ວິທີການໃຊ້ YARA ສໍາລັບການກວດສອບ malware ຂັ້ນສູງ

¿ໃຊ້ YARA ສໍາລັບການກວດຫາ malware ຂັ້ນສູງແນວໃດ? ເມື່ອໂຄງການຕ້ານໄວຣັສແບບດັ້ງເດີມເຖິງຂອບເຂດຈໍາກັດຂອງພວກເຂົາແລະຜູ້ໂຈມຕີຜ່ານທຸກໆຮອຍແຕກທີ່ເປັນໄປໄດ້, ເຄື່ອງມືທີ່ຂາດບໍ່ໄດ້ຢູ່ໃນຫ້ອງທົດລອງຕອບໂຕ້ເຫດການເຂົ້າມາ: YARA, "ມີດສະວິດ" ສໍາລັບການລ່າສັດ malwareອອກແບບມາເພື່ອອະທິບາຍບັນດາຄອບຄົວຂອງຊອບແວທີ່ເປັນອັນຕະລາຍໂດຍໃຊ້ຕົວໜັງສື ແລະຮູບແບບຖານສອງ, ມັນອະນຸຍາດໃຫ້ໄປໄກກວ່າການຈັບຄູ່ hash ງ່າຍໆ.

ຢູ່ໃນມືທີ່ຖືກຕ້ອງ, YARA ບໍ່ພຽງແຕ່ສໍາລັບການຕັ້ງ ບໍ່ພຽງແຕ່ຕົວຢ່າງ malware ທີ່ຮູ້ຈັກເທົ່ານັ້ນ, ແຕ່ຍັງມີຕົວແປໃຫມ່, ການຂູດຮີດທີ່ບໍ່ມີວັນ, ແລະແມ້ກະທັ້ງເຄື່ອງມືການກະທໍາຜິດທາງການຄ້າ.ໃນບົດຄວາມນີ້, ພວກເຮົາຈະຄົ້ນຫາຢ່າງເລິກເຊິ່ງແລະປະຕິບັດວິທີການນໍາໃຊ້ YARA ສໍາລັບການກວດສອບ malware ຂັ້ນສູງ, ວິທີການຂຽນກົດລະບຽບທີ່ເຂັ້ມແຂງ, ວິທີການທົດສອບ, ວິທີການປະສົມປະສານໃຫ້ເຂົາເຈົ້າເຂົ້າໄປໃນເວທີເຊັ່ນ Veeam ຫຼືຂັ້ນຕອນການວິເຄາະຂອງທ່ານເອງ, ແລະການປະຕິບັດທີ່ດີທີ່ສຸດຂອງຊຸມຊົນມືອາຊີບຕໍ່ໄປນີ້.

YARA ແມ່ນຫຍັງ ແລະເປັນຫຍັງມັນຈຶ່ງມີປະສິດທິພາບຫຼາຍໃນການກວດສອບ malware?

YARA ຫຍໍ້ມາຈາກ "Tit Another Recursive Acronym" ແລະໄດ້ກາຍເປັນມາດຕະຖານຕົວຈິງໃນການວິເຄາະໄພຂົ່ມຂູ່ເພາະວ່າ ມັນອະນຸຍາດໃຫ້ອະທິບາຍຄອບຄົວ malware ໂດຍໃຊ້ກົດລະບຽບທີ່ສາມາດອ່ານໄດ້, ຊັດເຈນ, ແລະມີຄວາມຍືດຫຍຸ່ນສູງ.ແທນທີ່ຈະອີງໃສ່ພຽງແຕ່ລາຍເຊັນ antivirus ຄົງທີ່, YARA ເຮັດວຽກກັບຮູບແບບທີ່ທ່ານກໍານົດຕົວທ່ານເອງ.

ແນວຄວາມຄິດພື້ນຖານແມ່ນງ່າຍດາຍ: ກົດລະບຽບ YARA ກວດເບິ່ງໄຟລ໌ (ຫຼືຫນ່ວຍຄວາມຈໍາ, ຫຼືນ້ໍາຂໍ້ມູນ) ແລະກວດເບິ່ງວ່າຊຸດຂອງເງື່ອນໄຂແມ່ນບັນລຸໄດ້. ເງື່ອນໄຂໂດຍອີງໃສ່ສະຕຣິງຂໍ້ຄວາມ, ລໍາດັບເລກຖານສິບຫົກ, ການສະແດງຜົນປົກກະຕິ, ຫຼືຄຸນສົມບັດຂອງໄຟລ໌ຖ້າເງື່ອນໄຂຖືກບັນລຸ, ມີ "ກົງກັນ" ແລະທ່ານສາມາດເຕືອນ, ຕັນ, ຫຼືປະຕິບັດການວິເຄາະໃນຄວາມເລິກຕື່ມອີກ.

ວິທີການນີ້ອະນຸຍາດໃຫ້ທີມງານຄວາມປອດໄພ ກໍານົດແລະຈັດປະເພດ malware ຂອງທຸກປະເພດ: ໄວຣັສຄລາສສິກ, ແມ່ທ້ອງ, Trojans, ransomware, webshells, cryptominers, macros ອັນຕະລາຍ, ແລະອື່ນໆອີກ.ມັນບໍ່ຈໍາກັດສະເພາະການຂະຫຍາຍໄຟລ໌ ຫຼືຮູບແບບ, ດັ່ງນັ້ນມັນຍັງກວດພົບການປອມຕົວທີ່ສາມາດປະຕິບັດໄດ້ດ້ວຍນາມສະກຸນ .pdf ຫຼືໄຟລ໌ HTML ທີ່ມີ webshell.

ຍິ່ງໄປກວ່ານັ້ນ, YARA ໄດ້ຖືກລວມເຂົ້າກັບການບໍລິການ ແລະເຄື່ອງມືທີ່ສຳຄັນຫຼາຍຢ່າງຂອງລະບົບນິເວດຄວາມປອດໄພທາງໄຊເບີ: VirusTotal, sandboxes ເຊັ່ນ Cuckoo, ແພລະຕະຟອມສຳຮອງເຊັ່ນ Veeam, ຫຼືວິທີແກ້ໄຂການລ່າສັດໄພຂົ່ມຂູ່ຈາກຜູ້ຜະລິດຊັ້ນນໍາດັ່ງນັ້ນ, ການຮຽນຮູ້ YARA ໄດ້ກາຍເປັນເກືອບຄວາມຕ້ອງການສໍາລັບນັກວິເຄາະແລະນັກຄົ້ນຄວ້າຂັ້ນສູງ.

ກໍລະນີການນໍາໃຊ້ຂັ້ນສູງຂອງ YARA ໃນການກວດສອບ malware

ຫນຶ່ງໃນຈຸດແຂງຂອງ YARA ແມ່ນວ່າມັນສາມາດປັບຕົວໄດ້ຄືກັບຖົງມືກັບສະຖານະການຄວາມປອດໄພຫຼາຍຢ່າງ, ຈາກ SOC ໄປຫາຫ້ອງທົດລອງ malware. ກົດ​ລະ​ບຽບ​ດຽວ​ກັນ​ນໍາ​ໃຊ້​ກັບ​ທັງ​ສອງ​ການ​ລ່າ​ສັດ​ດຽວ​ແລະ​ການ​ຕິດ​ຕາມ​ຕໍ່​ເນື່ອງ​..

