고급 맬웨어 탐지를 위해 YARA를 사용하는 방법

¿고급 맬웨어 감지를 위해 YARA를 어떻게 활용하나요? 기존의 바이러스 백신 프로그램이 한계에 도달하고 공격자가 가능한 모든 틈새를 뚫고 침투할 때 사고 대응 연구실에서 없어서는 안 될 도구가 등장합니다. 맬웨어 사냥을 위한 "스위스 칼" YARA텍스트 및 바이너리 패턴을 사용하여 악성 소프트웨어 계열을 설명하도록 설계되었으며, 단순한 해시 매칭을 훨씬 뛰어넘을 수 있습니다.

적절한 사람의 손에 들어가면 YARA는 단순히 위치를 찾는 데에만 사용되는 것이 아닙니다. 알려진 악성코드 샘플뿐만 아니라 새로운 변종, 제로데이 익스플로잇, 심지어 상업용 공격 도구까지이 글에서는 YARA를 이용해 고급 맬웨어를 탐지하는 방법, 견고한 규칙을 작성하는 방법, 규칙을 테스트하는 방법, 규칙을 Veeam이나 자체 분석 워크플로와 같은 플랫폼에 통합하는 방법, 그리고 전문가 커뮤니티에서 따르는 모범 사례에 대해 심층적이고 실질적으로 알아보겠습니다.

YARA란 무엇이고, 맬웨어 감지에 왜 그렇게 강력한가요?

YARA는 "Yet Another Recursive Acronym"의 약자로 위협 분석의 사실상 표준이 되었습니다. 읽기 쉽고 명확하며 매우 유연한 규칙을 사용하여 맬웨어 계열을 설명할 수 있습니다.YARA는 정적인 바이러스 백신 시그니처에만 의존하는 대신 사용자가 직접 정의한 패턴을 사용하여 작동합니다.

기본 아이디어는 간단합니다. YARA 규칙은 파일(또는 메모리 또는 데이터 스트림)을 검사하고 일련의 조건이 충족되는지 확인합니다. 텍스트 문자열, 16진수 시퀀스, 정규 표현식 또는 파일 속성을 기반으로 하는 조건조건이 충족되면 "일치"가 있으며, 경고, 차단 또는 보다 심층적인 분석을 수행할 수 있습니다.

이 접근 방식을 사용하면 보안 팀이 모든 유형의 맬웨어(클래식 바이러스, 웜, 트로이 목마, 랜섬웨어, 웹셸, 암호화폐 채굴기, 악성 매크로 등)를 식별하고 분류합니다.특정 파일 확장자나 형식에만 국한되지 않으므로 .pdf 확장자를 가진 위장된 실행 파일이나 웹셸이 포함된 HTML 파일도 감지합니다.

또한 YARA는 이미 사이버 보안 생태계의 많은 주요 서비스와 도구에 통합되어 있습니다. VirusTotal, Cuckoo와 같은 샌드박스, Veeam과 같은 백업 플랫폼 또는 최고 수준의 제조업체가 제공하는 위협 사냥 솔루션따라서 YARA를 완벽하게 이해하는 것은 고급 분석가와 연구자에게는 거의 필수가 되었습니다.

악성 소프트웨어 탐지에 있어 YARA의 고급 사용 사례

YARA의 장점 중 하나는 SOC부터 맬웨어 연구소까지 다양한 보안 시나리오에 완벽하게 적응할 수 있다는 것입니다. 일회성 사냥과 지속적인 모니터링에는 동일한 규칙이 적용됩니다..

가장 직접적인 사례는 다음을 만드는 것입니다. 특정 맬웨어 또는 전체 제품군에 대한 특정 규칙조직이 알려진 계열(예: 원격 액세스 트로이 목마 또는 APT 위협)을 기반으로 한 캠페인의 공격을 받는 경우 특징적인 문자열과 패턴을 프로파일링하고 새로운 관련 샘플을 빠르게 식별하는 규칙을 생성할 수 있습니다.

또 다른 고전적인 사용은 초점입니다 서명 기반 YARA이러한 규칙은 동일한 악성코드의 여러 변종에서 반복되는 해시, 매우 구체적인 텍스트 문자열, 코드 조각, 레지스트리 키, 심지어 특정 바이트 시퀀스까지 찾아내도록 설계되었습니다. 하지만 사소한 문자열만 검색하면 오탐(false positive)이 발생할 위험이 있다는 점을 명심해야 합니다.

