲೇ ಸೈಬರ್ ಭದ್ರತಾ ಪರಿಸರ ವ್ಯವಸ್ಥೆಯ ಹಲವು ಪ್ರಮುಖ ಸೇವೆಗಳು ಮತ್ತು ಸಾಧನಗಳಲ್ಲಿ ಸಂಯೋಜಿಸಲ್ಪಟ್ಟಿದೆ: ವೈರಸ್‌ಟೋಟಲ್, ಕುಕೂ ನಂತಹ ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸ್‌ಗಳು, ವೀಮ್ ನಂತಹ ಬ್ಯಾಕಪ್ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್‌ಗಳು ಅಥವಾ ಉನ್ನತ ಶ್ರೇಣಿಯ ತಯಾರಕರಿಂದ ಬೆದರಿಕೆ ಬೇಟೆಯ ಪರಿಹಾರಗಳುಆದ್ದರಿಂದ, ಯಾರಾವನ್ನು ಕರಗತ ಮಾಡಿಕೊಳ್ಳುವುದು ಮುಂದುವರಿದ ವಿಶ್ಲೇಷಕರು ಮತ್ತು ಸಂಶೋಧಕರಿಗೆ ಬಹುತೇಕ ಅಗತ್ಯವಾಗಿದೆ.

ಮಾಲ್‌ವೇರ್ ಪತ್ತೆಹಚ್ಚುವಿಕೆಯಲ್ಲಿ YARA ನ ಮುಂದುವರಿದ ಬಳಕೆಯ ಪ್ರಕರಣಗಳು

YARA ದ ಸಾಮರ್ಥ್ಯಗಳಲ್ಲಿ ಒಂದು, ಅದು SOC ಯಿಂದ ಮಾಲ್‌ವೇರ್ ಲ್ಯಾಬ್‌ವರೆಗೆ ಬಹು ಭದ್ರತಾ ಸನ್ನಿವೇಶಗಳಿಗೆ ಕೈಗವಸುಗಳಂತೆ ಹೊಂದಿಕೊಳ್ಳುತ್ತದೆ. ಒಂದೇ ರೀತಿಯ ನಿಯಮಗಳು ಒಂದೇ ಬಾರಿಗೆ ನಡೆಯುವ ಬೇಟೆ ಮತ್ತು ನಿರಂತರ ಮೇಲ್ವಿಚಾರಣೆ ಎರಡಕ್ಕೂ ಅನ್ವಯಿಸುತ್ತವೆ..

ಅತ್ಯಂತ ನೇರವಾದ ಪ್ರಕರಣವು ರಚಿಸುವುದನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ ನಿರ್ದಿಷ್ಟ ಮಾಲ್‌ವೇರ್ ಅಥವಾ ಇಡೀ ಕುಟುಂಬಗಳಿಗೆ ನಿರ್ದಿಷ್ಟ ನಿಯಮಗಳುನಿಮ್ಮ ಸಂಸ್ಥೆಯು ತಿಳಿದಿರುವ ಕುಟುಂಬವನ್ನು ಆಧರಿಸಿದ ಅಭಿಯಾನದಿಂದ ದಾಳಿಗೊಳಗಾಗುತ್ತಿದ್ದರೆ (ಉದಾಹರಣೆಗೆ, ರಿಮೋಟ್ ಆಕ್ಸೆಸ್ ಟ್ರೋಜನ್ ಅಥವಾ APT ಬೆದರಿಕೆ), ನೀವು ವಿಶಿಷ್ಟ ಸ್ಟ್ರಿಂಗ್‌ಗಳು ಮತ್ತು ಮಾದರಿಗಳನ್ನು ಪ್ರೊಫೈಲ್ ಮಾಡಬಹುದು ಮತ್ತು ಹೊಸ ಸಂಬಂಧಿತ ಮಾದರಿಗಳನ್ನು ತ್ವರಿತವಾಗಿ ಗುರುತಿಸುವ ನಿಯಮಗಳನ್ನು ರಚಿಸಬಹುದು.

ಮತ್ತೊಂದು ಶ್ರೇಷ್ಠ ಬಳಕೆಯು ಇದರ ಕೇಂದ್ರಬಿಂದುವಾಗಿದೆ YARA ಸಹಿಗಳ ಆಧಾರದ ಮೇಲೆಈ ನಿಯಮಗಳನ್ನು ಹ್ಯಾಶ್‌ಗಳು, ನಿರ್ದಿಷ್ಟ ಪಠ್ಯ ಸ್ಟ್ರಿಂಗ್‌ಗಳು, ಕೋಡ್ ತುಣುಕುಗಳು, ರಿಜಿಸ್ಟ್ರಿ ಕೀಗಳು ಅಥವಾ ಒಂದೇ ಮಾಲ್‌ವೇರ್‌ನ ಬಹು ರೂಪಾಂತರಗಳಲ್ಲಿ ಪುನರಾವರ್ತಿತವಾಗುವ ನಿರ್ದಿಷ್ಟ ಬೈಟ್ ಅನುಕ್ರಮಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ. ಆದಾಗ್ಯೂ, ನೀವು ಕ್ಷುಲ್ಲಕ ಸ್ಟ್ರಿಂಗ್‌ಗಳನ್ನು ಮಾತ್ರ ಹುಡುಕಿದರೆ, ನೀವು ತಪ್ಪು ಧನಾತ್ಮಕತೆಯನ್ನು ಉತ್ಪಾದಿಸುವ ಅಪಾಯವನ್ನು ಎದುರಿಸುತ್ತೀರಿ ಎಂಬುದನ್ನು ನೆನಪಿನಲ್ಲಿಡಿ.

ಯಾರಾ ಕೂಡ ಫಿಲ್ಟರಿಂಗ್ ವಿಷಯಕ್ಕೆ ಬಂದಾಗ ಮಿಂಚುತ್ತದೆ ಫೈಲ್ ಪ್ರಕಾರಗಳು ಅಥವಾ ರಚನಾತ್ಮಕ ಗುಣಲಕ್ಷಣಗಳುಫೈಲ್ ಗಾತ್ರ, ನಿರ್ದಿಷ್ಟ ಹೆಡರ್‌ಗಳು (ಉದಾ., PE ಎಕ್ಸಿಕ್ಯೂಟಬಲ್‌ಗಳಿಗೆ 0x5A4D) ಅಥವಾ ಅನುಮಾನಾಸ್ಪದ ಕಾರ್ಯ ಆಮದುಗಳಂತಹ ಗುಣಲಕ್ಷಣಗಳೊಂದಿಗೆ ಸ್ಟ್ರಿಂಗ್‌ಗಳನ್ನು ಸಂಯೋಜಿಸುವ ಮೂಲಕ PE ಎಕ್ಸಿಕ್ಯೂಟಬಲ್‌ಗಳು, ಆಫೀಸ್ ಡಾಕ್ಯುಮೆಂಟ್‌ಗಳು, PDF ಗಳು ಅಥವಾ ವಾಸ್ತವಿಕವಾಗಿ ಯಾವುದೇ ಸ್ವರೂಪಕ್ಕೆ ಅನ್ವಯಿಸುವ ನಿಯಮಗಳನ್ನು ರಚಿಸಲು ಸಾಧ್ಯವಿದೆ.

ಆಧುನಿಕ ಪರಿಸರದಲ್ಲಿ, ಇದರ ಬಳಕೆಯು ಬೆದರಿಕೆ ಗುಪ್ತಚರಸಾರ್ವಜನಿಕ ರೆಪೊಸಿಟರಿಗಳು, ಸಂಶೋಧನಾ ವರದಿಗಳು ಮತ್ತು IOC ಫೀಡ್‌ಗಳನ್ನು YARA ನಿಯಮಗಳಿಗೆ ಅನುವಾದಿಸಲಾಗುತ್ತದೆ, ಇವುಗಳನ್ನು SIEM, EDR, ಬ್ಯಾಕಪ್ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್‌ಗಳು ಅಥವಾ ಸ್ಯಾಂಡ್‌ಬಾಕ್ಸ್‌ಗಳಲ್ಲಿ ಸಂಯೋಜಿಸಲಾಗಿದೆ. ಇದು ಸಂಸ್ಥೆಗಳಿಗೆ ಅನುಮತಿಸುತ್ತದೆ ಈಗಾಗಲೇ ವಿಶ್ಲೇಷಿಸಲಾದ ಅಭಿಯಾನಗಳೊಂದಿಗೆ ಗುಣಲಕ್ಷಣಗಳನ್ನು ಹಂಚಿಕೊಳ್ಳುವ ಉದಯೋನ್ಮುಖ ಬೆದರಿಕೆಗಳನ್ನು ತ್ವರಿತವಾಗಿ ಪತ್ತೆ ಮಾಡಿ.

YARA ನಿಯಮಗಳ ಸಿಂಟ್ಯಾಕ್ಸ್ ಅನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು

YARA ದ ಸಿಂಟ್ಯಾಕ್ಸ್ C ಯಂತೆಯೇ ಇದೆ, ಆದರೆ ಸರಳ ಮತ್ತು ಹೆಚ್ಚು ಕೇಂದ್ರೀಕೃತ ರೀತಿಯಲ್ಲಿ. ಪ್ರತಿಯೊಂದು ನಿಯಮವು ಒಂದು ಹೆಸರು, ಐಚ್ಛಿಕ ಮೆಟಾಡೇಟಾ ವಿಭಾಗ, ಒಂದು ಸ್ಟ್ರಿಂಗ್ ವಿಭಾಗ ಮತ್ತು, ಅಗತ್ಯವಾಗಿ, ಒಂದು ಸ್ಥಿತಿ ವಿಭಾಗವನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ.ಇಲ್ಲಿಂದ ಮುಂದೆ, ನೀವು ಅದನ್ನೆಲ್ಲಾ ಹೇಗೆ ಸಂಯೋಜಿಸುತ್ತೀರಿ ಎಂಬುದರಲ್ಲಿ ಶಕ್ತಿ ಅಡಗಿದೆ.

