Kaip naudoti YARA pažangiam kenkėjiškų programų aptikimui

¿Kaip naudoti YARA pažangiam kenkėjiškų programų aptikimui? Kai tradicinės antivirusinės programos pasiekia savo galimybių ribas ir užpuolikai prasmuksta pro visas įmanomas spragas, į pagalbą ateina įrankis, tapęs nepakeičiamu incidentų reagavimo laboratorijose: YARA – „šveicariškas peilis“ kenkėjiškų programų paieškaiSukurtas aprašyti kenkėjiškų programų šeimas naudojant tekstinius ir dvejetainius modelius, jis leidžia daug daugiau nei paprastas maišos atitikimas.

Tinkamose rankose YARA skirta ne tik paieškai ne tik žinomi kenkėjiškų programų pavyzdžiai, bet ir nauji variantai, nulinės dienos spragų išnaudojimai ir net komerciniai įžeidžiantys įrankiaiŠiame straipsnyje išsamiai ir praktiškai išnagrinėsime, kaip naudoti YARA pažangiam kenkėjiškų programų aptikimui, kaip rašyti patikimas taisykles, kaip jas išbandyti, kaip integruoti į tokias platformas kaip „Veeam“ ar savo analizės darbo eigą ir kokios geriausios praktikos laikosi profesionalų bendruomenė.

Kas yra YARA ir kodėl ji tokia galinga aptinkant kenkėjiškas programas?

YARA reiškia „Dar vienas rekursyvus akronimas“ ir tapo faktiniu grėsmių analizės standartu, nes Tai leidžia aprašyti kenkėjiškų programų šeimas naudojant lengvai skaitomas, aiškias ir labai lanksčias taisykles.Užuot pasikliavusi vien statiniais antivirusinių programų parašais, YARA veikia su jūsų pačių apibrėžtais šablonais.

Pagrindinė idėja paprasta: YARA taisyklė tikrina failą (arba atmintį, arba duomenų srautą) ir patikrina, ar tenkinamos tam tikros sąlygos. sąlygos, pagrįstos teksto eilutėmis, šešioliktainėmis sekomis, reguliariosiomis išraiškomis arba failo ypatybėmisJei sąlyga įvykdyta, yra „atitikimas“ ir galite įspėti, blokuoti arba atlikti išsamesnę analizę.

Šis metodas leidžia saugumo komandoms Identifikuokite ir klasifikuokite visų tipų kenkėjiškas programas: klasikinius virusus, kirminus, Trojos arklius, išpirkos reikalaujančias programas, žiniatinklio apvalkalus, kriptovaliutų kasimo programas, kenkėjiškas makrokomandas ir daug daugiauJis neapsiriboja konkrečiais failų plėtiniais ar formatais, todėl taip pat aptinka užmaskuotą vykdomąjį failą su .pdf plėtiniu arba HTML failą su žiniatinklio apvalkalu.

Be to, YARA jau integruota į daugelį pagrindinių kibernetinio saugumo ekosistemos paslaugų ir įrankių: „VirusTotal“, tokios kaip „Cuckoo“ smėlio dėžės, atsarginių kopijų kūrimo platformos, tokios kaip „Veeam“, arba geriausių gamintojų grėsmių paieškos sprendimaiTodėl YARA įvaldymas tapo beveik būtinybe pažengusiems analitikams ir tyrėjams.

Išplėstiniai YARA naudojimo atvejai kenkėjiškų programų aptikimui

Vienas iš YARA privalumų yra tai, kad ji puikiai prisitaiko prie įvairių saugumo scenarijų – nuo ​​SOC iki kenkėjiškų programų laboratorijos. Tos pačios taisyklės taikomos tiek vienkartinėms medžioklėms, tiek nuolatinei stebėsenai..

Tiesioginis atvejis yra susijęs su kūrimu specialios taisyklės, skirtos konkrečiai kenkėjiškai programinei įrangai arba ištisoms kenkėjiškų programų šeimomsJei jūsų organizaciją puola kampanija, pagrįsta žinoma grėsmių šeima (pvz., nuotolinės prieigos Trojos arklys arba APT grėsmė), galite apibūdinti būdingas eilutes ir modelius bei sukurti taisykles, kurios greitai identifikuoja naujus susijusius pavyzdžius.