ກໍລະນີໂດຍກົງທີ່ສຸດກ່ຽວຂ້ອງກັບການສ້າງ ກົດລະບຽບສະເພາະສໍາລັບ malware ສະເພາະຫຼືຄອບຄົວທັງຫມົດຖ້າອົງການຂອງທ່ານຖືກໂຈມຕີໂດຍແຄມເປນໂດຍອີງໃສ່ຄອບຄົວທີ່ຮູ້ຈັກ (ຕົວຢ່າງ, trojan ການເຂົ້າເຖິງຫ່າງໄກສອກຫຼີກຫຼືໄພຂົ່ມຂູ່ APT), ທ່ານສາມາດ profile strings ລັກສະນະແລະຮູບແບບແລະຍົກສູງກົດລະບຽບທີ່ຈະກໍານົດຕົວຢ່າງໃຫມ່ທີ່ກ່ຽວຂ້ອງຢ່າງໄວວາ.

ການນໍາໃຊ້ຄລາສສິກອີກອັນຫນຶ່ງແມ່ນຈຸດສຸມຂອງ YARA ອີງໃສ່ລາຍເຊັນກົດລະບຽບເຫຼົ່ານີ້ຖືກອອກແບບມາເພື່ອຊອກຫາ hashes, ຂໍ້ຄວາມສະເພາະຫຼາຍ, snippets ລະຫັດ, registry keys, ຫຼືແມ້ກະທັ້ງລໍາດັບ byte ສະເພາະທີ່ຊ້ໍາກັນໃນຫຼາຍ variants ຂອງ malware ດຽວກັນ. ຢ່າງໃດກໍຕາມ, ຈົ່ງຈື່ໄວ້ວ່າຖ້າທ່ານພຽງແຕ່ຊອກຫາສາຍທີ່ບໍ່ຄ່ອຍດີ, ທ່ານມີຄວາມສ່ຽງທີ່ຈະສ້າງຜົນບວກທີ່ບໍ່ຖືກຕ້ອງ.

YARA ຍັງສ່ອງແສງໃນເວລາທີ່ມັນມາກັບການກັ່ນຕອງໂດຍ ປະເພດໄຟລ໌ຫຼືລັກສະນະໂຄງສ້າງມັນເປັນໄປໄດ້ທີ່ຈະສ້າງກົດລະບຽບທີ່ນໍາໃຊ້ກັບ PE executables, ເອກະສານຫ້ອງການ, PDFs, ຫຼື virtually ຮູບແບບໃດກໍ່ຕາມ, ໂດຍການສົມທົບການສະຕຣິງທີ່ມີຄຸນສົມບັດເຊັ່ນ: ຂະຫນາດໄຟລ໌, headers ສະເພາະ (e.g., 0x5A4D ສໍາລັບ PE executables), ຫຼືການນໍາເຂົ້າຟັງຊັນທີ່ຫນ້າສົງໄສ.

ໃນສະພາບແວດລ້ອມທີ່ທັນສະໄຫມ, ການນໍາໃຊ້ຂອງມັນເຊື່ອມຕໍ່ກັບ ໄພຂົ່ມຂູ່ທາງປັນຍາຄັງເກັບມ້ຽນສາທາລະນະ, ບົດລາຍງານການຄົ້ນຄວ້າ, ແລະ IOC feeds ຖືກແປເປັນກົດລະບຽບຂອງ YARA ທີ່ປະສົມປະສານເຂົ້າໃນ SIEM, EDR, ແພລະຕະຟອມສໍາຮອງຂໍ້ມູນ, ຫຼື sandboxes. ນີ້ອະນຸຍາດໃຫ້ອົງການຈັດຕັ້ງ ກວດຫາໄພຂົ່ມຂູ່ທີ່ພົ້ນເດັ່ນໄດ້ຢ່າງວ່ອງໄວທີ່ແບ່ງປັນຄຸນລັກສະນະກັບແຄມເປນທີ່ໄດ້ວິເຄາະແລ້ວ.

ຄວາມເຂົ້າໃຈ syntax ຂອງກົດລະບຽບ YARA

syntax ຂອງ YARA ແມ່ນຂ້ອນຂ້າງຄ້າຍຄືກັນກັບ C, ແຕ່ໃນວິທີທີ່ງ່າຍດາຍແລະສຸມໃສ່ຫຼາຍ. ແຕ່ລະກົດລະບຽບປະກອບດ້ວຍຊື່, ພາກສ່ວນ metadata ທາງເລືອກ, ພາກສະຕຣິງ, ແລະ, ຈໍາເປັນ, ພາກສ່ວນເງື່ອນໄຂ.ຈາກທີ່ນີ້, ພະລັງງານແມ່ນຢູ່ໃນວິທີທີ່ເຈົ້າສົມທົບການທັງຫມົດນັ້ນ.

ທຳ ອິດແມ່ນ ຊື່ກົດລະບຽບມັນຕ້ອງໄປທັນທີຫຼັງຈາກຄໍາສໍາຄັນ ກົດລະບຽບ (o ໄມ້ບັນທັດ ຖ້າທ່ານເອກະສານໃນແອສປາໂຍນ, ເຖິງແມ່ນວ່າຄໍາສໍາຄັນໃນໄຟລ໌ຈະເປັນ ກົດລະບຽບແລະຕ້ອງເປັນຕົວລະບຸທີ່ຖືກຕ້ອງ: ບໍ່ມີຍະຫວ່າງ, ບໍ່ມີຕົວເລກ, ແລະບໍ່ມີຂີດກ້ອງ. ມັນເປັນຄວາມຄິດທີ່ດີທີ່ຈະປະຕິບັດຕາມສົນທິສັນຍາທີ່ຊັດເຈນ, ຕົວຢ່າງເຊັ່ນບາງສິ່ງບາງຢ່າງ Malware_Family_Variant o APT_Actor_Tool, ເຊິ່ງອະນຸຍາດໃຫ້ທ່ານສາມາດລະບຸໄດ້ທັນທີສິ່ງທີ່ມັນມີຈຸດປະສົງເພື່ອກວດພົບ.

ຕໍ່ໄປແມ່ນພາກສ່ວນ stringsບ່ອນທີ່ທ່ານກໍານົດຮູບແບບທີ່ທ່ານຕ້ອງການຄົ້ນຫາ. ທີ່ນີ້ທ່ານສາມາດນໍາໃຊ້ສາມປະເພດຕົ້ນຕໍ: ສະຕຣິງຂໍ້ຄວາມ, ລຳດັບເລກຖານສິບຫົກ, ແລະການສະແດງອອກປົກກະຕິສະຕຣິງຂໍ້ຄວາມແມ່ນເຫມາະສົມສໍາລັບ snippet ລະຫັດທີ່ມະນຸດສາມາດອ່ານໄດ້, URLs, ຂໍ້ຄວາມພາຍໃນ, ຊື່ເສັ້ນທາງ, ຫຼື PDBs. Hexadecimals ຊ່ວຍໃຫ້ທ່ານສາມາດເກັບກໍາຮູບແບບ byte ດິບ, ເຊິ່ງເປັນປະໂຫຍດຫຼາຍເມື່ອລະຫັດຖືກເຮັດໃຫ້ສັບສົນແຕ່ຮັກສາລໍາດັບຄົງທີ່ທີ່ແນ່ນອນ.