ಮೊದಲನೆಯದು ನಿಯಮದ ಹೆಸರುಅದು ಕೀವರ್ಡ್‌ನ ನಂತರ ಹೋಗಬೇಕು. ನಿಯಮ (o ಆಡಳಿತಗಾರ ನೀವು ಸ್ಪ್ಯಾನಿಷ್ ಭಾಷೆಯಲ್ಲಿ ದಾಖಲಿಸಿದರೆ, ಫೈಲ್‌ನಲ್ಲಿರುವ ಕೀವರ್ಡ್ ಹೀಗಿರುತ್ತದೆ ನಿಯಮಮತ್ತು ಅದು ಮಾನ್ಯವಾದ ಗುರುತಿಸುವಿಕೆಯಾಗಿರಬೇಕು: ಯಾವುದೇ ಸ್ಥಳಗಳಿಲ್ಲ, ಯಾವುದೇ ಸಂಖ್ಯೆಗಳಿಲ್ಲ ಮತ್ತು ಅಂಡರ್‌ಸ್ಕೋರ್ ಇಲ್ಲ. ಸ್ಪಷ್ಟವಾದ ಸಂಪ್ರದಾಯವನ್ನು ಅನುಸರಿಸುವುದು ಒಳ್ಳೆಯದು, ಉದಾಹರಣೆಗೆ ಮಾಲ್‌ವೇರ್_ಕುಟುಂಬ_ರೂಪಾಂತರ o APT_ನಟ_ಉಪಕರಣ, ಇದು ಏನನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಉದ್ದೇಶಿಸಲಾಗಿದೆ ಎಂಬುದನ್ನು ಒಂದು ನೋಟದಲ್ಲಿ ಗುರುತಿಸಲು ನಿಮಗೆ ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ.

ಮುಂದೆ ವಿಭಾಗ ಬರುತ್ತದೆ ತಂತಿಗಳುನೀವು ಹುಡುಕಲು ಬಯಸುವ ಮಾದರಿಗಳನ್ನು ವ್ಯಾಖ್ಯಾನಿಸುವ ಸ್ಥಳ. ಇಲ್ಲಿ ನೀವು ಮೂರು ಮುಖ್ಯ ಪ್ರಕಾರಗಳನ್ನು ಬಳಸಬಹುದು: ಪಠ್ಯ ಸ್ಟ್ರಿಂಗ್‌ಗಳು, ಹೆಕ್ಸಾಡೆಸಿಮಲ್ ಅನುಕ್ರಮಗಳು ಮತ್ತು ನಿಯಮಿತ ಅಭಿವ್ಯಕ್ತಿಗಳುಪಠ್ಯ ಸ್ಟ್ರಿಂಗ್‌ಗಳು ಮಾನವ-ಓದಬಲ್ಲ ಕೋಡ್ ತುಣುಕುಗಳು, URL ಗಳು, ಆಂತರಿಕ ಸಂದೇಶಗಳು, ಮಾರ್ಗ ಹೆಸರುಗಳು ಅಥವಾ PDB ಗಳಿಗೆ ಸೂಕ್ತವಾಗಿವೆ. ಹೆಕ್ಸಾಡೆಸಿಮಲ್‌ಗಳು ಕಚ್ಚಾ ಬೈಟ್ ಮಾದರಿಗಳನ್ನು ಸೆರೆಹಿಡಿಯಲು ನಿಮಗೆ ಅವಕಾಶ ಮಾಡಿಕೊಡುತ್ತವೆ, ಇದು ಕೋಡ್ ಅನ್ನು ಅಸ್ಪಷ್ಟಗೊಳಿಸಿದಾಗ ತುಂಬಾ ಉಪಯುಕ್ತವಾಗಿದೆ ಆದರೆ ಕೆಲವು ಸ್ಥಿರ ಅನುಕ್ರಮಗಳನ್ನು ಉಳಿಸಿಕೊಳ್ಳುತ್ತದೆ.

ಡೊಮೇನ್‌ಗಳನ್ನು ಬದಲಾಯಿಸುವುದು ಅಥವಾ ಕೋಡ್‌ನ ಸ್ವಲ್ಪ ಬದಲಾದ ಭಾಗಗಳಂತಹ ಸ್ಟ್ರಿಂಗ್‌ನಲ್ಲಿನ ಸಣ್ಣ ವ್ಯತ್ಯಾಸಗಳನ್ನು ನೀವು ಒಳಗೊಳ್ಳಬೇಕಾದಾಗ ನಿಯಮಿತ ಅಭಿವ್ಯಕ್ತಿಗಳು ನಮ್ಯತೆಯನ್ನು ಒದಗಿಸುತ್ತವೆ. ಇದಲ್ಲದೆ, ಸ್ಟ್ರಿಂಗ್‌ಗಳು ಮತ್ತು ರಿಜೆಕ್ಸ್ ಎರಡೂ ಎಸ್ಕೇಪ್‌ಗಳು ಅನಿಯಂತ್ರಿತ ಬೈಟ್‌ಗಳನ್ನು ಪ್ರತಿನಿಧಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ., ಇದು ಅತ್ಯಂತ ನಿಖರವಾದ ಹೈಬ್ರಿಡ್ ಮಾದರಿಗಳಿಗೆ ಬಾಗಿಲು ತೆರೆಯುತ್ತದೆ.

ವಿಭಾಗ ಸ್ಥಿತಿ ಇದು ಕಡ್ಡಾಯವಾದ ಏಕೈಕ ನಿಯಮವಾಗಿದ್ದು, ಒಂದು ನಿಯಮವು ಫೈಲ್ ಅನ್ನು "ಹೊಂದಾಣಿಕೆ" ಮಾಡಲು ಪರಿಗಣಿಸಿದಾಗ ಅದನ್ನು ವ್ಯಾಖ್ಯಾನಿಸುತ್ತದೆ. ಅಲ್ಲಿ ನೀವು ಬೂಲಿಯನ್ ಮತ್ತು ಅಂಕಗಣಿತದ ಕಾರ್ಯಾಚರಣೆಗಳನ್ನು ಬಳಸುತ್ತೀರಿ (ಮತ್ತು, ಅಥವಾ, ಅಲ್ಲ, +, -, *, /, ಯಾವುದೇ, ಎಲ್ಲವೂ, ಒಳಗೊಂಡಿದೆ, ಇತ್ಯಾದಿ.) ಸರಳವಾದ "ಈ ಸ್ಟ್ರಿಂಗ್ ಕಾಣಿಸಿಕೊಂಡರೆ" ಗಿಂತ ಸೂಕ್ಷ್ಮವಾದ ಪತ್ತೆ ತರ್ಕವನ್ನು ವ್ಯಕ್ತಪಡಿಸಲು.

ಉದಾಹರಣೆಗೆ, ಫೈಲ್ ಒಂದು ನಿರ್ದಿಷ್ಟ ಗಾತ್ರಕ್ಕಿಂತ ಚಿಕ್ಕದಾಗಿದ್ದರೆ, ಎಲ್ಲಾ ನಿರ್ಣಾಯಕ ಸ್ಟ್ರಿಂಗ್‌ಗಳು ಕಾಣಿಸಿಕೊಂಡರೆ ಅಥವಾ ಹಲವಾರು ಸ್ಟ್ರಿಂಗ್‌ಗಳಲ್ಲಿ ಕನಿಷ್ಠ ಒಂದು ಇದ್ದರೆ ಮಾತ್ರ ನಿಯಮವು ಮಾನ್ಯವಾಗಿರುತ್ತದೆ ಎಂದು ನೀವು ನಿರ್ದಿಷ್ಟಪಡಿಸಬಹುದು. ನೀವು ಸ್ಟ್ರಿಂಗ್ ಉದ್ದ, ಹೊಂದಾಣಿಕೆಗಳ ಸಂಖ್ಯೆ, ಫೈಲ್‌ನಲ್ಲಿನ ನಿರ್ದಿಷ್ಟ ಆಫ್‌ಸೆಟ್‌ಗಳು ಅಥವಾ ಫೈಲ್‌ನ ಗಾತ್ರದಂತಹ ಷರತ್ತುಗಳನ್ನು ಸಹ ಸಂಯೋಜಿಸಬಹುದು.ಇಲ್ಲಿ ಸೃಜನಶೀಲತೆಯು ಸಾಮಾನ್ಯ ನಿಯಮಗಳು ಮತ್ತು ಶಸ್ತ್ರಚಿಕಿತ್ಸಾ ಪತ್ತೆಗಳ ನಡುವಿನ ವ್ಯತ್ಯಾಸವನ್ನು ಮಾಡುತ್ತದೆ.

ಅಂತಿಮವಾಗಿ, ನೀವು ಐಚ್ಛಿಕ ವಿಭಾಗವನ್ನು ಹೊಂದಿದ್ದೀರಿ ಗೋಲುಅವಧಿಯನ್ನು ದಾಖಲಿಸಲು ಸೂಕ್ತವಾಗಿದೆ. ಇದರಲ್ಲಿ ಸೇರಿಸುವುದು ಸಾಮಾನ್ಯವಾಗಿದೆ ಲೇಖಕ, ಸೃಷ್ಟಿ ದಿನಾಂಕ, ವಿವರಣೆ, ಆಂತರಿಕ ಆವೃತ್ತಿ, ವರದಿಗಳು ಅಥವಾ ಟಿಕೆಟ್‌ಗಳ ಉಲ್ಲೇಖ ಮತ್ತು, ಸಾಮಾನ್ಯವಾಗಿ, ರೆಪೊಸಿಟರಿಯನ್ನು ವ್ಯವಸ್ಥಿತವಾಗಿಡಲು ಮತ್ತು ಇತರ ವಿಶ್ಲೇಷಕರಿಗೆ ಅರ್ಥವಾಗುವಂತೆ ಇರಿಸಿಕೊಳ್ಳಲು ಸಹಾಯ ಮಾಡುವ ಯಾವುದೇ ಮಾಹಿತಿ.