Kitas klasikinis panaudojimo būdas yra dėmesys YARA, pagrįsta parašaisŠios taisyklės skirtos rasti maišos kodus, labai specifines teksto eilutes, kodo fragmentus, registro raktus ar net konkrečias baitų sekas, kurios kartojasi keliuose tos pačios kenkėjiškos programos variantuose. Tačiau atminkite, kad jei ieškosite tik nereikšmingų eilučių, rizikuojate gauti klaidingai teigiamus rezultatus.

YARA taip pat puikiai veikia filtravimo srityje failų tipai arba struktūrinės charakteristikosGalima sukurti taisykles, kurios taikomos PE vykdomiesiems failams, „Office“ dokumentams, PDF failams ar praktiškai bet kokiam formatui, derinant eilutes su tokiomis savybėmis kaip failo dydis, konkrečios antraštės (pvz., 0x5A4D PE vykdomiesiems failams) arba įtartinų funkcijų importavimas.

Šiuolaikinėje aplinkoje jo naudojimas yra susijęs su grėsmių žvalgybaViešosios saugyklos, tyrimų ataskaitos ir IOC kanalai yra verčiami į YARA taisykles, kurios integruojamos į SIEM, EDR, atsarginių kopijų kūrimo platformas arba smėlio dėžes. Tai leidžia organizacijoms... greitai aptikti kylančias grėsmes, kurios turi bendrų savybių su jau analizuotomis kampanijomis.

YARA taisyklių sintaksės supratimas

YARA sintaksė yra gana panaši į C, bet paprastesnė ir labiau sutelkta. Kiekvieną taisyklę sudaro pavadinimas, pasirinktinai metaduomenų skyrius, eilutės skyrius ir, būtinai, sąlygos skyrius.Nuo šiol galia slypi tame, kaip visa tai suderinsite.

Pirmas dalykas yra taisyklės pavadinimasJis turi būti iškart po raktinio žodžio taisyklė (o valdovas Jei dokumentą rengiate ispanų kalba, nors failo raktinis žodis bus taisyklėir turi būti galiojantis identifikatorius: be tarpų, be skaičių ir be pabraukimo. Gera idėja laikytis aiškios konvencijos, pavyzdžiui, kažko panašaus į Kenkėjiškų programų_šeimos_variantas o APT_Actor_Tool, kuris leidžia iš pirmo žvilgsnio nustatyti, ką jis skirtas aptikti.

Toliau seka skyrius stygoskur apibrėžiate norimus ieškoti šablonus. Čia galite naudoti tris pagrindinius tipus: teksto eilutės, šešioliktainės sekos ir reguliarios išraiškosTeksto eilutės idealiai tinka žmonėms skaitomiems kodo fragmentams, URL adresams, vidiniams pranešimams, kelių pavadinimams arba PDB. Šešioliktainiai skaičiai leidžia užfiksuoti neapdorotus baitų modelius, kurie yra labai naudingi, kai kodas yra užmaskuotas, bet išlaiko tam tikras pastovias sekas.

Reguliariosios išraiškos suteikia lankstumo, kai reikia aprėpti nedidelius eilutės variantus, pvz., keisti domenus arba šiek tiek pakeistas kodo dalis. Be to, tiek eilutės, tiek reguliariosios išraiškos leidžia naudoti išėjimo simbolius (escapes) savavališkiems baitams pavaizduoti., o tai atveria duris labai tiksliems hibridiniams modeliams.

Skyrius būklė Tai vienintelė privaloma taisyklė, apibrėžianti, kada taisyklė laikoma atitinkančia failą. Čia naudojate loginius ir aritmetinius veiksmus (ir, arba, ne, +, -, *, /, bet kuris, visi, yra ir t. t.) išreikšti tikslesnę aptikimo logiką nei paprastas „jei ši eilutė pasirodo“.

Pavyzdžiui, galite nurodyti, kad taisyklė galioja tik tuo atveju, jei failas yra mažesnis už tam tikrą dydį, jei yra visos kritinės eilutės arba jei yra bent viena iš kelių eilučių. Taip pat galite derinti sąlygas, pvz., eilutės ilgį, atitikmenų skaičių, konkrečius poslinkius faile arba paties failo dydį.Kūrybiškumas čia lemia skirtumą tarp bendrinių taisyklių ir chirurginių aptikimų.

Galiausiai turite pasirenkamą skyrių tikslasIdealiai tinka dokumentuoti laikotarpį. Įprasta įtraukti autorius, sukūrimo data, aprašymas, vidinė versija, nuoroda į ataskaitas ar bilietus ir apskritai bet kokia informacija, padedanti saugyklą tvarkyti ir suprasti kitiems analitikams.