YARA는 필터링 측면에서도 빛을 발합니다. 파일 유형 또는 구조적 특성파일 크기, 특정 헤더(예: PE 실행 파일의 경우 0x5A4D) 또는 의심스러운 함수 가져오기와 같은 속성을 문자열과 결합하여 PE 실행 파일, 오피스 문서, PDF 또는 사실상 모든 형식에 적용되는 규칙을 만들 수 있습니다.

현대 환경에서는 다음과 같은 용도로 사용됩니다. 위협 정보공개 저장소, 연구 보고서 및 IOC 피드는 YARA 규칙으로 변환되어 SIEM, EDR, 백업 플랫폼 또는 샌드박스에 통합됩니다. 이를 통해 조직은 이미 분석된 캠페인과 특성을 공유하는 새로운 위협을 신속하게 감지합니다..

YARA 규칙의 구문 이해

YARA의 구문은 C의 구문과 매우 유사하지만, 더 간단하고 집중적인 방식입니다. 각 규칙은 이름, 선택적 메타데이터 섹션, 문자열 섹션, 그리고 반드시 조건 섹션으로 구성됩니다.이제부터 중요한 것은 이 모든 것을 어떻게 결합하느냐에 달려 있습니다.

첫 번째는… 규칙 이름키워드 바로 뒤에 와야 합니다. 규칙 (o 자 스페인어로 문서화하는 경우 파일의 키워드는 다음과 같습니다. 규칙유효한 식별자여야 합니다. 공백, 숫자, 밑줄은 사용할 수 없습니다. 다음과 같이 명확한 규칙을 따르는 것이 좋습니다. 맬웨어 패밀리 변종 o APT_액터_툴이를 통해 무엇을 감지하려는지 한눈에 파악할 수 있습니다.

다음은 섹션입니다 문자열검색할 패턴을 정의하는 곳입니다. 여기서는 세 가지 주요 유형을 사용할 수 있습니다. 텍스트 문자열, 16진수 시퀀스 및 정규 표현식텍스트 문자열은 사람이 읽을 수 있는 코드 조각, URL, 내부 메시지, 경로명 또는 PDB에 적합합니다. 16진수를 사용하면 원시 바이트 패턴을 캡처할 수 있는데, 이는 코드가 난독화되었지만 특정 상수 시퀀스가 ​​유지되는 경우 매우 유용합니다.

정규 표현식은 도메인 변경이나 코드의 약간 변경된 부분 등 문자열의 작은 변화를 처리해야 할 때 유연성을 제공합니다. 또한 문자열과 정규 표현식 모두 임의의 바이트를 표현하기 위해 이스케이프를 허용합니다.이를 통해 매우 정밀한 하이브리드 패턴이 가능해졌습니다.

해당 섹션 상태 유일하게 필수이며, 규칙이 파일과 "일치"하는 것으로 간주되는 시점을 정의합니다. 여기서는 부울 연산과 산술 연산을 사용합니다(그리고, 또는, 아님, +, -, *, /, 어떤, 전부, 포함 등.) 단순히 "이 문자열이 나타나면"보다 더 세부적인 감지 논리를 표현합니다.

예를 들어, 파일이 특정 크기보다 작거나, 모든 중요한 문자열이 나타나거나, 여러 문자열 중 하나 이상이 존재하는 경우에만 규칙이 유효하도록 지정할 수 있습니다. 문자열 길이, 일치 항목 수, 파일의 특정 오프셋 또는 파일 자체의 크기와 같은 조건을 결합할 수도 있습니다.창의성은 일반적인 규칙과 외과적 발견의 차이를 만듭니다.

마지막으로 선택 섹션이 있습니다. 목표해당 기간을 기록하는 데 이상적입니다. 다음을 포함하는 것이 일반적입니다. 작성자, 생성 날짜, 설명, 내부 버전, 보고서 또는 티켓 참조 그리고 일반적으로 저장소를 체계적으로 정리하고 다른 분석가가 이해하기 쉽게 유지하는 데 도움이 되는 모든 정보입니다.