ಮುಂದುವರಿದ YARA ನಿಯಮಗಳ ಪ್ರಾಯೋಗಿಕ ಉದಾಹರಣೆಗಳು

ಮೇಲಿನ ಎಲ್ಲವನ್ನೂ ದೃಷ್ಟಿಕೋನದಿಂದ ನೋಡಲು, ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್‌ಗಳು, ಅನುಮಾನಾಸ್ಪದ ಆಮದುಗಳು ಅಥವಾ ಪುನರಾವರ್ತಿತ ಸೂಚನಾ ಅನುಕ್ರಮಗಳು ಕಾರ್ಯರೂಪಕ್ಕೆ ಬಂದಾಗ ಸರಳ ನಿಯಮವು ಹೇಗೆ ರಚನೆಯಾಗಿದೆ ಮತ್ತು ಅದು ಹೇಗೆ ಹೆಚ್ಚು ಸಂಕೀರ್ಣವಾಗುತ್ತದೆ ಎಂಬುದನ್ನು ನೋಡುವುದು ಸಹಾಯಕವಾಗಿರುತ್ತದೆ. ಆಟಿಕೆ ಆಡಳಿತಗಾರನೊಂದಿಗೆ ಪ್ರಾರಂಭಿಸೋಣ ಮತ್ತು ಕ್ರಮೇಣ ಗಾತ್ರವನ್ನು ಹೆಚ್ಚಿಸೋಣ..

ಕನಿಷ್ಠ ನಿಯಮವು ಅದನ್ನು ಕಡ್ಡಾಯಗೊಳಿಸುವ ಸ್ಟ್ರಿಂಗ್ ಮತ್ತು ಷರತ್ತನ್ನು ಮಾತ್ರ ಒಳಗೊಂಡಿರಬಹುದು. ಉದಾಹರಣೆಗೆ, ನೀವು ನಿರ್ದಿಷ್ಟ ಪಠ್ಯ ಸ್ಟ್ರಿಂಗ್ ಅಥವಾ ಮಾಲ್‌ವೇರ್ ತುಣುಕಿನ ಬೈಟ್ ಅನುಕ್ರಮ ಪ್ರತಿನಿಧಿಯನ್ನು ಹುಡುಕಬಹುದು. ಆ ಸಂದರ್ಭದಲ್ಲಿ, ಆ ಸ್ಟ್ರಿಂಗ್ ಅಥವಾ ಪ್ಯಾಟರ್ನ್ ಕಾಣಿಸಿಕೊಂಡರೆ ನಿಯಮವನ್ನು ಪೂರೈಸಲಾಗಿದೆ ಎಂದು ಷರತ್ತು ಸರಳವಾಗಿ ಹೇಳುತ್ತದೆ., ಯಾವುದೇ ಹೆಚ್ಚಿನ ಫಿಲ್ಟರ್‌ಗಳಿಲ್ಲದೆ.

ಆದಾಗ್ಯೂ, ನೈಜ-ಪ್ರಪಂಚದ ಸೆಟ್ಟಿಂಗ್‌ಗಳಲ್ಲಿ ಇದು ಕಡಿಮೆ ಬರುತ್ತದೆ, ಏಕೆಂದರೆ ಸರಳ ಸರಪಳಿಗಳು ಹೆಚ್ಚಾಗಿ ಅನೇಕ ತಪ್ಪು ಧನಾತ್ಮಕ ಫಲಿತಾಂಶಗಳನ್ನು ಉಂಟುಮಾಡುತ್ತವೆ.ಅದಕ್ಕಾಗಿಯೇ ಹಲವಾರು ಸ್ಟ್ರಿಂಗ್‌ಗಳನ್ನು (ಪಠ್ಯ ಮತ್ತು ಹೆಕ್ಸಾಡೆಸಿಮಲ್) ಹೆಚ್ಚುವರಿ ನಿರ್ಬಂಧಗಳೊಂದಿಗೆ ಸಂಯೋಜಿಸುವುದು ಸಾಮಾನ್ಯವಾಗಿದೆ: ಫೈಲ್ ಒಂದು ನಿರ್ದಿಷ್ಟ ಗಾತ್ರವನ್ನು ಮೀರಬಾರದು, ಅದು ನಿರ್ದಿಷ್ಟ ಹೆಡರ್‌ಗಳನ್ನು ಹೊಂದಿರಬೇಕು ಅಥವಾ ಪ್ರತಿ ವ್ಯಾಖ್ಯಾನಿಸಲಾದ ಗುಂಪಿನಿಂದ ಕನಿಷ್ಠ ಒಂದು ಸ್ಟ್ರಿಂಗ್ ಕಂಡುಬಂದರೆ ಮಾತ್ರ ಅದನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಬೇಕು.

PE ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ವಿಶ್ಲೇಷಣೆಯಲ್ಲಿ ಒಂದು ವಿಶಿಷ್ಟ ಉದಾಹರಣೆಯೆಂದರೆ ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಆಮದು ಮಾಡಿಕೊಳ್ಳುವುದು. pe YARA ನಿಂದ, ಇದು ಬೈನರಿಯ ಆಂತರಿಕ ಗುಣಲಕ್ಷಣಗಳನ್ನು ಪ್ರಶ್ನಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ: ಆಮದು ಮಾಡಿದ ಕಾರ್ಯಗಳು, ವಿಭಾಗಗಳು, ಸಮಯಸ್ಟ್ಯಾಂಪ್‌ಗಳು, ಇತ್ಯಾದಿ. ಸುಧಾರಿತ ನಿಯಮವು ಫೈಲ್ ಅನ್ನು ಆಮದು ಮಾಡಿಕೊಳ್ಳುವ ಅಗತ್ಯವಿರಬಹುದು. ಪ್ರಕ್ರಿಯೆ ರಚಿಸಿ ನಿಂದ Kernel32.dll ಮತ್ತು ಕೆಲವು HTTP ಕಾರ್ಯದಿಂದ ವಿನಿನೆಟ್.ಡಿಎಲ್ಎಲ್, ದುರುದ್ದೇಶಪೂರಿತ ನಡವಳಿಕೆಯನ್ನು ಸೂಚಿಸುವ ನಿರ್ದಿಷ್ಟ ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ಒಳಗೊಂಡಿರುವ ಜೊತೆಗೆ.

ಈ ರೀತಿಯ ತರ್ಕವು ಪತ್ತೆಹಚ್ಚಲು ಸೂಕ್ತವಾಗಿದೆ ರಿಮೋಟ್ ಸಂಪರ್ಕ ಅಥವಾ ಹೊರಹಾಕುವಿಕೆ ಸಾಮರ್ಥ್ಯ ಹೊಂದಿರುವ ಟ್ರೋಜನ್‌ಗಳುಫೈಲ್ ಹೆಸರುಗಳು ಅಥವಾ ಮಾರ್ಗಗಳು ಒಂದು ಅಭಿಯಾನದಿಂದ ಇನ್ನೊಂದಕ್ಕೆ ಬದಲಾದಾಗಲೂ ಸಹ. ಮುಖ್ಯವಾದ ವಿಷಯವೆಂದರೆ ಆಧಾರವಾಗಿರುವ ನಡವಳಿಕೆಯ ಮೇಲೆ ಕೇಂದ್ರೀಕರಿಸುವುದು: ಪ್ರಕ್ರಿಯೆ ರಚನೆ, HTTP ವಿನಂತಿಗಳು, ಎನ್‌ಕ್ರಿಪ್ಶನ್, ನಿರಂತರತೆ, ಇತ್ಯಾದಿ.

ಇನ್ನೊಂದು ಅತ್ಯಂತ ಪರಿಣಾಮಕಾರಿ ತಂತ್ರವೆಂದರೆ ಪುನರಾವರ್ತಿತ ಸೂಚನೆಗಳ ಅನುಕ್ರಮಗಳು ಒಂದೇ ಕುಟುಂಬದ ಮಾದರಿಗಳ ನಡುವೆ. ದಾಳಿಕೋರರು ಬೈನರಿಯನ್ನು ಪ್ಯಾಕೇಜ್ ಮಾಡಿದರೂ ಅಥವಾ ಅಸ್ಪಷ್ಟಗೊಳಿಸಿದರೂ ಸಹ, ಅವರು ಬದಲಾಯಿಸಲು ಕಷ್ಟಕರವಾದ ಕೋಡ್‌ನ ಭಾಗಗಳನ್ನು ಹೆಚ್ಚಾಗಿ ಮರುಬಳಕೆ ಮಾಡುತ್ತಾರೆ. ಸ್ಥಿರ ವಿಶ್ಲೇಷಣೆಯ ನಂತರ, ನೀವು ಸೂಚನೆಗಳ ನಿರಂತರ ಬ್ಲಾಕ್‌ಗಳನ್ನು ಕಂಡುಕೊಂಡರೆ, ನೀವು ನಿಯಮವನ್ನು ರೂಪಿಸಬಹುದು ಹೆಕ್ಸಾಡೆಸಿಮಲ್ ಸ್ಟ್ರಿಂಗ್‌ಗಳಲ್ಲಿ ವೈಲ್ಡ್‌ಕಾರ್ಡ್‌ಗಳು ಅದು ಒಂದು ನಿರ್ದಿಷ್ಟ ಸಹಿಷ್ಣುತೆಯನ್ನು ಕಾಯ್ದುಕೊಳ್ಳುತ್ತಾ ಆ ಮಾದರಿಯನ್ನು ಸೆರೆಹಿಡಿಯುತ್ತದೆ.