Praktiniai pažangių YARA taisyklių pavyzdžiai

Kad visa tai būtų aiškiau, naudinga pamatyti, kaip struktūrizuota paprasta taisyklė ir kaip ji tampa sudėtingesnė, kai atsiranda vykdomųjų failų, įtartinų importavimų ar pasikartojančių instrukcijų sekų. Pradėkime nuo žaislinės liniuotės ir palaipsniui didinkime dydį..

Minimali taisyklė gali būti sudaryta tik iš eilutės ir sąlyga, pagal kurią ji yra privaloma. Pavyzdžiui, galite ieškoti konkrečios teksto eilutės arba baitų sekos, reprezentuojančios kenkėjiškos programos fragmentą. Tokiu atveju sąlyga tiesiog nurodytų, kad taisyklė įvykdyta, jei pasirodo ta eilutė arba šablonas., be papildomų filtrų.

Tačiau realiomis aplinkybėmis to nepakanka, nes Paprastos grandinės dažnai generuoja daug klaidingų teigiamų rezultatųŠtai kodėl įprasta derinti kelias eilutes (tekstinę ir šešioliktainę) su papildomais apribojimais: kad failas neviršytų tam tikro dydžio, kad jame būtų konkrečios antraštės arba kad jis būtų aktyvuojamas tik tada, kai randama bent viena eilutė iš kiekvienos apibrėžtos grupės.

Tipiškas PE vykdomųjų failų analizės pavyzdys yra modulio importavimas. pe iš YARA, kuri leidžia jums atlikti užklausas dėl dvejetainio failo vidinių savybių: importuotų funkcijų, sekcijų, laiko žymų ir kt. Išplėstinė taisyklė gali reikalauti, kad failas būtų importuotas Sukurti procesą iš Kernel32.dll ir kai kurios HTTP funkcijos iš wininet.dll, be to, jame yra konkreti eilutė, rodanti kenkėjišką elgesį.

Šio tipo logika puikiai tinka paieškai Trojos arkliai su nuotolinio prisijungimo arba įsiskverbimo galimybėmisnet kai failų pavadinimai ar keliai keičiasi iš vienos kampanijos į kitą. Svarbu sutelkti dėmesį į pagrindinį elgesį: proceso kūrimą, HTTP užklausas, šifravimą, duomenų išsaugojimą ir kt.

Dar vienas labai efektyvus būdas – pažvelgti į instrukcijų sekos, kurios kartojasi tarp tos pačios šeimos pavyzdžių. Net jei užpuolikai supakuoja arba užmaskuoja dvejetainį failą, jie dažnai pakartotinai naudoja kodo dalis, kurias sunku pakeisti. Jei atlikus statinę analizę rasite pastovius instrukcijų blokus, galite suformuluoti taisyklę su pakaitos simboliai šešioliktainėse eilutėse kuris fiksuoja tą modelį, išlaikant tam tikrą toleranciją.

Su šiomis „kodo elgesiu pagrįstomis“ taisyklėmis tai įmanoma sekti ištisas kenkėjiškų programų kampanijas, tokias kaip „PlugX“ / „Korplug“ ar kitų APT šeimų kampanijosJūs ne tik aptinkate konkretų maišos kodą, bet ir sekate, taip sakant, užpuolikų kūrimo stilių.

YARA naudojimas realiose kampanijose ir nulinės dienos grėsmėse

YARA įrodė savo vertę ypač pažangių grėsmių ir nulinės dienos spragų srityje, kur klasikiniai apsaugos mechanizmai atsiranda per vėlai. Gerai žinomas pavyzdys yra YARA naudojimas siekiant nustatyti „Silverlight“ atakos spragą iš minimalios nutekintos žvalgybinės informacijos..

Tuo atveju iš el. laiškų, pavogtų iš įmonės, kuriančios puolamąsias priemones, buvo išskirta pakankamai modelių, kad būtų galima sukurti taisyklę, skirtą konkrečiam atakos taškui. Taikydami šią vienintelę taisyklę, tyrėjai galėjo atsekti mėginį per įtartinų bylų jūrą.Nustatykite spragą ir priverskite ją pataisyti, taip užkirsdami kelią daug rimtesnei žalai.

Šio tipo istorijos iliustruoja, kaip YARA gali funkcionuoti žvejybos tinklas bylų jūrojeĮsivaizduokite savo įmonės tinklą kaip vandenyną, pilną įvairiausių „žuvų“ (bylų). Jūsų taisyklės yra tarsi skyriai trale: kiekviename skyriuje laikomos žuvys, atitinkančios konkrečias savybes.