ການສະແດງອອກປົກກະຕິໃຫ້ຄວາມຍືດຫຍຸ່ນໃນເວລາທີ່ທ່ານຕ້ອງການກວມເອົາການປ່ຽນແປງຂະຫນາດນ້ອຍໃນສະຕຣິງ, ເຊັ່ນ: ການປ່ຽນໂດເມນຫຼືສ່ວນທີ່ມີການປ່ຽນແປງເລັກນ້ອຍຂອງລະຫັດ. ຍິ່ງໄປກວ່ານັ້ນ, ທັງສາຍສະຕຣິງແລະ regex ອະນຸຍາດໃຫ້ escapes ເປັນຕົວແທນຂອງ bytes arbitrary, ເຊິ່ງເປີດປະຕູໄປສູ່ຮູບແບບປະສົມທີ່ຊັດເຈນຫຼາຍ.

ພາກສ່ວນ ສະພາບ ມັນເປັນການບັງຄັບພຽງແຕ່ຫນຶ່ງແລະກໍານົດເວລາທີ່ກົດລະບຽບຖືກພິຈາລະນາ "ຈັບຄູ່" ໄຟລ໌. ຢູ່ທີ່ນັ້ນທ່ານໃຊ້ການດໍາເນີນການ Boolean ແລະເລກຄະນິດ (ແລະ, ຫຼື, ບໍ່, +, -, *, /, ໃດ, ທັງຫມົດ, ມີ, ແລະອື່ນໆ.) ເພື່ອສະແດງເຫດຜົນການຊອກຄົ້ນຫາທີ່ລະອຽດກວ່າ "ຖ້າສາຍນີ້ປະກົດຂຶ້ນ".

ຕົວຢ່າງ, ທ່ານສາມາດລະບຸວ່າກົດລະບຽບຈະຖືກຕ້ອງພຽງແຕ່ຖ້າໄຟລ໌ມີຂະຫນາດນ້ອຍກວ່າຂະຫນາດທີ່ແນ່ນອນ, ຖ້າສາຍທີ່ສໍາຄັນທັງຫມົດປາກົດ, ຫຼືຖ້າມີຢ່າງຫນ້ອຍຫນຶ່ງໃນຫຼາຍສະຕຣິງ. ນອກນັ້ນທ່ານຍັງສາມາດສົມທົບເງື່ອນໄຂເຊັ່ນ: ຄວາມຍາວຂອງສາຍ, ຈໍານວນການຈັບຄູ່, ການຊົດເຊີຍສະເພາະໃນໄຟລ໌, ຫຼືຂະຫນາດຂອງໄຟລ໌ຕົວມັນເອງ.ຄວາມຄິດສ້າງສັນຢູ່ທີ່ນີ້ເຮັດໃຫ້ຄວາມແຕກຕ່າງລະຫວ່າງກົດລະບຽບທົ່ວໄປແລະການກວດພົບການຜ່າຕັດ.

ສຸດທ້າຍ, ທ່ານມີສ່ວນທາງເລືອກ metaເຫມາະສໍາລັບເອກະສານໄລຍະເວລາ. ມັນເປັນເລື່ອງທົ່ວໄປທີ່ຈະປະກອບມີ ຜູ້ຂຽນ, ວັນທີສ້າງ, ຄໍາອະທິບາຍ, ສະບັບພາຍໃນ, ອ້າງເຖິງບົດລາຍງານຫຼືປີ້ ແລະ, ໂດຍທົ່ວໄປ, ຂໍ້ມູນໃດໆທີ່ຊ່ວຍຮັກສາບ່ອນເກັບມ້ຽນແລະເຂົ້າໃຈໄດ້ສໍາລັບນັກວິເຄາະອື່ນໆ.

ຕົວຢ່າງການປະຕິບັດຂອງກົດລະບຽບ YARA ຂັ້ນສູງ

ເພື່ອເຮັດໃຫ້ທຸກສິ່ງຂ້າງເທິງນີ້ເຂົ້າໄປໃນທັດສະນະ, ມັນເປັນປະໂຫຍດທີ່ຈະເຫັນວ່າກົດລະບຽບງ່າຍໆມີໂຄງສ້າງແລະວິທີການທີ່ມັນສັບສົນຫຼາຍເມື່ອໄຟລ໌ທີ່ສາມາດປະຕິບັດໄດ້, ການນໍາເຂົ້າທີ່ຫນ້າສົງໄສ, ຫຼືລໍາດັບຄໍາແນະນໍາທີ່ຊ້ໍາກັນເຂົ້າມາ. ໃຫ້ເລີ່ມຕົ້ນດ້ວຍໄມ້ບັນທັດຂອງຫຼິ້ນແລະຄ່ອຍໆເພີ່ມຂະຫນາດ..

ກົດລະບຽບຫນ້ອຍສາມາດປະກອບມີພຽງແຕ່ສະຕຣິງແລະເງື່ອນໄຂທີ່ເຮັດໃຫ້ມັນບັງຄັບ. ຕົວຢ່າງ, ທ່ານສາມາດຄົ້ນຫາຂໍ້ຄວາມສະເພາະ ຫຼື ລໍາດັບ byte ຕົວແທນຂອງຊິ້ນ malware. ເງື່ອນໄຂ, ໃນກໍລະນີນັ້ນ, ພຽງແຕ່ບອກວ່າກົດລະບຽບແມ່ນບັນລຸໄດ້ຖ້າສາຍຫຼືຮູບແບບນັ້ນປາກົດ., ໂດຍບໍ່ມີການການກັ່ນຕອງເພີ່ມເຕີມ.

ຢ່າງໃດກໍຕາມ, ຢູ່ໃນສະຖານະການທີ່ແທ້ຈິງ, ນີ້ສັ້ນ, ເພາະວ່າ ລະບົບຕ່ອງໂສ້ງ່າຍໆມັກຈະສ້າງຜົນບວກທີ່ບໍ່ຖືກຕ້ອງຈໍານວນຫຼາຍນັ້ນແມ່ນເຫດຜົນທີ່ວ່າມັນເປັນເລື່ອງທໍາມະດາທີ່ຈະປະສົມປະສານຫຼາຍສະຕຣິງ (ຂໍ້ຄວາມແລະເລກຖານສິບຫົກ) ທີ່ມີຂໍ້ຈໍາກັດເພີ່ມເຕີມ: ໄຟລ໌ບໍ່ເກີນຂະຫນາດທີ່ແນ່ນອນ, ມັນມີສ່ວນຫົວສະເພາະ, ຫຼືວ່າມັນຈະຖືກເປີດໃຊ້ພຽງແຕ່ຖ້າມີຢ່າງຫນ້ອຍຫນຶ່ງສາຍຈາກແຕ່ລະກຸ່ມທີ່ຖືກກໍານົດ.