ಈ "ಕೋಡ್ ನಡವಳಿಕೆ-ಆಧಾರಿತ" ನಿಯಮಗಳೊಂದಿಗೆ ಅದು ಸಾಧ್ಯ ಪ್ಲಗ್‌ಎಕ್ಸ್/ಕೊರ್‌ಪ್ಲಗ್ ಅಥವಾ ಇತರ ಎಪಿಟಿ ಕುಟುಂಬಗಳಂತಹ ಸಂಪೂರ್ಣ ಮಾಲ್‌ವೇರ್ ಅಭಿಯಾನಗಳನ್ನು ಟ್ರ್ಯಾಕ್ ಮಾಡಿ.ನೀವು ಕೇವಲ ಒಂದು ನಿರ್ದಿಷ್ಟ ಹ್ಯಾಶ್ ಅನ್ನು ಪತ್ತೆಹಚ್ಚುವುದಿಲ್ಲ, ಬದಲಿಗೆ ನೀವು ದಾಳಿಕೋರರ ಅಭಿವೃದ್ಧಿ ಶೈಲಿಯನ್ನು ಅನುಸರಿಸುತ್ತೀರಿ, ಅಂದರೆ ಹಾಗೆ ಹೇಳಬಹುದು.

ನೈಜ ಅಭಿಯಾನಗಳು ಮತ್ತು ಶೂನ್ಯ-ದಿನದ ಬೆದರಿಕೆಗಳಲ್ಲಿ YARA ಬಳಕೆ

YARA ವಿಶೇಷವಾಗಿ ಮುಂದುವರಿದ ಬೆದರಿಕೆಗಳು ಮತ್ತು ಶೂನ್ಯ-ದಿನದ ಶೋಷಣೆಗಳ ಕ್ಷೇತ್ರದಲ್ಲಿ ತನ್ನ ಮೌಲ್ಯವನ್ನು ಸಾಬೀತುಪಡಿಸಿದೆ, ಅಲ್ಲಿ ಕ್ಲಾಸಿಕ್ ರಕ್ಷಣಾ ಕಾರ್ಯವಿಧಾನಗಳು ತಡವಾಗಿ ಬರುತ್ತವೆ. ಕನಿಷ್ಠ ಸೋರಿಕೆಯಾದ ಬುದ್ಧಿಮತ್ತೆಯಿಂದ ಸಿಲ್ವರ್‌ಲೈಟ್‌ನಲ್ಲಿನ ಶೋಷಣೆಯನ್ನು ಪತ್ತೆಹಚ್ಚಲು YARA ಅನ್ನು ಬಳಸುವುದು ಒಂದು ಪ್ರಸಿದ್ಧ ಉದಾಹರಣೆಯಾಗಿದೆ..

ಆ ಸಂದರ್ಭದಲ್ಲಿ, ಆಕ್ರಮಣಕಾರಿ ಪರಿಕರಗಳ ಅಭಿವೃದ್ಧಿಗೆ ಮೀಸಲಾಗಿರುವ ಕಂಪನಿಯಿಂದ ಕದ್ದ ಇಮೇಲ್‌ಗಳಿಂದ, ನಿರ್ದಿಷ್ಟ ಶೋಷಣೆಗೆ ಆಧಾರಿತವಾದ ನಿಯಮವನ್ನು ನಿರ್ಮಿಸಲು ಸಾಕಷ್ಟು ಮಾದರಿಗಳನ್ನು ಕಳೆಯಲಾಗುತ್ತದೆ. ಆ ಒಂದೇ ನಿಯಮದಿಂದ, ಸಂಶೋಧಕರು ಅನುಮಾನಾಸ್ಪದ ಫೈಲ್‌ಗಳ ಸಮುದ್ರದ ಮೂಲಕ ಮಾದರಿಯನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಸಾಧ್ಯವಾಯಿತು.ಶೋಷಣೆಯನ್ನು ಗುರುತಿಸಿ ಮತ್ತು ಅದರ ಪ್ಯಾಚಿಂಗ್ ಅನ್ನು ಒತ್ತಾಯಿಸಿ, ಹೆಚ್ಚು ಗಂಭೀರ ಹಾನಿಯನ್ನು ತಡೆಯಿರಿ.

ಈ ರೀತಿಯ ಕಥೆಗಳು YARA ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಎಂಬುದನ್ನು ವಿವರಿಸುತ್ತದೆ ಕಡತಗಳ ಸಮುದ್ರದಲ್ಲಿ ಮೀನುಗಾರಿಕಾ ಬಲೆನಿಮ್ಮ ಕಾರ್ಪೊರೇಟ್ ಜಾಲವನ್ನು ಎಲ್ಲಾ ರೀತಿಯ "ಮೀನು" (ಫೈಲ್‌ಗಳು) ತುಂಬಿದ ಸಾಗರದಂತೆ ಕಲ್ಪಿಸಿಕೊಳ್ಳಿ. ನಿಮ್ಮ ನಿಯಮಗಳು ಟ್ರಾಲ್ ಬಲೆಯ ವಿಭಾಗಗಳಂತೆ: ಪ್ರತಿಯೊಂದು ವಿಭಾಗವು ನಿರ್ದಿಷ್ಟ ಗುಣಲಕ್ಷಣಗಳಿಗೆ ಸರಿಹೊಂದುವ ಮೀನುಗಳನ್ನು ಇಡುತ್ತದೆ.

ನೀವು ಡ್ರ್ಯಾಗ್ ಅನ್ನು ಮುಗಿಸಿದಾಗ, ನೀವು ನಿರ್ದಿಷ್ಟ ಕುಟುಂಬಗಳು ಅಥವಾ ದಾಳಿಕೋರರ ಗುಂಪುಗಳಿಗೆ ಹೋಲಿಕೆಯಿಂದ ಗುಂಪು ಮಾಡಲಾದ ಮಾದರಿಗಳು: “X ಪ್ರಭೇದಗಳಿಗೆ ಹೋಲುತ್ತದೆ”, “Y ಪ್ರಭೇದಗಳಿಗೆ ಹೋಲುತ್ತದೆ”, ಇತ್ಯಾದಿ. ಈ ಕೆಲವು ಮಾದರಿಗಳು ನಿಮಗೆ ಸಂಪೂರ್ಣವಾಗಿ ಹೊಸದಾಗಿರಬಹುದು (ಹೊಸ ಬೈನರಿಗಳು, ಹೊಸ ಅಭಿಯಾನಗಳು), ಆದರೆ ಅವು ತಿಳಿದಿರುವ ಮಾದರಿಗೆ ಹೊಂದಿಕೊಳ್ಳುತ್ತವೆ, ಇದು ನಿಮ್ಮ ವರ್ಗೀಕರಣ ಮತ್ತು ಪ್ರತಿಕ್ರಿಯೆಯನ್ನು ವೇಗಗೊಳಿಸುತ್ತದೆ.

ಈ ಸಂದರ್ಭದಲ್ಲಿ YARA ದಿಂದ ಹೆಚ್ಚಿನದನ್ನು ಪಡೆಯಲು, ಅನೇಕ ಸಂಸ್ಥೆಗಳು ಒಗ್ಗೂಡುತ್ತವೆ ಮುಂದುವರಿದ ತರಬೇತಿ, ಪ್ರಾಯೋಗಿಕ ಪ್ರಯೋಗಾಲಯಗಳು ಮತ್ತು ನಿಯಂತ್ರಿತ ಪ್ರಯೋಗ ಪರಿಸರಗಳುಉತ್ತಮ ನಿಯಮಗಳನ್ನು ಬರೆಯುವ ಕಲೆಗೆ ಪ್ರತ್ಯೇಕವಾಗಿ ಮೀಸಲಾಗಿರುವ ಹೆಚ್ಚು ವಿಶೇಷವಾದ ಕೋರ್ಸ್‌ಗಳಿವೆ, ಇವುಗಳು ಸಾಮಾನ್ಯವಾಗಿ ಸೈಬರ್ ಬೇಹುಗಾರಿಕೆಯ ನೈಜ ಪ್ರಕರಣಗಳನ್ನು ಆಧರಿಸಿವೆ, ಇದರಲ್ಲಿ ವಿದ್ಯಾರ್ಥಿಗಳು ಅಧಿಕೃತ ಮಾದರಿಗಳೊಂದಿಗೆ ಅಭ್ಯಾಸ ಮಾಡುತ್ತಾರೆ ಮತ್ತು ಅವರು ನಿಖರವಾಗಿ ಏನನ್ನು ಹುಡುಕುತ್ತಿದ್ದಾರೆಂದು ತಿಳಿದಿಲ್ಲದಿದ್ದರೂ ಸಹ "ಏನನ್ನಾದರೂ" ಹುಡುಕಲು ಕಲಿಯುತ್ತಾರೆ.

YARA ಅನ್ನು ಬ್ಯಾಕಪ್ ಮತ್ತು ಮರುಪಡೆಯುವಿಕೆ ವೇದಿಕೆಗಳಲ್ಲಿ ಸಂಯೋಜಿಸಿ

YARA ಸಂಪೂರ್ಣವಾಗಿ ಹೊಂದಿಕೊಳ್ಳುವ ಮತ್ತು ಸಾಮಾನ್ಯವಾಗಿ ಗಮನಕ್ಕೆ ಬಾರದ ಒಂದು ಕ್ಷೇತ್ರವೆಂದರೆ ಬ್ಯಾಕಪ್‌ಗಳ ರಕ್ಷಣೆ. ಬ್ಯಾಕಪ್‌ಗಳು ಮಾಲ್‌ವೇರ್ ಅಥವಾ ರಾನ್ಸಮ್‌ವೇರ್‌ನಿಂದ ಸೋಂಕಿಗೆ ಒಳಗಾಗಿದ್ದರೆ, ಮರುಸ್ಥಾಪನೆಯು ಸಂಪೂರ್ಣ ಅಭಿಯಾನವನ್ನು ಮರುಪ್ರಾರಂಭಿಸಬಹುದು.ಅದಕ್ಕಾಗಿಯೇ ಕೆಲವು ತಯಾರಕರು ತಮ್ಮ ಪರಿಹಾರಗಳಲ್ಲಿ ನೇರವಾಗಿ YARA ಎಂಜಿನ್‌ಗಳನ್ನು ಅಳವಡಿಸಿಕೊಂಡಿದ್ದಾರೆ.