Kai baigsite tempti, turėsite pavyzdžiai, sugrupuoti pagal panašumą į konkrečias užpuolikų šeimas ar grupes: „panaši į X rūšį“, „panaši į Y rūšį“ ir kt. Kai kurie iš šių pavyzdžių jums gali būti visiškai nauji (nauji dvejetainiai failai, naujos kampanijos), tačiau jie atitinka žinomą modelį, o tai pagreitina jūsų klasifikavimą ir atsakymą.

Siekdamos kuo geriau išnaudoti YARA šiame kontekste, daugelis organizacijų sujungia jėgas aukštesnįjį mokymą, praktines laboratorijas ir kontroliuojamą eksperimentinę aplinkąYra itin specializuotų kursų, skirtų išskirtinai gerų taisyklių rašymo menui, dažnai paremtų tikrais kibernetinio šnipinėjimo atvejais, kuriuose studentai praktikuojasi su autentiškais pavyzdžiais ir mokosi ieškoti „kažko“, net kai tiksliai nežino, ko ieško.

Integruokite YARA į atsarginių kopijų kūrimo ir atkūrimo platformas

Viena sritis, kurioje YARA puikiai dera ir kuri dažnai lieka nepastebėta, yra atsarginių kopijų apsauga. Jei atsarginės kopijos užkrėstos kenkėjiška programine įranga arba išpirkos reikalaujančia programine įranga, atkūrimas gali paleisti visą kampaniją iš naujo.Štai kodėl kai kurie gamintojai YARA variklius tiesiogiai įtraukė į savo sprendimus.

Galima paleisti naujos kartos atsarginių kopijų platformas YARA taisyklėmis pagrįstos analizės sesijos atkūrimo taškuoseTikslas dvejopas: surasti paskutinį „švarų“ tašką prieš incidentą ir aptikti kenkėjišką turinį, paslėptą failuose, kurių kiti patikrinimai galbūt nesuaktyvino.

Šiose aplinkose įprastas procesas apima parinkties „Nuskaitykite atkūrimo taškus naudodami YARA liniuotę„analizės užduoties konfigūravimo metu. Toliau nurodomas taisyklių failo kelias (paprastai su plėtiniu .yara arba .yar), kuris paprastai saugomas atsarginių kopijų kūrimo sprendimui skirtame konfigūracijos aplanke.“

Vykdymo metu variklis iteruoja per kopijoje esančius objektus, pritaiko taisykles ir Jis įrašo visas atitiktis į specialų YARA analizės žurnalą.Administratorius gali peržiūrėti šiuos žurnalus konsolėje, peržiūrėti statistiką, pamatyti, kurie failai suaktyvino įspėjimą, ir netgi atsekti, kuriems kompiuteriams ir konkrečiai datai atitinka kiekvienas atitikmuo.

Šią integraciją papildo kiti mechanizmai, pvz. anomalijų aptikimas, atsarginių kopijų dydžio stebėjimas, konkrečių IOC paieška arba įtartinų įrankių analizėTačiau kai kalbama apie taisykles, pritaikytas konkrečiai išpirkos reikalaujančių programų šeimai ar kampanijai, YARA yra geriausias įrankis paieškai patikslinti.

Kaip išbandyti ir patvirtinti YARA taisykles nepažeidžiant tinklo

Kai pradėsite rašyti savo taisykles, kitas svarbus žingsnis yra jas kruopščiai išbandyti. Pernelyg agresyvi taisyklė gali sukelti klaidingai teigiamų rezultatų laviną, o pernelyg laisva – leisti tikroms grėsmėms praslysti.Štai kodėl testavimo etapas yra toks pat svarbus kaip ir rašymo etapas.

Geros naujienos yra tai, kad jums nereikia įkurti laboratorijos, pilnos veikiančių kenkėjiškų programų, ir užkrėsti pusės tinklo, kad tai atliktumėte. Saugyklos ir duomenų rinkiniai, kuriuose pateikiama ši informacija, jau egzistuoja. žinomų ir kontroliuojamų kenkėjiškų programų pavyzdžių tyrimų tikslaisŠiuos pavyzdžius galite atsisiųsti į izoliuotą aplinką ir naudoti kaip savo taisyklių bandymų platformą.

Įprastas būdas yra pradėti paleidus YARA lokaliai, iš komandinės eilutės, kataloge, kuriame yra įtartinų failų. Jei jūsų taisyklės atitinka tai, kur turėtų būti, ir vos laužomos net ir švariuose failuose, esate teisingame kelyje.Jei jie per daug aktyvuoja, laikas peržiūrėti eilutes, patikslinti sąlygas arba įvesti papildomų apribojimų (dydžio, importo, poslinkio ir kt.).

Kitas svarbus dalykas – užtikrinti, kad jūsų taisyklės nepakenktų našumui. Skenuojant didelius katalogus, visas atsargines kopijas arba dideles pavyzdžių kolekcijas, Prastai optimizuotos taisyklės gali sulėtinti analizę arba sunaudoti daugiau išteklių nei pageidaujama.Todėl patartina matuoti laiką, supaprastinti sudėtingas išraiškas ir vengti pernelyg didelių reguliariųjų išraiškų.

Praėjus šį laboratorinių tyrimų etapą, galėsite Skatinti taisyklių taikymą gamybos aplinkojeNesvarbu, ar tai jūsų SIEM sistemoje, atsarginių kopijų sistemose, el. pašto serveriuose ar bet kurioje kitoje vietoje, kur norite juos integruoti. Nepamirškite nuolat peržiūrėti taisyklių: kampanijoms vystantis, jūsų taisykles reikės periodiškai koreguoti.

Įrankiai, programos ir darbo eiga su YARA

Be oficialaus dvejetainio kodo, daugelis specialistų sukūrė nedideles programas ir scenarijus, skirtus YARA, kad būtų lengviau ja naudotis kasdien. Įprastas metodas apima paraiškos sukūrimą surinkti savo apsaugos rinkinį kuris automatiškai nuskaito visas aplanke esančias taisykles ir pritaiko jas analizės katalogui.

Šio tipo savadarbiai įrankiai paprastai veikia su paprasta katalogų struktūra: vienas aplankas skirtas taisyklės, atsisiųstos iš interneto (pavyzdžiui, „rulesyar“) ir kitą aplanką, skirtą įtartini failai, kuriuos reikia analizuoti (pavyzdžiui, „kenkėjiška programa“). Paleidus programą, ji patikrina, ar abu aplankai egzistuoja, ekrane pateikia taisykles ir pasiruošia vykdymui.

Kai paspaudžiate mygtuką, pvz., „Pradėkite tikrinimąTada programa paleidžia YARA vykdomąjį failą su norimais parametrais: nuskaito visus aplanke esančius failus, atlieka rekursinę pakatalogių analizę, išveda statistiką, spausdina metaduomenis ir kt. Visi atitikmenys rodomi rezultatų lange, nurodant, kuris failas atitiko kurią taisyklę.

Ši darbo eiga leidžia, pavyzdžiui, aptikti problemas eksportuotų el. laiškų pakete. kenkėjiški įterptieji vaizdai, pavojingi priedai arba žiniatinklio apvalkalai, paslėpti, atrodytų, nekenksminguose failuoseDaugelis teismo ekspertizių tyrimų įmonių aplinkoje remiasi būtent tokio tipo mechanizmu.

Kalbant apie naudingiausius parametrus iškviečiant YARA, išsiskiria tokios parinktys kaip šios: -r – rekursyviai paieškai, -S – statistikai rodyti, -m – metaduomenims išgauti ir -w – įspėjimams ignoruotiSujungdami šias žymas, galite pritaikyti elgseną pagal savo atvejį: nuo greitos analizės konkrečiame kataloge iki visiško sudėtingos aplankų struktūros nuskaitymo.

Geriausia YARA taisyklių rašymo ir priežiūros praktika

Kad jūsų taisyklių saugykla netaptų nevaldoma netvarka, patartina taikyti keletą geriausios praktikos pavyzdžių. Pirma, dirbti su nuosekliais šablonais ir pavadinimų suteikimo konvencijomis.kad bet kuris analitikas galėtų iš pirmo žvilgsnio suprasti, ką daro kiekviena taisyklė.

Daugelis komandų taiko standartinį formatą, kuris apima antraštė su metaduomenimis, žymėmis, nurodančiomis grėsmės tipą, veikėją arba platformą, ir aiškiu aprašymu, kas aptinkamaTai padeda ne tik viduje, bet ir kai dalijatės taisyklėmis su bendruomene arba prisidedate prie viešųjų saugyklų.

Dar viena rekomendacija – visada prisiminti, kad YARA yra tik dar vienas gynybos sluoksnisJi nepakeičia antivirusinės programinės įrangos ar EDR, o papildo jas strategijose, skirtose Apsaugokite savo „Windows“ kompiuterįIdealiu atveju YARA turėtų atitikti platesnes atskaitos sistemas, tokias kaip NIST sistema, kuri taip pat apima turto identifikavimą, apsaugą, aptikimą, reagavimą ir atkūrimą.

Techniniu požiūriu verta skirti laiko išvengti klaidingų teigiamų rezultatųTai reiškia vengti pernelyg bendrinių eilučių, derinti kelias sąlygas ir naudoti tokius operatorius kaip visi o bet kuris iš Pasinaudokite savo galva ir failo struktūrinėmis ypatybėmis. Kuo konkretesnė kenkėjiškos programos veikimo logika, tuo geriau.

Galiausiai, laikykitės drausmės versijų kūrimas ir periodinė peržiūra Tai labai svarbu. Kenkėjiškų programų šeimos vystosi, indikatoriai keičiasi, o šiandien veikiančios taisyklės gali būti nepakankamos arba pasenti. Periodiškas taisyklių rinkinio peržiūrėjimas ir tobulinimas yra kibernetinio saugumo žaidimo „katė ir pelė“ dalis.

YARA bendruomenė ir turimi ištekliai

Viena iš pagrindinių priežasčių, kodėl YARA pasiekė tokį lygį, yra jos bendruomenės stiprybė. Tyrėjai, apsaugos įmonės ir reagavimo komandos iš viso pasaulio nuolat dalijasi taisyklėmis, pavyzdžiais ir dokumentais.sukuriant labai turtingą ekosistemą.

Pagrindinis atskaitos taškas yra Oficiali YARA saugykla „GitHub“ platformojeTen rasite naujausias įrankio versijas, šaltinio kodą ir nuorodas į dokumentaciją. Ten galėsite sekti projekto eigą, pranešti apie problemas arba, jei norite, prisidėti prie patobulinimų.

Oficialioje dokumentacijoje, prieinamoje tokiose platformose kaip „ReadTheDocs“, siūloma išsamus sintaksės vadovas, galimi moduliai, taisyklių pavyzdžiai ir naudojimo nuorodosTai esminis išteklius norint pasinaudoti pažangiausiomis funkcijomis, tokiomis kaip PE patikra, ELF, atminties taisyklės arba integracija su kitais įrankiais.

Be to, yra bendruomenės YARA taisyklių ir parašų saugyklos, kuriose analitikai iš viso pasaulio Jie skelbia jau paruoštas naudoti kolekcijas arba kolekcijas, kurias galima pritaikyti jūsų poreikiams.Šiose saugyklose paprastai yra taisyklės, skirtos konkrečioms kenkėjiškų programų šeimoms, spragų rinkiniams, kenkėjiškai naudojamiems įsiskverbimo testavimo įrankiams, žiniatinklio apvalkalams, kriptovaliutų kasimo įrankiams ir daug daugiau.

Tuo pačiu metu daugelis gamintojų ir tyrimų grupių siūlo Specialūs mokymai YARA – nuo ​​​​pagrindinių iki labai pažengusių kursųŠios iniciatyvos dažnai apima virtualias laboratorijas ir praktinius pratimus, pagrįstus realiais scenarijais. Kai kurios iš jų netgi nemokamai siūlomos ne pelno organizacijoms ar subjektams, kurie yra ypač pažeidžiami tikslinių atakų.

Visa ši ekosistema reiškia, kad su trupučiu atsidavimo galite pereiti nuo pirmųjų pagrindinių taisyklių parašymo iki kurti sudėtingus rinkinius, galinčius sekti sudėtingas kampanijas ir aptikti precedento neturinčias grėsmesO derindami YARA su tradicine antivirusine programa, saugiu atsarginių kopijų kopijavimu ir grėsmių žvalgyba, gerokai apsunkinate kenkėjiškų veikėjų darbą internete.

Atsižvelgiant į visa tai, kas išdėstyta pirmiau, akivaizdu, kad YARA yra daug daugiau nei paprasta komandinės eilutės programa: tai yra raktas bet kurioje pažangioje kenkėjiškų programų aptikimo strategijoje – lankstus įrankis, prisitaikantis prie jūsų, kaip analitiko, mąstymo būdo ir bendrinė kalba jungianti laboratorijas, SOC ir mokslinių tyrimų bendruomenes visame pasaulyje, leisdama kiekvienai naujai taisyklei suteikti dar vieną apsaugos lygmenį nuo vis sudėtingesnių kampanijų.