ຕົວຢ່າງປົກກະຕິໃນການວິເຄາະປະຕິບັດ PE ກ່ຽວຂ້ອງກັບການນໍາເຂົ້າໂມດູນ pe ຈາກ YARA, ເຊິ່ງອະນຸຍາດໃຫ້ທ່ານສາມາດສອບຖາມຄຸນສົມບັດພາຍໃນຂອງຖານສອງ: ຟັງຊັນທີ່ນໍາເຂົ້າ, ພາກສ່ວນ, ເວລາ, ແລະອື່ນໆ. ກົດລະບຽບຂັ້ນສູງສາມາດຮຽກຮ້ອງໃຫ້ນໍາເຂົ້າໄຟລ໌. ຂະບວນການສ້າງ ຈາກ Kernel32.dll ແລະບາງຟັງຊັນ HTTP ຈາກ wininet.dll, ນອກເໜືອໄປຈາກມີສາຍພັນທີ່ບົ່ງບອກເຖິງພຶດຕິກຳທີ່ເປັນອັນຕະລາຍ.

ປະເພດຂອງເຫດຜົນນີ້ແມ່ນດີເລີດສໍາລັບການຕັ້ງ Trojans ທີ່ມີການເຊື່ອມຕໍ່ຫ່າງໄກສອກຫຼີກຫຼືຄວາມສາມາດ exfiltrationເຖິງແມ່ນວ່າໃນເວລາທີ່ຊື່ໄຟລ໌ຫຼືເສັ້ນທາງປ່ຽນຈາກແຄມເປນຫນຶ່ງໄປຫາອີກ. ສິ່ງທີ່ສໍາຄັນແມ່ນການສຸມໃສ່ພຶດຕິກໍາທີ່ຕິດພັນ: ການສ້າງຂະບວນການ, ການຮ້ອງຂໍ HTTP, ການເຂົ້າລະຫັດ, ການຄົງຕົວ, ແລະອື່ນໆ.

ອີກເຕັກນິກຫນຶ່ງທີ່ມີປະສິດທິພາບຫຼາຍແມ່ນການເບິ່ງ ລໍາດັບຂອງຄໍາແນະນໍາທີ່ຊ້ໍາກັນ ລະຫວ່າງຕົວຢ່າງຈາກຄອບຄົວດຽວກັນ. ເຖິງແມ່ນວ່າຜູ້ໂຈມຕີຈະຫຸ້ມຫໍ່ຫຼືເຮັດໃຫ້ບິດເບືອນບິດເບືອນ, ພວກເຂົາມັກຈະໃຊ້ຄືນໃຫມ່ບາງສ່ວນຂອງລະຫັດທີ່ມີຄວາມຫຍຸ້ງຍາກໃນການປ່ຽນແປງ. ຖ້າຫາກວ່າ, ຫຼັງຈາກການວິເຄາະ static, ທ່ານຊອກຫາຕັນຄົງທີ່ຂອງຄໍາແນະນໍາ, ທ່ານສາມາດສ້າງກົດລະບຽບທີ່ມີ ຕົວແທນໃນສະຕຣິງເລກຖານສິບຫົກ ທີ່ຈັບຮູບແບບນັ້ນໃນຂະນະທີ່ຮັກສາຄວາມທົນທານທີ່ແນ່ນອນ.

ດ້ວຍກົດລະບຽບ "ອີງໃສ່ພຶດຕິກໍາລະຫັດ" ເຫຼົ່ານີ້ເປັນໄປໄດ້ ຕິດຕາມແຄມເປນ malware ທັງໝົດເຊັ່ນ PlugX/Korplug ຫຼືຄອບຄົວ APT ອື່ນໆທ່ານບໍ່ພຽງແຕ່ກວດພົບ hash ສະເພາະ, ແຕ່ທ່ານໄປຫຼັງຈາກຮູບແບບການພັດທະນາ, ເພື່ອເວົ້າ, ຂອງຜູ້ໂຈມຕີ.

ການນໍາໃຊ້ YARA ໃນແຄມເປນທີ່ແທ້ຈິງແລະການຂົ່ມຂູ່ທີ່ບໍ່ມີວັນ

YARA ໄດ້ພິສູດຄຸນຄ່າຂອງມັນໂດຍສະເພາະໃນດ້ານການຂົ່ມຂູ່ທີ່ກ້າວຫນ້າແລະການຂູດຮີດທີ່ບໍ່ມີວັນ, ບ່ອນທີ່ກົນໄກການປົກປ້ອງຄລາສສິກມາຮອດຊ້າເກີນໄປ. ຕົວຢ່າງທີ່ມີຊື່ສຽງແມ່ນການນໍາໃຊ້ YARA ເພື່ອຊອກຫາການຂູດຮີດໃນ Silverlight ຈາກປັນຍາທີ່ຮົ່ວໄຫຼຫນ້ອຍທີ່ສຸດ..

ໃນກໍລະນີດັ່ງກ່າວ, ຈາກອີເມລ໌ທີ່ຖືກລັກຈາກບໍລິສັດທີ່ອຸທິດຕົນເພື່ອການພັດທະນາເຄື່ອງມືການກະທໍາຜິດ, ຮູບແບບທີ່ພຽງພໍໄດ້ຖືກ deduced ເພື່ອສ້າງກົດລະບຽບທີ່ແນໃສ່ການຂຸດຄົ້ນສະເພາະ. ດ້ວຍກົດລະບຽບດຽວນັ້ນ, ນັກຄົ້ນຄວ້າສາມາດຕິດຕາມຕົວຢ່າງໂດຍຜ່ານທະເລຂອງໄຟລ໌ທີ່ຫນ້າສົງໄສ.ກໍານົດການຂູດຮີດແລະບັງຄັບໃຫ້ patching ຂອງຕົນ, ປ້ອງກັນຄວາມເສຍຫາຍຮ້າຍແຮງຫຼາຍ.

ປະເພດຂອງເລື່ອງເຫຼົ່ານີ້ສະແດງໃຫ້ເຫັນວິທີການ YARA ສາມາດເຮັດວຽກເປັນ net ການຫາປາໃນທະເລຂອງໄຟລ໌ຈິນຕະນາການເຄືອຂ່າຍຂອງບໍລິສັດຂອງທ່ານເປັນມະຫາສະຫມຸດທີ່ເຕັມໄປດ້ວຍ "ປາ" (ໄຟລ໌) ທຸກປະເພດ. ລະບຽບຂອງເຈົ້າເປັນຄືກັບຊ່ອງໃນຕາໜ່າງ: ແຕ່ລະຊ່ອງເກັບປາທີ່ເໝາະສົມກັບຄຸນລັກສະນະສະເພາະ.

ໃນ​ເວ​ລາ​ທີ່​ທ່ານ​ສໍາ​ເລັດ​ການ drag​, ທ່ານ​ມີ​ ຕົວຢ່າງທີ່ຈັດກຸ່ມຕາມຄວາມຄ້າຍຄືກັນກັບຄອບຄົວສະເພາະ ຫຼືກຸ່ມຂອງຜູ້ໂຈມຕີ: "ຄ້າຍຄືກັນກັບ Species X", "ຄ້າຍຄືກັນກັບ Species Y", ແລະອື່ນໆ. ບາງຕົວຢ່າງເຫຼົ່ານີ້ອາດຈະໃຫມ່ຫມົດສໍາລັບທ່ານ (ຄູ່ໃຫມ່, ແຄມເປນໃຫມ່), ແຕ່ພວກມັນເຫມາະກັບຮູບແບບທີ່ຮູ້ຈັກ, ເຊິ່ງເລັ່ງການຈັດປະເພດແລະການຕອບສະຫນອງຂອງທ່ານ.

ເພື່ອໃຫ້ໄດ້ປະໂຫຍດສູງສຸດຈາກ YARA ໃນສະພາບການນີ້, ອົງການຈັດຕັ້ງຈໍານວນຫຼາຍປະສົມປະສານ ການ​ຝຶກ​ອົບ​ຮົມ​ຂັ້ນ​ສູງ​, ຫ້ອງ​ທົດ​ລອງ​ພາກ​ປະ​ຕິ​ບັດ​ແລະ​ສະ​ພາບ​ແວດ​ລ້ອມ​ການ​ທົດ​ລອງ​ການ​ຄວບ​ຄຸມ​ມີຫຼັກສູດພິເສດສູງທີ່ອຸທິດຕົນເພື່ອສິລະປະການຂຽນກົດລະບຽບທີ່ດີ, ມັກຈະອີງໃສ່ກໍລະນີທີ່ແທ້ຈິງຂອງ cyber espionage, ເຊິ່ງນັກຮຽນປະຕິບັດກັບຕົວຢ່າງທີ່ແທ້ຈິງແລະຮຽນຮູ້ທີ່ຈະຄົ້ນຫາ "ບາງສິ່ງບາງຢ່າງ" ເຖິງແມ່ນວ່າພວກເຂົາບໍ່ຮູ້ວ່າພວກເຂົາກໍາລັງຊອກຫາຫຍັງ.

ປະສົມປະສານ YARA ເຂົ້າໄປໃນແພລະຕະຟອມສໍາຮອງຂໍ້ມູນແລະການຟື້ນຟູ

ພື້ນທີ່ຫນຶ່ງທີ່ YARA ເຫມາະຢ່າງສົມບູນ, ແລະທີ່ມັກຈະບໍ່ສັງເກດເຫັນ, ແມ່ນການປົກປ້ອງການສໍາຮອງຂໍ້ມູນ. ຖ້າການສໍາຮອງຂໍ້ມູນໄດ້ຖືກຕິດເຊື້ອ malware ຫຼື ransomware, ການຟື້ນຟູສາມາດ restart ແຄມເປນທັງຫມົດ.ນັ້ນແມ່ນເຫດຜົນທີ່ຜູ້ຜະລິດບາງຄົນໄດ້ລວມເອົາເຄື່ອງຈັກ YARA ໂດຍກົງເຂົ້າໃນການແກ້ໄຂຂອງພວກເຂົາ.

ແພລະຕະຟອມສໍາຮອງຂໍ້ມູນຮຸ່ນຕໍ່ໄປສາມາດເປີດຕົວໄດ້ ກອງປະຊຸມການວິເຄາະທີ່ອີງໃສ່ກົດລະບຽບຂອງ YARA ກ່ຽວກັບຈຸດຟື້ນຟູເປົ້າຫມາຍແມ່ນສອງເທົ່າ: ເພື່ອຊອກຫາຈຸດສຸດທ້າຍ "ສະອາດ" ກ່ອນເຫດການແລະການກວດສອບເນື້ອຫາທີ່ເປັນອັນຕະລາຍທີ່ເຊື່ອງໄວ້ໃນໄຟລ໌ທີ່ອາດຈະບໍ່ໄດ້ຮັບການກະຕຸ້ນໂດຍການກວດສອບອື່ນໆ.

ໃນສະພາບແວດລ້ອມເຫຼົ່ານີ້ຂະບວນການປົກກະຕິກ່ຽວຂ້ອງກັບການເລືອກທາງເລືອກຂອງ "ສະແກນຈຸດຟື້ນຟູດ້ວຍໄມ້ບັນທັດ YARA"ໃນລະຫວ່າງການຕັ້ງຄ່າຂອງວຽກການວິເຄາະ. ຕໍ່ໄປ, ເສັ້ນທາງໄປຫາໄຟລ໌ກົດລະບຽບແມ່ນຖືກກໍານົດ (ໂດຍປົກກະຕິມີສ່ວນຂະຫຍາຍ .yara ຫຼື .yar), ເຊິ່ງປົກກະຕິແລ້ວຈະຖືກເກັບໄວ້ໃນໂຟເດີການຕັ້ງຄ່າສະເພາະກັບການແກ້ໄຂການສໍາຮອງຂໍ້ມູນ."

ໃນ​ລະ​ຫວ່າງ​ການ​ປະ​ຕິ​ບັດ​, ເຄື່ອງ​ຈັກ iterates ຜ່ານ​ວັດ​ຖຸ​ທີ່​ມີ​ຢູ່​ໃນ​ສໍາ​ເນົາ​, ນໍາ​ໃຊ້​ກົດ​ລະ​ບຽບ​, ແລະ​ ມັນບັນທຶກການແຂ່ງຂັນທັງໝົດໃນບັນທຶກການວິເຄາະ YARA ສະເພາະ.ຜູ້ເບິ່ງແຍງລະບົບສາມາດເບິ່ງບັນທຶກເຫຼົ່ານີ້ຈາກ console, ກວດເບິ່ງສະຖິຕິ, ເບິ່ງວ່າໄຟລ໌ໃດທີ່ກະຕຸ້ນເຕືອນ, ແລະແມ້ກະທັ້ງຕິດຕາມວ່າເຄື່ອງໃດແລະວັນທີສະເພາະແຕ່ລະກົງກັນ.

ການເຊື່ອມໂຍງນີ້ແມ່ນໃຫ້ສົມບູນໂດຍກົນໄກອື່ນໆເຊັ່ນ: ການກວດຫາຄວາມຜິດປົກກະຕິ, ການຕິດຕາມຂະໜາດສຳຮອງ, ການຊອກຫາ IOCs ສະເພາະ, ຫຼືການວິເຄາະເຄື່ອງມືທີ່ໜ້າສົງໄສແຕ່ເມື່ອເວົ້າເຖິງກົດລະບຽບທີ່ສອດຄ່ອງກັບຄອບຄົວ ransomware ຫຼືແຄມເປນສະເພາະ, YARA ແມ່ນເຄື່ອງມືທີ່ດີທີ່ສຸດສໍາລັບການປັບປຸງການຄົ້ນຫານັ້ນ.

ວິທີການທົດສອບແລະກວດສອບກົດລະບຽບ YARA ໂດຍບໍ່ມີການທໍາລາຍເຄືອຂ່າຍຂອງທ່ານ

ເມື່ອທ່ານເລີ່ມຂຽນກົດລະບຽບຂອງຕົນເອງ, ຂັ້ນຕອນທີ່ສໍາຄັນຕໍ່ໄປແມ່ນການທົດສອບພວກມັນຢ່າງລະອຽດ. ກົດລະບຽບທີ່ຮຸກຮານຫຼາຍເກີນໄປສາມາດສ້າງຜົນບວກທີ່ບໍ່ຖືກຕ້ອງໄດ້, ໃນຂະນະທີ່ຄວາມຫລັ່ງໄຫລເກີນໄປສາມາດເຮັດໃຫ້ໄພຂົ່ມຂູ່ທີ່ແທ້ຈິງຜ່ານໄປ.ນັ້ນແມ່ນເຫດຜົນທີ່ວ່າໄລຍະການທົດສອບແມ່ນມີຄວາມສໍາຄັນເທົ່າກັບໄລຍະການຂຽນ.

ຂ່າວດີແມ່ນວ່າທ່ານບໍ່ຈໍາເປັນຕ້ອງຕັ້ງຫ້ອງທົດລອງທີ່ເຕັມໄປດ້ວຍ malware ທີ່ເຮັດວຽກແລະຕິດເຊື້ອເຄິ່ງຫນຶ່ງຂອງເຄືອຂ່າຍເພື່ອເຮັດສິ່ງນີ້. ບ່ອນເກັບມ້ຽນ ແລະຊຸດຂໍ້ມູນມີຢູ່ແລ້ວທີ່ສະເໜີໃຫ້ຂໍ້ມູນນີ້. ຕົວຢ່າງ malware ທີ່ຮູ້ຈັກ ແລະຄວບຄຸມເພື່ອຈຸດປະສົງການຄົ້ນຄວ້າທ່ານສາມາດດາວໂຫລດຕົວຢ່າງເຫຼົ່ານັ້ນເຂົ້າໄປໃນສະພາບແວດລ້ອມທີ່ໂດດດ່ຽວແລະນໍາໃຊ້ພວກມັນເປັນການທົດສອບສໍາລັບກົດລະບຽບຂອງທ່ານ.

ວິທີການປົກກະຕິແມ່ນເພື່ອເລີ່ມຕົ້ນໂດຍການແລ່ນ YARA ຢູ່ໃນທ້ອງຖິ່ນ, ຈາກເສັ້ນຄໍາສັ່ງ, ຕໍ່ກັບໄດເລກະທໍລີທີ່ມີໄຟລ໌ທີ່ຫນ້າສົງໄສ. ຖ້າກົດລະບຽບຂອງທ່ານກົງກັບບ່ອນທີ່ພວກເຂົາຄວນແລະເກືອບແຕກຢູ່ໃນໄຟລ໌ທີ່ສະອາດ, ທ່ານຢູ່ໃນເສັ້ນທາງທີ່ຖືກຕ້ອງ.ຖ້າພວກເຂົາກະຕຸ້ນຫຼາຍເກີນໄປ, ມັນແມ່ນເວລາທີ່ຈະທົບທວນຄືນສາຍ, ປັບປຸງເງື່ອນໄຂ, ຫຼືແນະນໍາຂໍ້ຈໍາກັດເພີ່ມເຕີມ (ຂະຫນາດ, ການນໍາເຂົ້າ, ການຊົດເຊີຍ, ແລະອື່ນໆ).

ຈຸດສໍາຄັນອີກຢ່າງຫນຶ່ງແມ່ນເພື່ອໃຫ້ແນ່ໃຈວ່າກົດລະບຽບຂອງທ່ານບໍ່ປະນີປະນອມການປະຕິບັດ. ເມື່ອສະແກນໄດເລກະທໍລີຂະຫນາດໃຫຍ່, ສໍາຮອງຂໍ້ມູນເຕັມຮູບແບບ, ຫຼືການເກັບກໍາຕົວຢ່າງຂະຫນາດໃຫຍ່, ກົດລະບຽບການເພີ່ມປະສິດທິພາບບໍ່ດີສາມາດເຮັດໃຫ້ການວິເຄາະຊ້າລົງຫຼືບໍລິໂພກຊັບພະຍາກອນຫຼາຍກວ່າທີ່ຕ້ອງການ.ດັ່ງນັ້ນ, ຄວນວັດແທກໄລຍະເວລາ, ເຮັດໃຫ້ການສະແດງອອກທີ່ສັບສົນງ່າຍ, ແລະຫຼີກເວັ້ນການ regex ຫຼາຍເກີນໄປ.

ຫຼັງຈາກຜ່ານໄລຍະການທົດສອບຫ້ອງທົດລອງນັ້ນ, ທ່ານຈະສາມາດ ຊຸກຍູ້​ກົດ​ລະບຽບ​ໃຫ້​ແກ່​ສະພາບ​ແວດ​ລ້ອມ​ແຫ່ງ​ການ​ຜະລິດບໍ່ວ່າຈະຢູ່ໃນ SIEM ຂອງທ່ານ, ລະບົບສໍາຮອງຂໍ້ມູນຂອງທ່ານ, ເຄື່ອງແມ່ຂ່າຍອີເມລ໌, ຫຼືບ່ອນໃດກໍ່ຕາມທີ່ທ່ານຕ້ອງການທີ່ຈະປະສົມປະສານໃຫ້ເຂົາເຈົ້າ. ແລະຢ່າລືມຮັກສາຮອບວຽນການທົບທວນຄືນຢ່າງຕໍ່ເນື່ອງ: ເມື່ອແຄມເປນພັດທະນາ, ກົດລະບຽບຂອງທ່ານຈະຕ້ອງມີການປັບປ່ຽນເປັນໄລຍະ.

ເຄື່ອງມື, ໂຄງການ ແລະຂະບວນການເຮັດວຽກກັບ YARA

ນອກເຫນືອຈາກສອງຢ່າງເປັນທາງການ, ຜູ້ຊ່ຽວຊານຫຼາຍຄົນໄດ້ພັດທະນາໂຄງການຂະຫນາດນ້ອຍແລະສະຄິບປະມານ YARA ເພື່ອອໍານວຍຄວາມສະດວກໃນການນໍາໃຊ້ປະຈໍາວັນ. ວິທີການປົກກະຕິກ່ຽວຂ້ອງກັບການສ້າງຄໍາຮ້ອງສະຫມັກສໍາລັບ ປະກອບຊຸດຄວາມປອດໄພຂອງທ່ານເອງ ທີ່ອັດຕະໂນມັດອ່ານກົດລະບຽບທັງຫມົດໃນໂຟນເດີແລະນໍາໃຊ້ໃຫ້ເຂົາເຈົ້າກັບໄດເລກະທໍລີການວິເຄາະ.

ປະເພດຂອງເຄື່ອງມື homemade ເຫຼົ່ານີ້ປົກກະຕິແລ້ວເຮັດວຽກກັບໂຄງສ້າງໄດເລກະທໍລີທີ່ງ່າຍດາຍ: ຫນຶ່ງໂຟນເດີສໍາລັບ ກົດລະບຽບການດາວໂຫຼດຈາກອິນເຕີເນັດ (ຕົວຢ່າງ, "rulesyar") ແລະໂຟນເດີອື່ນສໍາລັບ ໄຟລ໌ທີ່ຫນ້າສົງໄສທີ່ຈະວິເຄາະ (ຕົວຢ່າງ, "malware"). ເມື່ອໂຄງການເລີ່ມຕົ້ນ, ມັນກວດເບິ່ງວ່າທັງສອງໂຟນເດີມີຢູ່, ລາຍຊື່ກົດລະບຽບໃນຫນ້າຈໍ, ແລະກະກຽມສໍາລັບການປະຕິບັດ.

ເມື່ອທ່ານກົດປຸ່ມຄ້າຍຄື "ເລີ່ມການຢັ້ງຢືນຫຼັງຈາກນັ້ນ, ແອັບພລິເຄຊັນຈະເປີດຕົວ YARA ທີ່ສາມາດປະຕິບັດໄດ້ດ້ວຍພາລາມິເຕີທີ່ຕ້ອງການ: ການສະແກນໄຟລ໌ທັງຫມົດໃນໂຟເດີ, ການວິເຄາະ recursive ຂອງ subdirectories, outputting ສະຖິຕິ, metadata ການພິມ, ແລະອື່ນໆ. ການແຂ່ງຂັນໃດໆຈະສະແດງຢູ່ໃນປ່ອງຢ້ຽມຜົນໄດ້ຮັບ, ຊີ້ບອກວ່າໄຟລ໌ໃດກົງກັບກົດລະບຽບໃດ.

ຂັ້ນຕອນການເຮັດວຽກນີ້ອະນຸຍາດໃຫ້, ສໍາລັບການຍົກຕົວຢ່າງ, ກວດພົບບັນຫາໃນ batch ຂອງອີເມລ໌ທີ່ສົ່ງອອກ. ຮູບພາບທີ່ຝັງຢູ່ໃນທີ່ເປັນອັນຕະລາຍ, ໄຟລ໌ແນບທີ່ເປັນອັນຕະລາຍ ຫຼື webshells ທີ່ເຊື່ອງໄວ້ໃນໄຟລ໌ທີ່ເບິ່ງຄືວ່າບໍ່ມີເຫດຜົນການສືບສວນ forensic ຫຼາຍໆຢ່າງໃນສະພາບແວດລ້ອມຂອງບໍລິສັດແມ່ນອີງໃສ່ກົນໄກປະເພດນີ້ຢ່າງແນ່ນອນ.

ກ່ຽວກັບຕົວກໍານົດການທີ່ເປັນປະໂຫຍດທີ່ສຸດໃນເວລາທີ່ເອີ້ນ YARA, ທາງເລືອກເຊັ່ນ: ຕໍ່ໄປນີ້ແມ່ນໂດດເດັ່ນ: -r ເພື່ອຄົ້ນຫາ recursively, -S ເພື່ອສະແດງສະຖິຕິ, -m ເພື່ອສະກັດ metadata, ແລະ -w ເພື່ອບໍ່ສົນໃຈຄໍາເຕືອນ.ໂດຍການລວມເອົາທຸງເຫຼົ່ານີ້ທ່ານສາມາດປັບພຶດຕິກໍາກັບກໍລະນີຂອງທ່ານ: ຈາກການວິເຄາະໄວໃນໄດເລກະທໍລີສະເພາະໄປສູ່ການສະແກນທີ່ສົມບູນຂອງໂຄງສ້າງໂຟນເດີທີ່ສັບສົນ.

ການປະຕິບັດທີ່ດີທີ່ສຸດໃນເວລາທີ່ຂຽນແລະຮັກສາກົດລະບຽບ YARA

ເພື່ອປ້ອງກັນບໍ່ໃຫ້ບ່ອນເກັບມ້ຽນກົດລະບຽບຂອງທ່ານກາຍເປັນຄວາມວຸ່ນວາຍທີ່ບໍ່ສາມາດຈັດການໄດ້, ມັນແນະນໍາໃຫ້ໃຊ້ຊຸດການປະຕິບັດທີ່ດີທີ່ສຸດ. ທໍາອິດແມ່ນເຮັດວຽກກັບແມ່ແບບທີ່ສອດຄ່ອງແລະສົນທິສັນຍາການຕັ້ງຊື່ເພື່ອໃຫ້ນັກວິເຄາະສາມາດເຂົ້າໃຈໄດ້ທັນທີວ່າແຕ່ລະກົດລະບຽບເຮັດແນວໃດ.

ທີມງານຈໍານວນຫຼາຍຮັບຮອງເອົາຮູບແບບມາດຕະຖານທີ່ປະກອບມີ ສ່ວນຫົວທີ່ມີ metadata, tags ຊີ້ບອກປະເພດໄພຂົ່ມຂູ່, ນັກສະແດງຫຼືເວທີ, ແລະຄໍາອະທິບາຍທີ່ຊັດເຈນຂອງສິ່ງທີ່ຖືກກວດພົບ.ນີ້ຊ່ວຍບໍ່ພຽງແຕ່ພາຍໃນ, ແຕ່ຍັງໃນເວລາທີ່ທ່ານແບ່ງປັນກົດລະບຽບກັບຊຸມຊົນຫຼືປະກອບສ່ວນເຂົ້າໃນການເກັບຮັກສາສາທາລະນະ.

ຄໍາແນະນໍາອີກຢ່າງຫນຶ່ງແມ່ນໃຫ້ຈື່ໄວ້ສະເຫມີ YARA ແມ່ນພຽງແຕ່ຫນຶ່ງຊັ້ນຂອງການປ້ອງກັນມັນ​ບໍ່​ໄດ້​ທົດ​ແທນ​ຊອບ​ແວ antivirus ຫຼື EDR​, ແຕ່​ແທນ​ທີ່​ຈະ​ໃຫ້​ເຂົາ​ເຈົ້າ​ສົມ​ບູນ​ໃນ​ຍຸດ​ທະ​ສາດ​ສໍາ​ລັບ​ການ​ ປົກປ້ອງ PC Windows ຂອງທ່ານໂດຍຫລັກການແລ້ວ, YARA ຄວນເຫມາະສົມກັບກອບການອ້າງອິງທີ່ກວ້າງກວ່າ, ເຊັ່ນກອບ NIST, ເຊິ່ງຍັງແກ້ໄຂການກໍານົດຊັບສິນ, ການປົກປ້ອງ, ການຊອກຄົ້ນຫາ, ການຕອບສະຫນອງແລະການຟື້ນຕົວ.

ຈາກທັດສະນະດ້ານວິຊາການ, ມັນເປັນມູນຄ່າທີ່ຈະອຸທິດເວລາ ຫຼີກເວັ້ນການໃນທາງບວກທີ່ບໍ່ຖືກຕ້ອງນີ້ກ່ຽວຂ້ອງກັບການຫຼີກເວັ້ນການສາຍທົ່ວໄປຫຼາຍເກີນໄປ, ສົມທົບເງື່ອນໄຂຈໍານວນຫນຶ່ງ, ແລະການນໍາໃຊ້ຕົວປະຕິບັດການເຊັ່ນ: ທັງຫມົດຂອງ o ໃດໆຂອງ ໃຊ້ຫົວຂອງທ່ານແລະໃຊ້ປະໂຫຍດຈາກຄຸນສົມບັດໂຄງສ້າງຂອງໄຟລ໌. ຍິ່ງມີເຫດຜົນສະເພາະທີ່ອ້ອມຮອບພຶດຕິກຳຂອງ malware, ກໍ່ຈະດີຂື້ນ.

ສຸດທ້າຍ, ຮັກສາລະບຽບວິໄນຂອງ ສະບັບແລະການທົບທວນຄືນເປັນໄລຍະ ມັນສໍາຄັນ. ຄອບຄົວຂອງ Malware ພັດທະນາ, ຕົວຊີ້ບອກການປ່ຽນແປງ, ແລະກົດລະບຽບທີ່ເຮັດວຽກໃນມື້ນີ້ອາດຈະສັ້ນຫຼືກາຍເປັນລ້າສະໄຫມ. ການທົບທວນຄືນແລະປັບປຸງກົດລະບຽບຂອງທ່ານທີ່ກໍານົດໄວ້ເປັນແຕ່ລະໄລຍະແມ່ນສ່ວນຫນຶ່ງຂອງເກມ cat-and-mouse ຂອງຄວາມປອດໄພທາງອິນເຕີເນັດ.

ຊຸມຊົນ YARA ແລະຊັບພະຍາກອນທີ່ມີຢູ່

ຫນຶ່ງໃນເຫດຜົນຕົ້ນຕໍ YARA ມາເຖິງຕອນນັ້ນແມ່ນຄວາມເຂັ້ມແຂງຂອງຊຸມຊົນຂອງຕົນ. ນັກຄົ້ນຄວ້າ, ບໍລິສັດຮັກສາຄວາມປອດໄພ, ແລະທີມງານຕອບສະຫນອງຈາກທົ່ວໂລກຢ່າງຕໍ່ເນື່ອງແບ່ງປັນກົດລະບຽບ, ຕົວຢ່າງ, ແລະເອກະສານ.ສ້າງລະບົບນິເວດທີ່ອຸດົມສົມບູນຫຼາຍ.

ຈຸດຕົ້ນຕໍຂອງການອ້າງອິງແມ່ນ ຄັງເກັບມ້ຽນຢ່າງເປັນທາງການຂອງ YARA ໃນ GitHubຢູ່ທີ່ນັ້ນເຈົ້າຈະພົບເຫັນເຄື່ອງມືສະບັບຫລ້າສຸດ, ລະຫັດແຫຼ່ງ, ແລະການເຊື່ອມຕໍ່ກັບເອກະສານ. ຈາກນັ້ນທ່ານສາມາດປະຕິບັດຕາມຄວາມຄືບຫນ້າຂອງໂຄງການ, ລາຍງານບັນຫາ, ຫຼືປະກອບສ່ວນປັບປຸງຖ້າຫາກວ່າທ່ານຕ້ອງການ.

ເອກະສານທີ່ເປັນທາງການ, ທີ່ມີຢູ່ໃນເວທີເຊັ່ນ ReadTheDocs, ສະເຫນີ ຄູ່ມື syntax ຄົບຖ້ວນ, ໂມດູນທີ່ມີ, ຕົວຢ່າງກົດລະບຽບ, ແລະການອ້າງອິງການນໍາໃຊ້ມັນເປັນຊັບພະຍາກອນທີ່ຈໍາເປັນສໍາລັບການໃຊ້ປະໂຫຍດຈາກຫນ້າທີ່ກ້າວຫນ້າທາງດ້ານຫຼາຍທີ່ສຸດ, ເຊັ່ນ: ການກວດສອບ PE, ELF, ກົດລະບຽບຄວາມຈໍາ, ຫຼືການເຊື່ອມໂຍງກັບເຄື່ອງມືອື່ນໆ.

ນອກຈາກນັ້ນ, ຍັງມີບ່ອນເກັບມ້ຽນຂອງຊຸມຊົນຂອງກົດລະບຽບແລະລາຍເຊັນຂອງ YARA ບ່ອນທີ່ນັກວິເຄາະຈາກທົ່ວໂລກ. ພວກເຂົາເຈົ້າເຜີຍແຜ່ການເກັບກໍາຫຼືຄໍເລັກຊັນທີ່ກຽມພ້ອມທີ່ຈະນໍາໃຊ້ທີ່ສາມາດປັບຕົວກັບຄວາມຕ້ອງການຂອງທ່ານ.ໂດຍທົ່ວໄປແລ້ວບ່ອນເກັບມ້ຽນເຫຼົ່ານີ້ລວມມີກົດລະບຽບສໍາລັບຄອບຄົວ malware ສະເພາະ, ຊຸດການຂູດຮີດ, ເຄື່ອງມື pentesting ທີ່ໃຊ້ໂດຍເຈດຕະນາ, webshells, cryptominers ແລະອື່ນໆອີກ.

ໃນຂະຫນານ, ຜູ້ຜະລິດແລະກຸ່ມຄົ້ນຄ້ວາຈໍານວນຫຼາຍສະເຫນີ ການຝຶກອົບຮົມສະເພາະຢູ່ YARA, ຈາກລະດັບພື້ນຖານໄປສູ່ຫຼັກສູດຂັ້ນສູງການລິເລີ່ມເຫຼົ່ານີ້ມັກຈະລວມເອົາຫ້ອງທົດລອງສະເໝືອນ ແລະ ການຝຶກຊ້ອມດ້ວຍມືໂດຍອີງໃສ່ສະຖານະການຕົວຈິງ. ບາງຄົນກໍ່ຖືກສະເໜີໃຫ້ໂດຍບໍ່ເສຍຄ່າແກ່ບັນດາອົງການຈັດຕັ້ງ ຫຼື ໜ່ວຍງານທີ່ບໍ່ຫວັງຜົນກຳໄລ ໂດຍສະເພາະມີຄວາມສ່ຽງຕໍ່ການໂຈມຕີແບບມີເປົ້າໝາຍ.

ລະບົບນິເວດທັງຫມົດນີ້ຫມາຍຄວາມວ່າ, ດ້ວຍການອຸທິດເລັກນ້ອຍ, ທ່ານສາມາດໄປຈາກການຂຽນກົດລະບຽບພື້ນຖານທໍາອິດຂອງທ່ານ ພັດທະນາຊຸດທີ່ຊັບຊ້ອນສາມາດຕິດຕາມແຄມເປນທີ່ຊັບຊ້ອນ ແລະກວດພົບໄພຂົ່ມຂູ່ທີ່ບໍ່ເຄີຍມີມາກ່ອນແລະ, ໂດຍການລວມ YARA ກັບ antivirus ແບບດັ້ງເດີມ, ການສໍາຮອງຂໍ້ມູນທີ່ປອດໄພ, ແລະໄພຂົ່ມຂູ່ຕໍ່ປັນຍາ, ທ່ານເຮັດໃຫ້ສິ່ງທີ່ມີຄວາມຫຍຸ້ງຍາກຫຼາຍສໍາລັບນັກສະແດງທີ່ເປັນອັນຕະລາຍທີ່ໂຣມອິນເຕີເນັດ.

ດ້ວຍສິ່ງທີ່ກ່າວມາຂ້າງເທິງ, ມັນເປັນທີ່ຊັດເຈນວ່າ YARA ແມ່ນຫຼາຍກ່ວາຜົນປະໂຫຍດຂອງເສັ້ນຄໍາສັ່ງງ່າຍດາຍ: ມັນເປັນ ສິ້ນທີ່ສໍາຄັນ ໃນຍຸດທະສາດການກວດຫາ malware ຂັ້ນສູງໃດໆ, ເຄື່ອງມືທີ່ມີຄວາມຍືດຫຍຸ່ນທີ່ປັບຕົວເຂົ້າກັບວິທີການຄິດຂອງເຈົ້າເປັນນັກວິເຄາະແລະ ພາສາທົ່ວໄປ ທີ່ເຊື່ອມຕໍ່ຫ້ອງທົດລອງ, SOCs ແລະຊຸມຊົນການຄົ້ນຄວ້າໃນທົ່ວໂລກ, ອະນຸຍາດໃຫ້ແຕ່ລະກົດລະບຽບໃຫມ່ເພີ່ມຊັ້ນຂອງການປົກປ້ອງອີກອັນຫນຶ່ງຕໍ່ກັບແຄມເປນທີ່ມີຄວາມຊັບຊ້ອນເພີ່ມຂຶ້ນ.