ಮುಂದಿನ ಪೀಳಿಗೆಯ ಬ್ಯಾಕಪ್ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್‌ಗಳನ್ನು ಪ್ರಾರಂಭಿಸಬಹುದು ಪುನಃಸ್ಥಾಪನೆ ಬಿಂದುಗಳ ಕುರಿತು YARA ನಿಯಮ ಆಧಾರಿತ ವಿಶ್ಲೇಷಣಾ ಅವಧಿಗಳುಗುರಿ ಎರಡು ಪಟ್ಟು: ಘಟನೆಯ ಮೊದಲು ಕೊನೆಯ "ಕ್ಲೀನ್" ಪಾಯಿಂಟ್ ಅನ್ನು ಪತ್ತೆಹಚ್ಚುವುದು ಮತ್ತು ಇತರ ಪರಿಶೀಲನೆಗಳಿಂದ ಪ್ರಚೋದಿಸದ ಫೈಲ್‌ಗಳಲ್ಲಿ ಅಡಗಿರುವ ದುರುದ್ದೇಶಪೂರಿತ ವಿಷಯವನ್ನು ಪತ್ತೆಹಚ್ಚುವುದು.

ಈ ಪರಿಸರಗಳಲ್ಲಿ ವಿಶಿಷ್ಟ ಪ್ರಕ್ರಿಯೆಯು "" ಆಯ್ಕೆಯನ್ನು ಆರಿಸುವುದನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ.YARA ರೂಲರ್ ಬಳಸಿ ಪುನಃಸ್ಥಾಪನೆ ಬಿಂದುಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಿ"ವಿಶ್ಲೇಷಣಾ ಕೆಲಸದ ಸಂರಚನೆಯ ಸಮಯದಲ್ಲಿ. ಮುಂದೆ, ನಿಯಮಗಳ ಫೈಲ್‌ಗೆ ಮಾರ್ಗವನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಲಾಗುತ್ತದೆ (ಸಾಮಾನ್ಯವಾಗಿ .yara ಅಥವಾ .yar ವಿಸ್ತರಣೆಯೊಂದಿಗೆ), ಇದನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ಬ್ಯಾಕಪ್ ಪರಿಹಾರಕ್ಕೆ ನಿರ್ದಿಷ್ಟವಾದ ಸಂರಚನಾ ಫೋಲ್ಡರ್‌ನಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗುತ್ತದೆ."

ಕಾರ್ಯಗತಗೊಳಿಸುವಾಗ, ಎಂಜಿನ್ ನಕಲಿನಲ್ಲಿರುವ ವಸ್ತುಗಳ ಮೂಲಕ ಪುನರಾವರ್ತಿಸುತ್ತದೆ, ನಿಯಮಗಳನ್ನು ಅನ್ವಯಿಸುತ್ತದೆ ಮತ್ತು ಇದು ಎಲ್ಲಾ ಹೊಂದಾಣಿಕೆಗಳನ್ನು ನಿರ್ದಿಷ್ಟ YARA ವಿಶ್ಲೇಷಣಾ ಲಾಗ್‌ನಲ್ಲಿ ದಾಖಲಿಸುತ್ತದೆ.ನಿರ್ವಾಹಕರು ಈ ಲಾಗ್‌ಗಳನ್ನು ಕನ್ಸೋಲ್‌ನಿಂದ ವೀಕ್ಷಿಸಬಹುದು, ಅಂಕಿಅಂಶಗಳನ್ನು ಪರಿಶೀಲಿಸಬಹುದು, ಯಾವ ಫೈಲ್‌ಗಳು ಎಚ್ಚರಿಕೆಯನ್ನು ಪ್ರಚೋದಿಸಿವೆ ಎಂಬುದನ್ನು ನೋಡಬಹುದು ಮತ್ತು ಪ್ರತಿ ಹೊಂದಾಣಿಕೆಯು ಯಾವ ಯಂತ್ರಗಳು ಮತ್ತು ನಿರ್ದಿಷ್ಟ ದಿನಾಂಕಕ್ಕೆ ಅನುಗುಣವಾಗಿದೆ ಎಂಬುದನ್ನು ಸಹ ಪತ್ತೆಹಚ್ಚಬಹುದು.

ಈ ಏಕೀಕರಣವು ಇತರ ಕಾರ್ಯವಿಧಾನಗಳಿಂದ ಪೂರಕವಾಗಿದೆ, ಉದಾಹರಣೆಗೆ ಅಸಂಗತತೆ ಪತ್ತೆ, ಬ್ಯಾಕಪ್ ಗಾತ್ರದ ಮೇಲ್ವಿಚಾರಣೆ, ನಿರ್ದಿಷ್ಟ IOC ಗಳನ್ನು ಹುಡುಕುವುದು ಅಥವಾ ಅನುಮಾನಾಸ್ಪದ ಪರಿಕರಗಳ ವಿಶ್ಲೇಷಣೆಆದರೆ ನಿರ್ದಿಷ್ಟ ರಾನ್ಸಮ್‌ವೇರ್ ಕುಟುಂಬ ಅಥವಾ ಅಭಿಯಾನಕ್ಕೆ ಅನುಗುಣವಾಗಿ ನಿಯಮಗಳ ವಿಷಯಕ್ಕೆ ಬಂದಾಗ, ಆ ಹುಡುಕಾಟವನ್ನು ಪರಿಷ್ಕರಿಸಲು ಯಾರಾ ಅತ್ಯುತ್ತಮ ಸಾಧನವಾಗಿದೆ.

ನಿಮ್ಮ ನೆಟ್‌ವರ್ಕ್ ಅನ್ನು ಮುರಿಯದೆ YARA ನಿಯಮಗಳನ್ನು ಪರೀಕ್ಷಿಸುವುದು ಮತ್ತು ಮೌಲ್ಯೀಕರಿಸುವುದು ಹೇಗೆ

ಒಮ್ಮೆ ನೀವು ನಿಮ್ಮ ಸ್ವಂತ ನಿಯಮಗಳನ್ನು ಬರೆಯಲು ಪ್ರಾರಂಭಿಸಿದ ನಂತರ, ಮುಂದಿನ ನಿರ್ಣಾಯಕ ಹಂತವೆಂದರೆ ಅವುಗಳನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ಪರೀಕ್ಷಿಸುವುದು. ಅತಿಯಾದ ಆಕ್ರಮಣಕಾರಿ ನಿಯಮವು ಸುಳ್ಳು ಸಕಾರಾತ್ಮಕ ಪರಿಣಾಮಗಳ ಪ್ರವಾಹವನ್ನು ಉಂಟುಮಾಡಬಹುದು, ಆದರೆ ಅತಿಯಾದ ಸಡಿಲ ನಿಯಮವು ನಿಜವಾದ ಬೆದರಿಕೆಗಳನ್ನು ನುಸುಳಲು ಬಿಡಬಹುದು.ಅದಕ್ಕಾಗಿಯೇ ಪರೀಕ್ಷಾ ಹಂತವು ಬರೆಯುವ ಹಂತದಷ್ಟೇ ಮುಖ್ಯವಾಗಿದೆ.

ಒಳ್ಳೆಯ ಸುದ್ದಿ ಏನೆಂದರೆ, ನೀವು ಕೆಲಸ ಮಾಡುವ ಮಾಲ್‌ವೇರ್‌ಗಳಿಂದ ತುಂಬಿದ ಲ್ಯಾಬ್ ಅನ್ನು ಸ್ಥಾಪಿಸುವ ಅಗತ್ಯವಿಲ್ಲ ಮತ್ತು ಇದನ್ನು ಮಾಡಲು ಅರ್ಧದಷ್ಟು ನೆಟ್‌ವರ್ಕ್ ಅನ್ನು ಸೋಂಕು ಮಾಡಬೇಕಾಗಿಲ್ಲ. ಈ ಮಾಹಿತಿಯನ್ನು ನೀಡುವ ರೆಪೊಸಿಟರಿಗಳು ಮತ್ತು ಡೇಟಾಸೆಟ್‌ಗಳು ಈಗಾಗಲೇ ಅಸ್ತಿತ್ವದಲ್ಲಿವೆ. ಸಂಶೋಧನಾ ಉದ್ದೇಶಗಳಿಗಾಗಿ ತಿಳಿದಿರುವ ಮತ್ತು ನಿಯಂತ್ರಿತ ಮಾಲ್‌ವೇರ್ ಮಾದರಿಗಳುನೀವು ಆ ಮಾದರಿಗಳನ್ನು ಪ್ರತ್ಯೇಕ ಪರಿಸರಕ್ಕೆ ಡೌನ್‌ಲೋಡ್ ಮಾಡಬಹುದು ಮತ್ತು ಅವುಗಳನ್ನು ನಿಮ್ಮ ನಿಯಮಗಳಿಗೆ ಪರೀಕ್ಷಾ ಸ್ಥಳವಾಗಿ ಬಳಸಬಹುದು.

ಅನುಮಾನಾಸ್ಪದ ಫೈಲ್‌ಗಳನ್ನು ಹೊಂದಿರುವ ಡೈರೆಕ್ಟರಿಯ ವಿರುದ್ಧ ಆಜ್ಞಾ ಸಾಲಿನಿಂದ ಸ್ಥಳೀಯವಾಗಿ YARA ಅನ್ನು ಚಲಾಯಿಸುವ ಮೂಲಕ ಪ್ರಾರಂಭಿಸುವುದು ಸಾಮಾನ್ಯ ವಿಧಾನವಾಗಿದೆ. ನಿಮ್ಮ ನಿಯಮಗಳು ಅವು ಇರಬೇಕಾದ ಸ್ಥಳಕ್ಕೆ ಹೊಂದಿಕೆಯಾದರೆ ಮತ್ತು ಕೇವಲ ಸ್ಪಷ್ಟ ಫೈಲ್‌ಗಳನ್ನು ಮುರಿಯದಿದ್ದರೆ, ನೀವು ಸರಿಯಾದ ಹಾದಿಯಲ್ಲಿದ್ದೀರಿ.ಅವು ಹೆಚ್ಚು ಪ್ರಚೋದಿಸುತ್ತಿದ್ದರೆ, ಸ್ಟ್ರಿಂಗ್‌ಗಳನ್ನು ಪರಿಶೀಲಿಸಲು, ಪರಿಸ್ಥಿತಿಗಳನ್ನು ಪರಿಷ್ಕರಿಸಲು ಅಥವಾ ಹೆಚ್ಚುವರಿ ನಿರ್ಬಂಧಗಳನ್ನು (ಗಾತ್ರ, ಆಮದುಗಳು, ಆಫ್‌ಸೆಟ್‌ಗಳು, ಇತ್ಯಾದಿ) ಪರಿಚಯಿಸಲು ಇದು ಸಮಯ.