고급 YARA 규칙의 실제 예

위에 언급한 모든 내용을 좀 더 이해하기 쉽게 설명하자면, 간단한 규칙이 어떻게 구성되는지, 그리고 실행 파일, 의심스러운 가져오기, 반복적인 명령어 시퀀스가 ​​적용되면 어떻게 더 복잡해지는지 살펴보는 것이 도움이 됩니다. 장난감 자부터 시작해서 점차 크기를 키워보세요..

최소 규칙은 문자열과 해당 문자열을 필수로 만드는 조건만 포함할 수 있습니다. 예를 들어, 특정 텍스트 문자열이나 악성 코드 조각을 나타내는 바이트 시퀀스를 검색할 수 있습니다. 이 경우의 조건은 해당 문자열이나 패턴이 나타나면 규칙이 충족된다는 것을 간단히 명시합니다., 추가 필터 없이.

그러나 실제 환경에서는 이것이 부족합니다. 간단한 체인은 종종 많은 거짓 양성을 생성합니다.그렇기 때문에 여러 문자열(텍스트와 16진수)을 추가 제한과 함께 결합하는 것이 일반적입니다. 즉, 파일이 특정 크기를 초과하지 않아야 하고, 특정 헤더를 포함해야 하며, 정의된 각 그룹에서 하나 이상의 문자열이 발견되는 경우에만 활성화되어야 합니다.

PE 실행 파일 분석의 일반적인 예에는 모듈 가져오기가 포함됩니다. pe YARA에서 바이너리의 내부 속성(가져온 함수, 섹션, 타임스탬프 등)을 쿼리할 수 있습니다. 고급 규칙에서는 파일을 가져와야 할 수도 있습니다. CreateProcess ~에서 Kernel32.dll 그리고 일부 HTTP 함수 wininet.dll, 악의적인 행동을 나타내는 특정 문자열을 포함하고 있습니다.

이 유형의 논리는 위치를 찾는 데 적합합니다. 원격 연결 또는 유출 기능이 있는 트로이 목마파일 이름이나 경로가 캠페인마다 바뀌더라도 마찬가지입니다. 중요한 것은 프로세스 생성, HTTP 요청, 암호화, 지속성 등 기본 동작에 집중하는 것입니다.

또 다른 매우 효과적인 기술은 다음을 살펴보는 것입니다. 반복되는 명령어 시퀀스 동일한 패밀리의 샘플 간에도 마찬가지입니다. 공격자가 바이너리를 패키징하거나 난독화하더라도 변경하기 어려운 코드 부분을 재사용하는 경우가 많습니다. 정적 분석 후 일정한 명령어 블록을 발견하면 다음을 사용하여 규칙을 공식화할 수 있습니다. 16진수 문자열의 와일드카드 일정한 허용 오차를 유지하면서 해당 패턴을 포착합니다.

이러한 "코드 동작 기반" 규칙을 사용하면 가능합니다. PlugX/Korplug 또는 기타 APT 제품군과 같은 전체 맬웨어 캠페인을 추적합니다.단순히 특정 해시를 감지하는 것이 아니라, 말하자면 공격자의 개발 스타일을 추적하는 것입니다.

실제 캠페인 및 제로데이 위협에서의 YARA 활용

YARA는 특히 기존 보호 메커니즘이 너무 늦게 도입되는 고급 위협 및 제로데이 공격 분야에서 그 가치를 입증했습니다. 잘 알려진 예로는 YARA를 사용하여 최소한의 유출된 정보로 Silverlight의 취약점을 찾아내는 것입니다..

이 경우, 공격 도구 개발 전문 회사에서 도난당한 이메일에서 특정 공격에 맞춰 규칙을 구축하기에 충분한 패턴이 추론되었습니다. 연구자들은 단 하나의 규칙으로 수많은 의심스러운 파일 속에서도 샘플을 추적할 수 있었습니다.악용 사례를 파악하고 패치를 강제 적용하여 훨씬 더 심각한 피해를 방지합니다.

이러한 유형의 스토리는 YARA가 어떻게 기능할 수 있는지 보여줍니다. 파일 바다 속의 어망회사 네트워크를 온갖 종류의 "물고기"(파일)로 가득 찬 바다라고 상상해 보세요. 규칙은 트롤 그물의 구획과 같습니다. 각 구획에는 특정 특성에 맞는 물고기가 보관됩니다.