ಇನ್ನೊಂದು ಪ್ರಮುಖ ಅಂಶವೆಂದರೆ ನಿಮ್ಮ ನಿಯಮಗಳು ಕಾರ್ಯಕ್ಷಮತೆಗೆ ಧಕ್ಕೆ ತರುವುದಿಲ್ಲ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳುವುದು. ದೊಡ್ಡ ಡೈರೆಕ್ಟರಿಗಳು, ಪೂರ್ಣ ಬ್ಯಾಕಪ್‌ಗಳು ಅಥವಾ ಬೃಹತ್ ಮಾದರಿ ಸಂಗ್ರಹಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುವಾಗ, ಸರಿಯಾಗಿ ಆಪ್ಟಿಮೈಸ್ ಮಾಡದ ನಿಯಮಗಳು ವಿಶ್ಲೇಷಣೆಯನ್ನು ನಿಧಾನಗೊಳಿಸಬಹುದು ಅಥವಾ ಬಯಸಿದಕ್ಕಿಂತ ಹೆಚ್ಚಿನ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳಬಹುದು.ಆದ್ದರಿಂದ, ಸಮಯಗಳನ್ನು ಅಳೆಯುವುದು, ಸಂಕೀರ್ಣ ಅಭಿವ್ಯಕ್ತಿಗಳನ್ನು ಸರಳೀಕರಿಸುವುದು ಮತ್ತು ಅತಿಯಾದ ಭಾರವಾದ ನಿಯಮಿತ ಅಭಿವ್ಯಕ್ತಿಗಳನ್ನು ತಪ್ಪಿಸುವುದು ಸೂಕ್ತ.

ಆ ಪ್ರಯೋಗಾಲಯ ಪರೀಕ್ಷಾ ಹಂತವನ್ನು ದಾಟಿದ ನಂತರ, ನಿಮಗೆ ಸಾಧ್ಯವಾಗುತ್ತದೆ ಉತ್ಪಾದನಾ ಪರಿಸರಕ್ಕೆ ನಿಯಮಗಳನ್ನು ಉತ್ತೇಜಿಸಿ.ಅದು ನಿಮ್ಮ SIEM ಆಗಿರಲಿ, ನಿಮ್ಮ ಬ್ಯಾಕಪ್ ಸಿಸ್ಟಮ್‌ಗಳಾಗಿರಲಿ, ಇಮೇಲ್ ಸರ್ವರ್‌ಗಳಾಗಿರಲಿ ಅಥವಾ ನೀವು ಅವುಗಳನ್ನು ಸಂಯೋಜಿಸಲು ಬಯಸುವಲ್ಲೆಲ್ಲಾ ಇರಲಿ. ಮತ್ತು ನಿರಂತರ ವಿಮರ್ಶೆ ಚಕ್ರವನ್ನು ನಿರ್ವಹಿಸಲು ಮರೆಯಬೇಡಿ: ಅಭಿಯಾನಗಳು ವಿಕಸನಗೊಳ್ಳುತ್ತಿದ್ದಂತೆ, ನಿಮ್ಮ ನಿಯಮಗಳಿಗೆ ಆವರ್ತಕ ಹೊಂದಾಣಿಕೆಗಳು ಬೇಕಾಗುತ್ತವೆ.

YARA ನೊಂದಿಗೆ ಪರಿಕರಗಳು, ಕಾರ್ಯಕ್ರಮಗಳು ಮತ್ತು ಕೆಲಸದ ಹರಿವು

ಅಧಿಕೃತ ಬೈನರಿಯನ್ನು ಮೀರಿ, ಅನೇಕ ವೃತ್ತಿಪರರು YARA ನ ದೈನಂದಿನ ಬಳಕೆಯನ್ನು ಸುಲಭಗೊಳಿಸಲು ಸುತ್ತಲೂ ಸಣ್ಣ ಕಾರ್ಯಕ್ರಮಗಳು ಮತ್ತು ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ್ದಾರೆ. ಒಂದು ವಿಶಿಷ್ಟ ವಿಧಾನವು ಅರ್ಜಿಯನ್ನು ರಚಿಸುವುದನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ ನಿಮ್ಮ ಸ್ವಂತ ಭದ್ರತಾ ಕಿಟ್ ಅನ್ನು ಜೋಡಿಸಿ ಅದು ಫೋಲ್ಡರ್‌ನಲ್ಲಿರುವ ಎಲ್ಲಾ ನಿಯಮಗಳನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಓದುತ್ತದೆ ಮತ್ತು ಅವುಗಳನ್ನು ವಿಶ್ಲೇಷಣಾ ಡೈರೆಕ್ಟರಿಗೆ ಅನ್ವಯಿಸುತ್ತದೆ..

ಈ ರೀತಿಯ ಮನೆಯಲ್ಲಿ ತಯಾರಿಸಿದ ಪರಿಕರಗಳು ಸಾಮಾನ್ಯವಾಗಿ ಸರಳ ಡೈರೆಕ್ಟರಿ ರಚನೆಯೊಂದಿಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತವೆ: ಒಂದು ಫೋಲ್ಡರ್‌ಗಾಗಿ ಇಂಟರ್ನೆಟ್‌ನಿಂದ ಡೌನ್‌ಲೋಡ್ ಮಾಡಲಾದ ನಿಯಮಗಳು (ಉದಾಹರಣೆಗೆ, "ರೂಲೆಸ್ಯಾರ್") ಮತ್ತು ಇನ್ನೊಂದು ಫೋಲ್ಡರ್‌ಗಾಗಿ ಅನುಮಾನಾಸ್ಪದ ಫೈಲ್‌ಗಳನ್ನು ವಿಶ್ಲೇಷಿಸಬೇಕು (ಉದಾಹರಣೆಗೆ, "ಮಾಲ್ವೇರ್"). ಪ್ರೋಗ್ರಾಂ ಪ್ರಾರಂಭವಾದಾಗ, ಎರಡೂ ಫೋಲ್ಡರ್‌ಗಳು ಅಸ್ತಿತ್ವದಲ್ಲಿವೆಯೇ ಎಂದು ಅದು ಪರಿಶೀಲಿಸುತ್ತದೆ, ನಿಯಮಗಳನ್ನು ಪರದೆಯ ಮೇಲೆ ಪಟ್ಟಿ ಮಾಡುತ್ತದೆ ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಸಿದ್ಧವಾಗುತ್ತದೆ.

ನೀವು "" ನಂತಹ ಗುಂಡಿಯನ್ನು ಒತ್ತಿದಾಗಚೆಕ್ ಪ್ರಾರಂಭಿಸಿನಂತರ ಅಪ್ಲಿಕೇಶನ್ YARA ಎಕ್ಸಿಕ್ಯೂಟಬಲ್ ಅನ್ನು ಅಪೇಕ್ಷಿತ ನಿಯತಾಂಕಗಳೊಂದಿಗೆ ಪ್ರಾರಂಭಿಸುತ್ತದೆ: ಫೋಲ್ಡರ್‌ನಲ್ಲಿರುವ ಎಲ್ಲಾ ಫೈಲ್‌ಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುವುದು, ಉಪ ಡೈರೆಕ್ಟರಿಗಳ ಪುನರಾವರ್ತಿತ ವಿಶ್ಲೇಷಣೆ, ಅಂಕಿಅಂಶಗಳನ್ನು ಔಟ್‌ಪುಟ್ ಮಾಡುವುದು, ಮೆಟಾಡೇಟಾವನ್ನು ಮುದ್ರಿಸುವುದು ಇತ್ಯಾದಿ. ಯಾವುದೇ ಹೊಂದಾಣಿಕೆಗಳನ್ನು ಫಲಿತಾಂಶಗಳ ವಿಂಡೋದಲ್ಲಿ ಪ್ರದರ್ಶಿಸಲಾಗುತ್ತದೆ, ಯಾವ ಫೈಲ್ ಯಾವ ನಿಯಮಕ್ಕೆ ಹೊಂದಿಕೆಯಾಗಿದೆ ಎಂಬುದನ್ನು ಸೂಚಿಸುತ್ತದೆ.

ಈ ಕೆಲಸದ ಹರಿವು, ಉದಾಹರಣೆಗೆ, ರಫ್ತು ಮಾಡಿದ ಇಮೇಲ್‌ಗಳ ಬ್ಯಾಚ್‌ನಲ್ಲಿನ ಸಮಸ್ಯೆಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಅನುಮತಿಸುತ್ತದೆ. ದುರುದ್ದೇಶಪೂರಿತ ಎಂಬೆಡೆಡ್ ಚಿತ್ರಗಳು, ಅಪಾಯಕಾರಿ ಲಗತ್ತುಗಳು ಅಥವಾ ನಿರುಪದ್ರವಿ ಫೈಲ್‌ಗಳಲ್ಲಿ ಮರೆಮಾಡಲಾಗಿರುವ ವೆಬ್‌ಶೆಲ್‌ಗಳುಕಾರ್ಪೊರೇಟ್ ಪರಿಸರದಲ್ಲಿನ ಅನೇಕ ವಿಧಿವಿಜ್ಞಾನ ತನಿಖೆಗಳು ಈ ರೀತಿಯ ಕಾರ್ಯವಿಧಾನವನ್ನು ನಿಖರವಾಗಿ ಅವಲಂಬಿಸಿವೆ.

YARA ಅನ್ನು ಆಹ್ವಾನಿಸುವಾಗ ಹೆಚ್ಚು ಉಪಯುಕ್ತವಾದ ನಿಯತಾಂಕಗಳಿಗೆ ಸಂಬಂಧಿಸಿದಂತೆ, ಈ ಕೆಳಗಿನಂತಹ ಆಯ್ಕೆಗಳು ಎದ್ದು ಕಾಣುತ್ತವೆ: ಪುನರಾವರ್ತಿತವಾಗಿ ಹುಡುಕಲು -r, ಅಂಕಿಅಂಶಗಳನ್ನು ಪ್ರದರ್ಶಿಸಲು -S, ಮೆಟಾಡೇಟಾವನ್ನು ಹೊರತೆಗೆಯಲು -m ಮತ್ತು ಎಚ್ಚರಿಕೆಗಳನ್ನು ನಿರ್ಲಕ್ಷಿಸಲು -wಈ ಫ್ಲ್ಯಾಗ್‌ಗಳನ್ನು ಸಂಯೋಜಿಸುವ ಮೂಲಕ ನೀವು ನಡವಳಿಕೆಯನ್ನು ನಿಮ್ಮ ಪ್ರಕರಣಕ್ಕೆ ಸರಿಹೊಂದಿಸಬಹುದು: ನಿರ್ದಿಷ್ಟ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ತ್ವರಿತ ವಿಶ್ಲೇಷಣೆಯಿಂದ ಸಂಕೀರ್ಣ ಫೋಲ್ಡರ್ ರಚನೆಯ ಸಂಪೂರ್ಣ ಸ್ಕ್ಯಾನ್‌ವರೆಗೆ.

YARA ನಿಯಮಗಳನ್ನು ಬರೆಯುವಾಗ ಮತ್ತು ನಿರ್ವಹಿಸುವಾಗ ಉತ್ತಮ ಅಭ್ಯಾಸಗಳು

ನಿಮ್ಮ ನಿಯಮಗಳ ಭಂಡಾರವು ನಿರ್ವಹಿಸಲಾಗದ ಅವ್ಯವಸ್ಥೆಯಾಗುವುದನ್ನು ತಡೆಯಲು, ಉತ್ತಮ ಅಭ್ಯಾಸಗಳ ಸರಣಿಯನ್ನು ಅನ್ವಯಿಸುವುದು ಸೂಕ್ತವಾಗಿದೆ. ಮೊದಲನೆಯದು ಸ್ಥಿರವಾದ ಟೆಂಪ್ಲೇಟ್‌ಗಳು ಮತ್ತು ಹೆಸರಿಸುವ ಸಂಪ್ರದಾಯಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವುದು.ಇದರಿಂದ ಯಾವುದೇ ವಿಶ್ಲೇಷಕನು ಪ್ರತಿಯೊಂದು ನಿಯಮವು ಏನು ಮಾಡುತ್ತದೆ ಎಂಬುದನ್ನು ಒಂದು ನೋಟದಲ್ಲಿ ಅರ್ಥಮಾಡಿಕೊಳ್ಳಬಹುದು.

ಅನೇಕ ತಂಡಗಳು ಒಳಗೊಂಡಿರುವ ಪ್ರಮಾಣಿತ ಸ್ವರೂಪವನ್ನು ಅಳವಡಿಸಿಕೊಳ್ಳುತ್ತವೆ ಮೆಟಾಡೇಟಾ, ಬೆದರಿಕೆ ಪ್ರಕಾರ, ನಟ ಅಥವಾ ವೇದಿಕೆಯನ್ನು ಸೂಚಿಸುವ ಟ್ಯಾಗ್‌ಗಳು ಮತ್ತು ಏನನ್ನು ಪತ್ತೆಹಚ್ಚಲಾಗುತ್ತಿದೆ ಎಂಬುದರ ಸ್ಪಷ್ಟ ವಿವರಣೆಯನ್ನು ಹೊಂದಿರುವ ಹೆಡರ್ಇದು ಆಂತರಿಕವಾಗಿ ಮಾತ್ರವಲ್ಲದೆ, ನೀವು ಸಮುದಾಯದೊಂದಿಗೆ ನಿಯಮಗಳನ್ನು ಹಂಚಿಕೊಂಡಾಗ ಅಥವಾ ಸಾರ್ವಜನಿಕ ಭಂಡಾರಗಳಿಗೆ ಕೊಡುಗೆ ನೀಡಿದಾಗಲೂ ಸಹಾಯ ಮಾಡುತ್ತದೆ.

ಇನ್ನೊಂದು ಶಿಫಾರಸು ಏನೆಂದರೆ ಯಾವಾಗಲೂ ಅದನ್ನು ನೆನಪಿನಲ್ಲಿಡಿ ಯಾರಾ ಎಂಬುದು ರಕ್ಷಣೆಯ ಇನ್ನೊಂದು ಪದರ ಮಾತ್ರ.ಇದು ಆಂಟಿವೈರಸ್ ಸಾಫ್ಟ್‌ವೇರ್ ಅಥವಾ EDR ಅನ್ನು ಬದಲಾಯಿಸುವುದಿಲ್ಲ, ಬದಲಿಗೆ ಅವುಗಳನ್ನು ತಂತ್ರಗಳಲ್ಲಿ ಪೂರಕಗೊಳಿಸುತ್ತದೆ ನಿಮ್ಮ ವಿಂಡೋಸ್ ಪಿಸಿಯನ್ನು ರಕ್ಷಿಸಿಆದರ್ಶಪ್ರಾಯವಾಗಿ, YARA ವಿಶಾಲವಾದ ಉಲ್ಲೇಖ ಚೌಕಟ್ಟುಗಳೊಳಗೆ ಹೊಂದಿಕೊಳ್ಳಬೇಕು, ಉದಾಹರಣೆಗೆ NIST ಫ್ರೇಮ್‌ವರ್ಕ್, ಇದು ಆಸ್ತಿ ಗುರುತಿಸುವಿಕೆ, ರಕ್ಷಣೆ, ಪತ್ತೆ, ಪ್ರತಿಕ್ರಿಯೆ ಮತ್ತು ಚೇತರಿಕೆಯನ್ನು ಸಹ ತಿಳಿಸುತ್ತದೆ.

ತಾಂತ್ರಿಕ ದೃಷ್ಟಿಕೋನದಿಂದ, ಸಮಯವನ್ನು ಮೀಸಲಿಡುವುದು ಯೋಗ್ಯವಾಗಿದೆ ತಪ್ಪು ಧನಾತ್ಮಕತೆಯನ್ನು ತಪ್ಪಿಸಿಇದು ಅತಿಯಾದ ಜೆನೆರಿಕ್ ಸ್ಟ್ರಿಂಗ್‌ಗಳನ್ನು ತಪ್ಪಿಸುವುದು, ಹಲವಾರು ಷರತ್ತುಗಳನ್ನು ಸಂಯೋಜಿಸುವುದು ಮತ್ತು ಆಪರೇಟರ್‌ಗಳನ್ನು ಬಳಸುವುದನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ, ಉದಾಹರಣೆಗೆ ಎಲ್ಲಾ o ಯಾವುದಾದರೂ ನಿಮ್ಮ ತಲೆಯನ್ನು ಬಳಸಿ ಮತ್ತು ಫೈಲ್‌ನ ರಚನಾತ್ಮಕ ಗುಣಲಕ್ಷಣಗಳ ಲಾಭವನ್ನು ಪಡೆದುಕೊಳ್ಳಿ. ಮಾಲ್‌ವೇರ್‌ನ ನಡವಳಿಕೆಯನ್ನು ಸುತ್ತುವರೆದಿರುವ ತರ್ಕವು ಹೆಚ್ಚು ನಿರ್ದಿಷ್ಟವಾದಷ್ಟೂ ಉತ್ತಮ.

ಅಂತಿಮವಾಗಿ, ಶಿಸ್ತನ್ನು ಕಾಪಾಡಿಕೊಳ್ಳಿ ಆವೃತ್ತಿ ಮತ್ತು ಆವರ್ತಕ ವಿಮರ್ಶೆ ಇದು ನಿರ್ಣಾಯಕ. ಮಾಲ್‌ವೇರ್ ಕುಟುಂಬಗಳು ವಿಕಸನಗೊಳ್ಳುತ್ತವೆ, ಸೂಚಕಗಳು ಬದಲಾಗುತ್ತವೆ ಮತ್ತು ಇಂದು ಕಾರ್ಯನಿರ್ವಹಿಸುವ ನಿಯಮಗಳು ವಿಫಲವಾಗಬಹುದು ಅಥವಾ ಬಳಕೆಯಲ್ಲಿಲ್ಲದಿರಬಹುದು. ನಿಮ್ಮ ನಿಯಮಗಳ ಗುಂಪನ್ನು ನಿಯತಕಾಲಿಕವಾಗಿ ಪರಿಶೀಲಿಸುವುದು ಮತ್ತು ಪರಿಷ್ಕರಿಸುವುದು ಸೈಬರ್ ಭದ್ರತೆಯ ಬೆಕ್ಕು-ಮತ್ತು-ಇಲಿಯ ಆಟದ ಭಾಗವಾಗಿದೆ.