드래그를 마치면, 특정 가족이나 공격자 그룹과의 유사성에 따라 그룹화된 샘플: "종 X와 유사", "종 Y와 유사" 등. 이러한 샘플 중 일부는 여러분에게 완전히 새로운 것일 수 있습니다(새로운 바이너리, 새로운 캠페인). 하지만 이러한 샘플은 알려진 패턴에 부합하므로 분류와 대응 속도가 빨라집니다.

이러한 맥락에서 YARA를 최대한 활용하기 위해 많은 조직이 결합합니다. 고급 교육, 실습실 및 통제된 실험 환경좋은 규칙을 작성하는 기술에만 전념하는 고도로 전문화된 과정이 있는데, 이는 종종 실제 사이버 스파이 사례를 기반으로 하며, 학생들은 실제 샘플을 사용하여 연습하고, 정확히 무엇을 찾고 있는지 모르더라도 "무언가"를 검색하는 방법을 배웁니다.

YARA를 백업 및 복구 플랫폼에 통합

YARA가 완벽하게 들어맞지만 종종 간과되는 한 가지 영역은 백업 보호입니다. 백업이 맬웨어나 랜섬웨어에 감염된 경우 복원을 통해 전체 캠페인을 다시 시작할 수 있습니다.그렇기 때문에 일부 제조업체는 YARA 엔진을 자사 솔루션에 직접 통합했습니다.

차세대 백업 플랫폼 출시 가능 복원 지점에 대한 YARA 규칙 기반 분석 세션목표는 두 가지입니다. 사고가 발생하기 전 마지막 "깨끗한" 지점을 찾는 것과 다른 검사에서 트리거되지 않았을 수 있는 파일에 숨겨진 악성 콘텐츠를 감지하는 것입니다.

이러한 환경에서 일반적인 프로세스에는 "옵션 선택"이 포함됩니다.YARA 자를 사용하여 복원 지점 스캔분석 작업 구성 중. 다음으로, 규칙 파일 경로가 지정됩니다(일반적으로 .yara 또는 .yar 확장자 사용). 이 파일은 일반적으로 백업 솔루션별 구성 폴더에 저장됩니다.

실행 중에 엔진은 복사본에 포함된 객체를 반복하고 규칙을 적용합니다. 모든 일치 항목을 특정 YARA 분석 로그에 기록합니다.관리자는 콘솔에서 이러한 로그를 보고, 통계를 검토하고, 어떤 파일이 경고를 발동했는지 확인하고, 각 일치 항목이 어떤 컴퓨터와 특정 날짜에 해당하는지 추적할 수도 있습니다.

이 통합은 다음과 같은 다른 메커니즘에 의해 보완됩니다. 이상 감지, 백업 크기 모니터링, 특정 IOC 검색 또는 의심스러운 도구 분석하지만 특정 랜섬웨어 계열이나 캠페인에 맞춰진 규칙을 찾는 경우 YARA는 검색을 구체화하는 데 가장 적합한 도구입니다.

네트워크를 중단하지 않고 YARA 규칙을 테스트하고 검증하는 방법

자신만의 규칙을 쓰기 시작하면, 다음으로 중요한 단계는 규칙을 철저히 테스트하는 것입니다. 지나치게 공격적인 규칙은 거짓 양성 결과를 대량으로 발생시킬 수 있고, 지나치게 느슨한 규칙은 실제 위협이 간과되도록 할 수 있습니다.그렇기 때문에 테스트 단계는 쓰기 단계만큼 중요합니다.

다행히도, 이를 위해 작동하는 악성코드로 가득 찬 연구실을 만들고 네트워크의 절반을 감염시킬 필요는 없습니다. 이러한 정보를 제공하는 저장소와 데이터세트가 이미 존재합니다. 연구 목적으로 알려진 및 제어되는 맬웨어 샘플해당 샘플을 격리된 환경에 다운로드하여 규칙에 대한 테스트베드로 사용할 수 있습니다.

일반적인 방법은 의심스러운 파일이 있는 디렉토리에 대해 명령줄에서 YARA를 로컬로 실행하는 것입니다. 규칙이 제대로 준수되고 깨끗한 파일에서도 거의 문제가 없다면 올바른 길을 가고 있는 것입니다.너무 자주 트리거되는 경우 문자열을 검토하고, 조건을 세부적으로 조정하거나 추가 제한(크기, 가져오기, 오프셋 등)을 도입해야 합니다.

또 다른 핵심은 규칙이 성능을 저하시키지 않도록 하는 것입니다. 대규모 디렉터리, 전체 백업 또는 방대한 샘플 컬렉션을 검사할 때는 최적화가 제대로 되지 않은 규칙은 분석 속도를 늦추거나 원하는 것보다 더 많은 리소스를 소모할 수 있습니다.따라서 타이밍을 측정하고, 복잡한 표현식을 단순화하고, 지나치게 무거운 정규 표현식을 피하는 것이 좋습니다.

해당 실험실 테스트 단계를 통과하면 다음을 수행할 수 있습니다. 규칙을 프로덕션 환경에 홍보합니다.SIEM, 백업 시스템, 이메일 서버 등 어디에든 통합할 수 있습니다. 또한 지속적인 검토 주기를 유지하는 것을 잊지 마세요. 캠페인이 발전함에 따라 규칙도 주기적으로 조정해야 합니다.

YARA를 활용한 도구, 프로그램 및 워크플로

공식 바이너리 외에도 많은 전문가가 YARA를 일상적으로 사용하기 쉽도록 작은 프로그램과 스크립트를 개발했습니다. 일반적인 접근 방식에는 다음이 포함됩니다. 나만의 보안 키트를 조립하세요 폴더의 모든 규칙을 자동으로 읽고 분석 디렉토리에 적용합니다..

이러한 유형의 자체 제작 도구는 일반적으로 간단한 디렉토리 구조로 작동합니다. 즉, 하나의 폴더가 있습니다. 인터넷에서 다운로드한 규칙 (예: "rulesyar") 및 다른 폴더 분석할 의심스러운 파일 (예: "맬웨어") 프로그램이 시작되면 두 폴더가 모두 있는지 확인하고, 화면에 규칙을 나열한 후 실행을 준비합니다.

"와 같은 버튼을 누르면점검 시작그런 다음 응용 프로그램은 원하는 매개변수(폴더의 모든 파일 검사, 하위 디렉터리의 재귀적 분석, 통계 출력, 메타데이터 인쇄 등)를 사용하여 YARA 실행 파일을 시작합니다. 일치하는 항목이 있으면 결과 창에 표시되어 어떤 파일이 어떤 규칙과 일치하는지 나타냅니다.

이 워크플로를 사용하면 예를 들어 일괄적으로 내보낸 이메일에서 문제를 감지할 수 있습니다. 겉보기에 무해한 파일에 숨겨진 악성 내장 이미지, 위험한 첨부 파일 또는 웹셸기업 환경에서 이루어지는 많은 법의학적 조사는 바로 이러한 유형의 메커니즘에 의존합니다.

YARA를 사용할 때 가장 유용한 매개변수와 관련하여 다음과 같은 옵션이 두드러집니다. -r은 재귀적으로 검색하고, -S는 통계를 표시하고, -m은 메타데이터를 추출하고, -w는 경고를 무시합니다.이러한 플래그를 결합하면 사례에 맞게 동작을 조정할 수 있습니다. 특정 디렉토리에 대한 빠른 분석부터 복잡한 폴더 구조에 대한 전체 검사까지 가능합니다.

YARA 규칙을 작성하고 유지 관리할 때의 모범 사례

규칙 저장소가 관리할 수 없을 정도로 엉망이 되는 것을 방지하려면 일련의 모범 사례를 적용하는 것이 좋습니다. 첫 번째는 일관된 템플릿과 명명 규칙을 사용하는 것입니다.따라서 모든 분석가는 각 규칙의 기능을 한눈에 이해할 수 있습니다.

많은 팀은 다음을 포함하는 표준 형식을 채택합니다. 메타데이터가 포함된 헤더, 위협 유형, 행위자 또는 플랫폼을 나타내는 태그, 감지되는 내용에 대한 명확한 설명이는 내부적으로만 도움이 되는 것이 아니라, 커뮤니티와 규칙을 공유하거나 공개 저장소에 기여할 때도 도움이 됩니다.

또 다른 권장 사항은 항상 다음 사항을 기억하는 것입니다. YARA는 단지 방어의 한 단계일 뿐입니다.이는 바이러스 백신 소프트웨어나 EDR을 대체하지 않지만 전략에 있어서 이를 보완합니다. Windows PC를 보호하세요이상적으로 YARA는 자산 식별, 보호, 탐지, 대응 및 복구를 다루는 NIST 프레임워크와 같은 더 광범위한 참조 프레임워크에 맞아야 합니다.

기술적인 관점에서 볼 때 시간을 할애하는 것이 가치가 있습니다. 오탐을 방지하세요여기에는 지나치게 일반적인 문자열을 피하고 여러 조건을 결합하고 다음과 같은 연산자를 사용하는 것이 포함됩니다. 모두 o 어떤 머리를 써서 파일의 구조적 특성을 활용하세요. 악성코드의 동작을 둘러싼 논리가 구체적일수록 더 좋습니다.

마지막으로, 규율을 유지하십시오. 버전 관리 및 정기 검토 매우 중요합니다. 악성코드 유형은 진화하고, 지표는 변화하며, 현재 효과적인 규칙은 부족하거나 쓸모없어질 수 있습니다. 규칙 세트를 주기적으로 검토하고 개선하는 것은 사이버 보안의 고양이와 쥐 게임과 같은 부분입니다.

YARA 커뮤니티 및 사용 가능한 리소스

YARA가 지금까지 발전할 수 있었던 가장 큰 이유 중 하나는 커뮤니티의 힘입니다. 전 세계의 연구자, 보안 회사 및 대응팀은 규칙, 사례 및 문서를 지속적으로 공유합니다.매우 풍부한 생태계를 조성하고 있습니다.

주요 참조점은 다음과 같습니다. GitHub의 YARA 공식 저장소여기에서 도구의 최신 버전, 소스 코드, 그리고 문서 링크를 확인하실 수 있습니다. 원하는 경우 프로젝트 진행 상황을 확인하고, 문제를 보고하고, 개선 사항에 기여하실 수 있습니다.

ReadTheDocs와 같은 플랫폼에서 제공되는 공식 문서는 다음과 같습니다. 완전한 구문 가이드, 사용 가능한 모듈, 규칙 예제 및 사용 참조이는 PE 검사, ELF, 메모리 규칙 또는 다른 도구와의 통합과 같은 가장 진보된 기능을 활용하는 데 필수적인 리소스입니다.

또한 전 세계 분석가들이 YARA 규칙 및 서명을 보관하는 커뮤니티 저장소가 있습니다. 그들은 바로 사용할 수 있는 컬렉션이나 사용자의 필요에 맞게 조정할 수 있는 컬렉션을 출판합니다.이러한 저장소에는 일반적으로 특정 맬웨어 계열, 익스플로잇 키트, 악의적으로 사용되는 침투 테스트 도구, 웹셸, 암호화폐 채굴기 등에 대한 규칙이 포함되어 있습니다.

동시에 많은 제조업체와 연구 그룹이 다음을 제공합니다. YARA의 기본 수준부터 매우 고급 과정까지 특별한 교육 제공이러한 이니셔티브에는 실제 시나리오를 기반으로 한 가상 랩과 실습이 포함되는 경우가 많습니다. 일부는 비영리 단체나 표적 공격에 특히 취약한 단체에 무료로 제공되기도 합니다.

이 전체 생태계는 약간의 헌신으로 첫 번째 기본 규칙을 작성하는 것부터 다음 단계로 넘어갈 수 있음을 의미합니다. 복잡한 캠페인을 추적하고 전례 없는 위협을 감지할 수 있는 정교한 제품군을 개발합니다.YARA를 기존의 바이러스 백신, 보안 백업, 위협 인텔리전스와 결합하면 악의적인 공격자가 인터넷을 돌아다니는 것을 훨씬 더 어렵게 만들 수 있습니다.

위의 모든 내용을 통해 YARA가 단순한 명령줄 유틸리티 그 이상이라는 것이 분명해졌습니다. 핵심 부품 모든 고급 맬웨어 탐지 전략에서 분석가로서의 사고방식에 적응하는 유연한 도구 공통 언어 전 세계의 실험실, SOC 및 연구 커뮤니티를 연결하여 새로운 규칙이 나올 때마다 점점 더 정교해지는 캠페인에 대한 보호 계층을 추가할 수 있습니다.