YARA ಸಮುದಾಯ ಮತ್ತು ಲಭ್ಯವಿರುವ ಸಂಪನ್ಮೂಲಗಳು

YARA ಇಲ್ಲಿಯವರೆಗೆ ಬರಲು ಪ್ರಮುಖ ಕಾರಣವೆಂದರೆ ಅದರ ಸಮುದಾಯದ ಬಲ. ಪ್ರಪಂಚದಾದ್ಯಂತದ ಸಂಶೋಧಕರು, ಭದ್ರತಾ ಸಂಸ್ಥೆಗಳು ಮತ್ತು ಪ್ರತಿಕ್ರಿಯೆ ತಂಡಗಳು ನಿರಂತರವಾಗಿ ನಿಯಮಗಳು, ಉದಾಹರಣೆಗಳು ಮತ್ತು ದಸ್ತಾವೇಜನ್ನು ಹಂಚಿಕೊಳ್ಳುತ್ತವೆ.ಅತ್ಯಂತ ಶ್ರೀಮಂತ ಪರಿಸರ ವ್ಯವಸ್ಥೆಯನ್ನು ಸೃಷ್ಟಿಸುತ್ತದೆ.

ಉಲ್ಲೇಖದ ಮುಖ್ಯ ಅಂಶವೆಂದರೆ GitHub ನಲ್ಲಿ YARA ನ ಅಧಿಕೃತ ಭಂಡಾರಅಲ್ಲಿ ನೀವು ಉಪಕರಣದ ಇತ್ತೀಚಿನ ಆವೃತ್ತಿಗಳು, ಮೂಲ ಕೋಡ್ ಮತ್ತು ದಸ್ತಾವೇಜನ್ನು ಲಿಂಕ್‌ಗಳನ್ನು ಕಾಣಬಹುದು. ಅಲ್ಲಿಂದ ನೀವು ಯೋಜನೆಯ ಪ್ರಗತಿಯನ್ನು ಅನುಸರಿಸಬಹುದು, ಸಮಸ್ಯೆಗಳನ್ನು ವರದಿ ಮಾಡಬಹುದು ಅಥವಾ ನೀವು ಬಯಸಿದರೆ ಸುಧಾರಣೆಗಳಿಗೆ ಕೊಡುಗೆ ನೀಡಬಹುದು.

ReadTheDocs ನಂತಹ ವೇದಿಕೆಗಳಲ್ಲಿ ಲಭ್ಯವಿರುವ ಅಧಿಕೃತ ದಸ್ತಾವೇಜನ್ನು ನೀಡುತ್ತದೆ ಸಂಪೂರ್ಣ ಸಿಂಟ್ಯಾಕ್ಸ್ ಮಾರ್ಗದರ್ಶಿ, ಲಭ್ಯವಿರುವ ಮಾಡ್ಯೂಲ್‌ಗಳು, ನಿಯಮ ಉದಾಹರಣೆಗಳು ಮತ್ತು ಬಳಕೆಯ ಉಲ್ಲೇಖಗಳುPE ತಪಾಸಣೆ, ELF, ಮೆಮೊರಿ ನಿಯಮಗಳು ಅಥವಾ ಇತರ ಪರಿಕರಗಳೊಂದಿಗೆ ಏಕೀಕರಣಗಳಂತಹ ಅತ್ಯಾಧುನಿಕ ಕಾರ್ಯಗಳ ಲಾಭವನ್ನು ಪಡೆಯಲು ಇದು ಅತ್ಯಗತ್ಯ ಸಂಪನ್ಮೂಲವಾಗಿದೆ.

ಇದರ ಜೊತೆಗೆ, YARA ನಿಯಮಗಳು ಮತ್ತು ಸಹಿಗಳ ಸಮುದಾಯ ಭಂಡಾರಗಳಿವೆ, ಅಲ್ಲಿ ಪ್ರಪಂಚದಾದ್ಯಂತದ ವಿಶ್ಲೇಷಕರು ಅವರು ಬಳಸಲು ಸಿದ್ಧವಾಗಿರುವ ಸಂಗ್ರಹಗಳನ್ನು ಅಥವಾ ನಿಮ್ಮ ಅಗತ್ಯಗಳಿಗೆ ಹೊಂದಿಕೊಳ್ಳಬಹುದಾದ ಸಂಗ್ರಹಗಳನ್ನು ಪ್ರಕಟಿಸುತ್ತಾರೆ.ಈ ರೆಪೊಸಿಟರಿಗಳು ಸಾಮಾನ್ಯವಾಗಿ ನಿರ್ದಿಷ್ಟ ಮಾಲ್‌ವೇರ್ ಕುಟುಂಬಗಳಿಗೆ ನಿಯಮಗಳು, ಶೋಷಣೆ ಕಿಟ್‌ಗಳು, ದುರುದ್ದೇಶಪೂರಿತವಾಗಿ ಬಳಸುವ ಪೆಂಟೆಸ್ಟಿಂಗ್ ಪರಿಕರಗಳು, ವೆಬ್‌ಶೆಲ್‌ಗಳು, ಕ್ರಿಪ್ಟೋಮೈನರ್‌ಗಳು ಮತ್ತು ಇನ್ನೂ ಹೆಚ್ಚಿನದನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ.

ಸಮಾನಾಂತರವಾಗಿ, ಅನೇಕ ತಯಾರಕರು ಮತ್ತು ಸಂಶೋಧನಾ ಗುಂಪುಗಳು ನೀಡುತ್ತವೆ ಯಾರಾದಲ್ಲಿ ಮೂಲ ಹಂತಗಳಿಂದ ಹಿಡಿದು ಅತ್ಯಾಧುನಿಕ ಕೋರ್ಸ್‌ಗಳವರೆಗೆ ನಿರ್ದಿಷ್ಟ ತರಬೇತಿಈ ಉಪಕ್ರಮಗಳು ಸಾಮಾನ್ಯವಾಗಿ ವರ್ಚುವಲ್ ಲ್ಯಾಬ್‌ಗಳು ಮತ್ತು ನೈಜ-ಪ್ರಪಂಚದ ಸನ್ನಿವೇಶಗಳನ್ನು ಆಧರಿಸಿದ ಪ್ರಾಯೋಗಿಕ ವ್ಯಾಯಾಮಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ. ಕೆಲವು ಲಾಭರಹಿತ ಸಂಸ್ಥೆಗಳು ಅಥವಾ ಉದ್ದೇಶಿತ ದಾಳಿಗೆ ವಿಶೇಷವಾಗಿ ಗುರಿಯಾಗುವ ಘಟಕಗಳಿಗೆ ಉಚಿತವಾಗಿ ನೀಡಲಾಗುತ್ತದೆ.

ಈ ಸಂಪೂರ್ಣ ಪರಿಸರ ವ್ಯವಸ್ಥೆಯ ಅರ್ಥವೇನೆಂದರೆ, ಸ್ವಲ್ಪ ಸಮರ್ಪಣೆಯೊಂದಿಗೆ, ನೀವು ನಿಮ್ಮ ಮೊದಲ ಮೂಲಭೂತ ನಿಯಮಗಳನ್ನು ಬರೆಯುವುದರಿಂದ ಹಿಡಿದು ಸಂಕೀರ್ಣ ಅಭಿಯಾನಗಳನ್ನು ಪತ್ತೆಹಚ್ಚುವ ಮತ್ತು ಅಭೂತಪೂರ್ವ ಬೆದರಿಕೆಗಳನ್ನು ಪತ್ತೆಹಚ್ಚುವ ಸಾಮರ್ಥ್ಯವಿರುವ ಅತ್ಯಾಧುನಿಕ ಸೂಟ್‌ಗಳನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಿ.ಮತ್ತು, YARA ಅನ್ನು ಸಾಂಪ್ರದಾಯಿಕ ಆಂಟಿವೈರಸ್, ಸುರಕ್ಷಿತ ಬ್ಯಾಕಪ್ ಮತ್ತು ಬೆದರಿಕೆ ಬುದ್ಧಿಮತ್ತೆಯೊಂದಿಗೆ ಸಂಯೋಜಿಸುವ ಮೂಲಕ, ಇಂಟರ್ನೆಟ್‌ನಲ್ಲಿ ಸುತ್ತಾಡುವ ದುರುದ್ದೇಶಪೂರಿತ ನಟರಿಗೆ ನೀವು ವಿಷಯಗಳನ್ನು ಗಣನೀಯವಾಗಿ ಹೆಚ್ಚು ಕಷ್ಟಕರವಾಗಿಸುತ್ತೀರಿ.

ಮೇಲಿನ ಎಲ್ಲಾ ಅಂಶಗಳನ್ನು ಗಮನಿಸಿದರೆ, YARA ಕೇವಲ ಒಂದು ಸರಳ ಆಜ್ಞಾ ಸಾಲಿನ ಉಪಯುಕ್ತತೆಗಿಂತ ಹೆಚ್ಚಿನದಾಗಿದೆ ಎಂಬುದು ಸ್ಪಷ್ಟವಾಗುತ್ತದೆ: ಅದು ಒಂದು ಕೀ ತುಂಡು ಯಾವುದೇ ಮುಂದುವರಿದ ಮಾಲ್ವೇರ್ ಪತ್ತೆ ತಂತ್ರದಲ್ಲಿ, ವಿಶ್ಲೇಷಕರಾಗಿ ನಿಮ್ಮ ಆಲೋಚನಾ ವಿಧಾನಕ್ಕೆ ಹೊಂದಿಕೊಳ್ಳುವ ಹೊಂದಿಕೊಳ್ಳುವ ಸಾಧನ ಮತ್ತು ಎ ಸಾಮಾನ್ಯ ಭಾಷೆ ಇದು ಪ್ರಪಂಚದಾದ್ಯಂತದ ಪ್ರಯೋಗಾಲಯಗಳು, SOC ಗಳು ಮತ್ತು ಸಂಶೋಧನಾ ಸಮುದಾಯಗಳನ್ನು ಸಂಪರ್ಕಿಸುತ್ತದೆ, ಪ್ರತಿಯೊಂದು ಹೊಸ ನಿಯಮವು ಹೆಚ್ಚುತ್ತಿರುವ ಅತ್ಯಾಧುನಿಕ ಅಭಿಯಾನಗಳ ವಿರುದ್ಧ ರಕ್ಷಣೆಯ ಮತ್ತೊಂದು ಪದರವನ್ನು ಸೇರಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ.