Kā izmantot YARA uzlabotai ļaunprogrammatūras noteikšanai

¿Kā lietot YARA uzlabotai ļaunprogrammatūras noteikšanai? Kad tradicionālās pretvīrusu programmas sasniedz savas robežas un uzbrucēji izslīd cauri visām iespējamām spraugām, talkā nāk rīks, kas ir kļuvis neaizstājams incidentu reaģēšanas laboratorijās: YARA — “Šveices nazis” ļaunprogrammatūras medībāmTas ir izstrādāts, lai aprakstītu ļaunprātīgas programmatūras saimes, izmantojot teksta un bināros modeļus, un ļauj sasniegt daudz vairāk nekā vienkāršu jaucējkodu salīdzināšanu.

Pareizajās rokās YARA nav paredzēta tikai atrašanai ne tikai zināmi ļaunprogrammatūras paraugi, bet arī jauni varianti, nulles dienas uzbrukumi un pat komerciāli uzbrukuma rīkiŠajā rakstā mēs padziļināti un praktiski izpētīsim, kā izmantot YARA uzlabotai ļaunprogrammatūras noteikšanai, kā rakstīt stabilus noteikumus, kā tos pārbaudīt, kā tos integrēt tādās platformās kā Veeam vai jūsu pašu analīzes darbplūsmā un kādu labāko praksi ievēro profesionālā kopiena.

Kas ir YARA un kāpēc tā ir tik spēcīga ļaunprogrammatūras noteikšanā?

YARA apzīmē “Vēl viens rekursīvs akronīms” un ir kļuvis par faktisku standartu draudu analīzē, jo Tas ļauj aprakstīt ļaunprogrammatūru saimes, izmantojot salasāmus, skaidrus un ļoti elastīgus noteikumus.Tā vietā, lai paļautos tikai uz statiskiem pretvīrusu parakstiem, YARA darbojas ar modeļiem, kurus definējat pats.

Pamatideja ir vienkārša: YARA noteikums pārbauda failu (vai atmiņu, vai datu plūsmu) un vai ir izpildīta virkne nosacījumu. nosacījumi, kuru pamatā ir teksta virknes, heksadecimālās secības, regulārās izteiksmes vai faila īpašībasJa nosacījums ir izpildīts, ir “atbilstība”, un jūs varat brīdināt, bloķēt vai veikt padziļinātāku analīzi.

Šī pieeja ļauj drošības komandām Identificēt un klasificēt visu veidu ļaunprogrammatūru: klasiskos vīrusus, tārpus, Trojas zirgus, izspiedējvīrusus, tīmekļa apvalkus, kriptovalūtu ieguves programmas, ļaunprātīgus makro un daudz ko cituTas neaprobežojas tikai ar konkrētiem failu paplašinājumiem vai formātiem, tāpēc tas atrod arī maskētu izpildāmo failu ar .pdf paplašinājumu vai HTML failu, kas satur tīmekļa apvalku.

Turklāt YARA jau ir integrēta daudzos kiberdrošības ekosistēmas galvenajos pakalpojumos un rīkos: VirusTotal, tādas “smilškastes” kā Cuckoo, dublēšanas platformas kā Veeam vai draudu medīšanas risinājumi no vadošajiem ražotājiemTāpēc YARA apgūšana ir kļuvusi gandrīz par prasību pieredzējušiem analītiķiem un pētniekiem.

YARA papildu lietošanas gadījumi ļaunprogrammatūras noteikšanā

Viena no YARA stiprajām pusēm ir tā, ka tā lieliski pielāgojas dažādiem drošības scenārijiem, sākot no SOC līdz ļaunprogrammatūras laboratorijai. Vienādi noteikumi attiecas gan uz vienreizējām medībām, gan uz nepārtrauktu uzraudzību..

Vistiešākais gadījums ir saistīts ar radīšanu īpaši noteikumi konkrētai ļaunprogrammatūrai vai veselām ļaunprogrammatūras saimēmJa jūsu organizācijai uzbrūk kampaņa, kuras pamatā ir zināma saime (piemēram, attālās piekļuves Trojas zirgs vai APT apdraudējums), varat profilēt raksturīgās virknes un modeļus, kā arī izveidot noteikumus, kas ātri identificē jaunus saistītus paraugus.

Vēl viens klasisks lietojums ir uzmanības centrā YARA, pamatojoties uz parakstiemŠie noteikumi ir izstrādāti, lai atrastu hešus, ļoti specifiskas teksta virknes, koda fragmentus, reģistra atslēgas vai pat specifiskas baitu secības, kas atkārtojas vairākos viena un tā paša ļaunprogrammatūras variantos. Tomēr paturiet prātā, ka, meklējot tikai triviālas virknes, pastāv risks ģenerēt kļūdaini pozitīvus rezultātus.

YARA izceļas arī filtrēšanas ziņā failu tipi vai strukturālās īpašībasApvienojot virknes ar tādām īpašībām kā faila lielums, konkrēti galvenes (piemēram, 0x5A4D PE izpildāmajiem failiem) vai aizdomīgu funkciju importēšana, ir iespējams izveidot noteikumus, kas attiecas uz PE izpildāmajiem failiem, Office dokumentiem, PDF failiem vai praktiski jebkuru formātu.

Mūsdienu vidē tā lietošana ir saistīta ar draudu izlūkošanaPubliskās krātuves, pētījumu ziņojumi un IOC plūsmas tiek tulkotas YARA noteikumos, kas ir integrēti SIEM, EDR, dublēšanas platformās vai smilškastēs. Tas ļauj organizācijām… ātri atklāt jaunus draudus, kuriem ir kopīgas iezīmes ar jau analizētajām kampaņām.

YARA noteikumu sintakses izpratne

YARA sintakse ir diezgan līdzīga C sintaksei, taču vienkāršākā un fokusētākā veidā. Katrs noteikums sastāv no nosaukuma, neobligātas metadatu sadaļas, virknes sadaļas un, obligāti, nosacījuma sadaļas.Turpmāk spēks slēpjas tajā, kā jūs to visu apvienojat.

Pirmais ir noteikuma nosaukumsTam jāiet tieši aiz atslēgvārda lemt (o valdnieks Ja dokumentējat spāņu valodā, lai gan atslēgvārds failā būs lemtun tam jābūt derīgam identifikatoram: bez atstarpēm, bez cipariem un bez pasvītrojuma. Ieteicams ievērot skaidru konvenciju, piemēram, kaut ko līdzīgu Ļaunprogrammatūras_saimes_variants o APT_Actor_Tool, kas ļauj uzreiz noteikt, ko tas paredzēts noteikt.

Tālāk seko sadaļa virkneskur jūs definējat meklējamos modeļus. Šeit varat izmantot trīs galvenos veidus: teksta virknes, heksadecimālās secības un regulārās izteiksmesTeksta virknes ir ideāli piemērotas cilvēkiem lasāmiem koda fragmentiem, URL, iekšējiem ziņojumiem, ceļu nosaukumiem vai PDB. Heksadecimālie skaitļi ļauj tvert neapstrādātus baitu modeļus, kas ir ļoti noderīgi, ja kods ir maskēts, bet saglabā noteiktas nemainīgas secības.

Regulārās izteiksmes nodrošina elastību, ja nepieciešams aptvert nelielas virknes variācijas, piemēram, mainīt domēnus vai nedaudz mainītas koda daļas. Turklāt gan virknes, gan regulārās izteiksmes ļauj izkļūšanas rakstzīmēm attēlot patvaļīgus baitus., kas paver durvis uz ļoti precīziem hibrīdiem modeļiem.

Sadaļa stāvoklis Tas ir vienīgais obligātais noteikums, un tas nosaka, kad noteikums tiek uzskatīts par atbilstošu failam. Tur jūs izmantojat Būla un aritmētiskās darbības (un, vai, ne, +, -, *, /, jebkurš, visi, satur utt.), lai izteiktu precīzāku noteikšanas loģiku nekā vienkārša "ja parādās šī virkne".

Piemēram, varat norādīt, ka noteikums ir derīgs tikai tad, ja fails ir mazāks par noteiktu lielumu, ja parādās visas kritiskās virknes vai ja ir vismaz viena no vairākām virknēm. Varat arī apvienot tādus nosacījumus kā virknes garums, atbilstību skaits, konkrētas nobīdes failā vai paša faila lielums.Šeit radošums rada atšķirību starp vispārīgiem noteikumiem un ķirurģisku atklāšanu.

Visbeidzot, jums ir izvēles sadaļa metaIdeāli piemērots perioda dokumentēšanai. Bieži tiek iekļauts autors, izveides datums, apraksts, iekšējā versija, atsauce uz ziņojumiem vai biļetēm un kopumā jebkāda informācija, kas palīdz uzturēt repozitoriju sakārtotu un saprotamu citiem analītiķiem.

Praktiski piemēri par uzlabotiem YARA noteikumiem

Lai visu iepriekš minēto aplūkotu perspektīvā, ir lietderīgi redzēt, kā vienkāršs noteikums ir strukturēts un kā tas kļūst sarežģītāks, kad rodas izpildāmie faili, aizdomīgi importētie dati vai atkārtotas instrukciju secības. Sāksim ar rotaļu lineālu un pakāpeniski palielināsim izmēru..

Minimālais noteikums var saturēt tikai virkni un nosacījumu, kas to padara obligātu. Piemēram, jūs varētu meklēt konkrētu teksta virkni vai baitu secību, kas attēlo ļaunprogrammatūras fragmentu. Šādā gadījumā nosacījums vienkārši norādītu, ka noteikums ir izpildīts, ja parādās šī virkne vai raksts., bez papildu filtriem.

Tomēr reālās pasaules apstākļos tas ir nepietiekami, jo Vienkāršas ķēdes bieži ģenerē daudz viltus pozitīvu rezultātuTāpēc ir ierasts apvienot vairākas virknes (teksta un heksadecimālās) ar papildu ierobežojumiem: ka fails nepārsniedz noteiktu izmēru, ka tajā ir noteiktas galvenes vai ka tas tiek aktivizēts tikai tad, ja tiek atrasta vismaz viena virkne no katras definētās grupas.

Tipisks PE izpildāmā faila analīzes piemērs ietver moduļa importēšanu. pe no YARA, kas ļauj vaicāt binārā faila iekšējās īpašības: importētās funkcijas, sadaļas, laika zīmogus utt. Papildu noteikums var pieprasīt faila importēšanu Izveides process no Kernel32.dll un dažas HTTP funkcijas no wininet.dll, papildus tam, ka tajā ir ietverta īpaša virkne, kas norāda uz ļaunprātīgu rīcību.

Šāda veida loģika ir ideāli piemērota atrašanās vietas noteikšanai. Trojas zirgi ar attālināta savienojuma vai eksfiltrācijas iespējāmpat ja failu nosaukumi vai ceļi mainās no vienas kampaņas uz otru. Svarīgi ir koncentrēties uz pamatā esošo darbību: procesa izveidi, HTTP pieprasījumiem, šifrēšanu, noturību utt.

Vēl viena ļoti efektīva metode ir aplūkot atkārtotu instrukciju secības starp vienas saimes paraugiem. Pat ja uzbrucēji bināro failu iesaiņo vai maskē, viņi bieži vien atkārtoti izmanto koda daļas, kuras ir grūti mainīt. Ja pēc statiskās analīzes atrodat nemainīgus instrukciju blokus, varat formulēt noteikumu ar aizstājējzīmes heksadecimālās virknēs kas atspoguļo šo modeli, vienlaikus saglabājot noteiktu toleranci.

Ar šiem "koda uzvedības" noteikumiem ir iespējams izsekot visas ļaunprogrammatūras kampaņas, piemēram, PlugX/Korplug vai citu APT saimju kampaņasJūs ne tikai atklājat konkrētu jaucējkodu, bet arī, tā teikt, uzbrucēju izstrādes stilu.

YARA izmantošana reālās kampaņās un nulles dienas draudos

YARA ir pierādījusi savu vērtību, īpaši progresīvu apdraudējumu un nulles dienas uzbrukumu jomā, kur klasiskie aizsardzības mehānismi parādās pārāk vēlu. Labi zināms piemērs ir YARA izmantošana, lai atrastu Silverlight ievainojamību, izmantojot minimālu nopludinātu informāciju..

Tādā gadījumā no e-pastiem, kas nozagti no uzņēmuma, kas nodarbojas ar uzbrukuma rīku izstrādi, tika izsecināti pietiekami daudz modeļu, lai izveidotu noteikumu, kas orientēts uz konkrētu uzbrukuma veidu. Ar šo vienīgo noteikumu pētnieki spēja izsekot paraugu aizdomīgu failu jūrā.Identificējiet ielaušanās vietu un piespiediet to atjaunināt, novēršot daudz nopietnākus bojājumus.

Šāda veida stāsti ilustrē, kā YARA var darboties kā zvejas tīkls failu jūrāIztēlojieties savu korporatīvo tīklu kā okeānu, kas pilns ar visu veidu "zivīm" (failiem). Jūsu noteikumi ir kā nodalījumi traļa tīklā: katrā nodalījumā atrodas zivis, kas atbilst noteiktām īpašībām.

Kad esat pabeidzis vilkšanu, jums ir paraugi, kas sagrupēti pēc līdzības ar konkrētām uzbrucēju ģimenēm vai grupām: “līdzīgi kā suga X”, “līdzīgi kā suga Y” utt. Daži no šiem paraugiem jums var būt pilnīgi jauni (jauni binārie faili, jaunas kampaņas), taču tie atbilst zināmam modelim, kas paātrina klasifikāciju un atbildes sniegšanu.

Lai šajā kontekstā gūtu maksimālu labumu no YARA, daudzas organizācijas apvienojas padziļināta apmācība, praktiskas laboratorijas un kontrolētas eksperimentu videsIr augsti specializēti kursi, kas veltīti tikai labu noteikumu rakstīšanas mākslai, bieži vien balstoties uz reāliem kiberizlūkošanas gadījumiem, kuros studenti praktizējas ar autentiskiem paraugiem un mācās meklēt "kaut ko" pat tad, ja precīzi nezina, ko meklē.

Integrējiet YARA dublēšanas un atkopšanas platformās

Viena joma, kurā YARA iederas lieliski un kas bieži vien paliek nepamanīta, ir dublējumu aizsardzība. Ja dublējumkopijas ir inficētas ar ļaunprogrammatūru vai izspiedējvīrusu, atjaunošana var atsākt visu kampaņu.Tāpēc daži ražotāji savos risinājumos ir tieši iekļāvuši YARA dzinējus.

Var tikt palaistas nākamās paaudzes dublēšanas platformas YARA noteikumu analīzes sesijas atjaunošanas punktosMērķis ir divējāds: atrast pēdējo "tīro" punktu pirms incidenta un atklāt ļaunprātīgu saturu, kas paslēpts failos, kurus, iespējams, nav aktivizējušas citas pārbaudes.

Šādās vidēs tipiskais process ietver opcijas “Skenējiet atjaunošanas punktus ar YARA lineālu"analīzes uzdevuma konfigurēšanas laikā. Pēc tam tiek norādīts ceļš uz noteikumu failu (parasti ar paplašinājumu .yara vai .yar), kas parasti tiek glabāts dublēšanas risinājumam raksturīgā konfigurācijas mapē."

Izpildes laikā programma atkārtoti apstrādā kopijā ietvertos objektus, piemēro noteikumus un Tas reģistrē visas atbilstības īpašā YARA analīzes žurnālā.Administrators var skatīt šos žurnālus no konsoles, pārskatīt statistiku, redzēt, kuri faili aktivizēja brīdinājumu, un pat izsekot, kurām mašīnām un konkrētajam datumam atbilst katra atbilstība.

Šo integrāciju papildina citi mehānismi, piemēram, anomāliju noteikšana, dublējuma lieluma uzraudzība, konkrētu IOC meklēšana vai aizdomīgu rīku analīzeBet, runājot par noteikumiem, kas pielāgoti konkrētai izspiedējvīrusu saimei vai kampaņai, YARA ir labākais rīks šīs meklēšanas precizēšanai.

Kā pārbaudīt un validēt YARA noteikumus, nepārtraucot tīkla darbību

Kad sākat rakstīt savus noteikumus, nākamais izšķirošais solis ir tos rūpīgi pārbaudīt. Pārāk agresīvs noteikums var radīt viltus pozitīvu rezultātu uzplūdu, savukārt pārāk vaļīgs noteikums var ļaut izpausties reāliem draudiem.Tāpēc testēšanas fāze ir tikpat svarīga kā rakstīšanas fāze.

Labā ziņa ir tā, ka, lai to izdarītu, nav jāizveido laboratorija, kas pilna ar darbojošos ļaunprogrammatūru, un jāinficē puse tīkla. Jau pastāv krātuves un datu kopas, kas piedāvā šo informāciju. zināmu un kontrolētu ļaunprogrammatūras paraugu izmantošana pētniecības nolūkosŠos paraugus var lejupielādēt izolētā vidē un izmantot kā savu noteikumu testēšanas platformu.

Parasti vispirms YARA tiek palaista lokāli no komandrindas direktorijā, kurā atrodas aizdomīgi faili. Ja jūsu noteikumi atbilst paredzētajām prasībām un tīros failos gandrīz nedarbojas, jūs esat uz pareizā ceļa.Ja tie pārāk bieži aktivizē, ir pienācis laiks pārskatīt virknes, precizēt nosacījumus vai ieviest papildu ierobežojumus (izmērs, imports, nobīdes utt.).

Vēl viens svarīgs aspekts ir nodrošināt, lai jūsu noteikumi neapdraudētu veiktspēju. Skenējot lielus direktorijus, pilnas dublējumkopijas vai masīvas paraugu kolekcijas, Slikti optimizēti noteikumi var palēnināt analīzi vai patērēt vairāk resursu nekā nepieciešams.Tāpēc ieteicams mērīt laikus, vienkāršot sarežģītas izteiksmes un izvairīties no pārmērīgi apjomīgām regulārajām izteiksmēm.

Pēc laboratorijas testēšanas fāzes iziešanas jūs varēsiet Veicināt noteikumu ieviešanu ražošanas vidēNeatkarīgi no tā, vai tas ir jūsu SIEM sistēmā, dublēšanas sistēmās, e-pasta serveros vai jebkur citur, kur vēlaties tos integrēt. Un neaizmirstiet uzturēt nepārtrauktu pārskatīšanas ciklu: kampaņām attīstoties, jūsu noteikumi būs periodiski jāpielāgo.

Rīki, programmas un darbplūsma ar YARA

Papildus oficiālajam binārajam failam daudzi profesionāļi ir izstrādājuši nelielas programmas un skriptus ap YARA, lai atvieglotu tā ikdienas lietošanu. Tipiska pieeja ietver lietojumprogrammas izveidi salieciet savu drošības komplektu kas automātiski nolasa visus mapē esošos noteikumus un piemēro tos analīzes direktorijam.

Šāda veida paštaisīti rīki parasti darbojas ar vienkāršu direktoriju struktūru: viena mape priekš noteikumi, kas lejupielādēti no interneta (piemēram, “rulesyar”) un vēl viena mape priekš aizdomīgi faili, kas tiks analizēti (piemēram, “ļaunprogrammatūra”). Kad programma tiek startēta, tā pārbauda, ​​vai abas mapes pastāv, ekrānā parāda noteikumus un sagatavojas izpildei.

Kad nospiežat pogu, piemēram, “Sāciet pārbaudiPēc tam lietojumprogramma palaiž YARA izpildāmo failu ar vēlamajiem parametriem: visu mapē esošo failu skenēšana, apakšdirektoriju rekursīva analīze, statistikas izvade, metadatu drukāšana utt. Visas atbilstības tiek parādītas rezultātu logā, norādot, kurš fails atbilda kuram noteikumam.

Šī darbplūsma ļauj, piemēram, noteikt problēmas eksportēto e-pasta ziņojumu partijā. ļaunprātīgi iegulti attēli, bīstami pielikumi vai tīmekļa apvalki, kas paslēpti šķietami nekaitīgos failosDaudzas kriminālistikas izmeklēšanas korporatīvajā vidē balstās tieši uz šāda veida mehānismu.

Runājot par visnoderīgākajiem parametriem, izsaucot YARA, izceļas šādas opcijas: -r, lai meklētu rekursīvi, -S, lai parādītu statistiku, -m, lai iegūtu metadatus, un -w, lai ignorētu brīdinājumusApvienojot šos karodziņus, varat pielāgot darbību savai situācijai: sākot no ātras analīzes noteiktā direktorijā līdz pilnīgai sarežģītas mapju struktūras skenēšanai.

Labākā prakse YARA noteikumu rakstīšanā un uzturēšanā

Lai jūsu noteikumu krātuve nekļūtu par nepārvaldāmu haosu, ieteicams ievērot virkni labākās prakses ieteikumu. Pirmais ir strādāt ar konsekventām veidnēm un nosaukumu piešķiršanas konvencijām.lai jebkurš analītiķis varētu uzreiz saprast, ko dara katrs noteikums.

Daudzas komandas pieņem standarta formātu, kas ietver galvene ar metadatiem, tagiem, kas norāda apdraudējuma veidu, dalībnieku vai platformu, un skaidru aprakstu par to, kas tiek atklātsTas palīdz ne tikai iekšēji, bet arī tad, kad kopīgojat noteikumus ar kopienu vai veicat ieguldījumu publiskajās krātuvēs.

Vēl viens ieteikums ir vienmēr atcerēties, ka YARA ir tikai vēl viens aizsardzības slānisTas neaizstāj pretvīrusu programmatūru vai EDR, bet gan papildina tos stratēģijās, kas paredzētas Aizsargājiet savu Windows datoruIdeālā gadījumā YARA būtu jāiekļaujas plašākos atsauces ietvaros, piemēram, NIST ietvarā, kas aptver arī aktīvu identificēšanu, aizsardzību, atklāšanu, reaģēšanu un atgūšanu.

No tehniskā viedokļa ir vērts veltīt tam laiku izvairīties no viltus pozitīviem rezultātiemTas ietver pārāk vispārīgu virkņu novēršanu, vairāku nosacījumu apvienošanu un tādu operatoru izmantošanu kā viss no o kāds no Izmantojiet savu prātu un faila strukturālās īpašības. Jo konkrētāka ir ļaunprogrammatūras darbības loģika, jo labāk.

Visbeidzot, ievērojiet disciplīnu versiju veidošana un periodiska pārskatīšana Tas ir ļoti svarīgi. Ļaunprogrammatūru saimes attīstās, indikatori mainās, un noteikumi, kas darbojas šodien, var būt nepietiekami vai novecojuši. Noteikumu kopas periodiska pārskatīšana un pilnveidošana ir daļa no kiberdrošības kaķa un peles spēles.

YARA kopiena un pieejamie resursi

Viens no galvenajiem iemesliem, kāpēc YARA ir tikusi tik tālu, ir tās kopienas spēks. Pētnieki, apsardzes firmas un reaģēšanas komandas no visas pasaules nepārtraukti apmainās ar noteikumiem, piemēriem un dokumentāciju.radot ļoti bagātu ekosistēmu.

Galvenais atskaites punkts ir YARA oficiālais repozitorijs vietnē GitHubTur atradīsiet jaunākās rīka versijas, pirmkodu un saites uz dokumentāciju. Tur varēsiet sekot līdzi projekta progresam, ziņot par problēmām vai, ja vēlaties, sniegt uzlabojumus.

Oficiālā dokumentācija, kas pieejama tādās platformās kā ReadTheDocs, piedāvā pilnīga sintakses rokasgrāmata, pieejamie moduļi, noteikumu piemēri un lietošanas atsaucesTas ir būtisks resurss, lai izmantotu vismodernākās funkcijas, piemēram, PE pārbaudi, ELF, atmiņas noteikumus vai integrācijas ar citiem rīkiem.

Turklāt ir pieejamas YARA noteikumu un parakstu kopienas krātuves, kurās analītiķi no visas pasaules var apmainīties ar informāciju. Viņi publicē lietošanai gatavas kolekcijas vai kolekcijas, kuras var pielāgot jūsu vajadzībām.Šajos repozitorijos parasti ir iekļauti noteikumi konkrētām ļaunprogrammatūru saimēm, ekspluatācijas komplektiem, ļaunprātīgi izmantotiem penetrācijas testēšanas rīkiem, tīmekļa apvalkiem, kriptovalūtu ieguves programmām un daudz kam citam.

Paralēli daudzi ražotāji un pētniecības grupas piedāvā Specifiskas apmācības YARA, sākot no pamata līmeņa līdz ļoti padziļinātiem kursiemŠīs iniciatīvas bieži ietver virtuālas laboratorijas un praktiskus vingrinājumus, kuru pamatā ir reālās dzīves scenāriji. Dažas no tām pat tiek piedāvātas bez maksas bezpeļņas organizācijām vai struktūrām, kas ir īpaši neaizsargātas pret mērķtiecīgiem uzbrukumiem.

Visa šī ekosistēma nozīmē, ka ar nelielu centību jūs varat pāriet no pirmo pamatnoteikumu rakstīšanas uz izstrādāt sarežģītus komplektus, kas spēj izsekot sarežģītas kampaņas un atklāt vēl nebijušus draudusUn, apvienojot YARA ar tradicionālo antivīrusu, drošu dublēšanu un apdraudējumu izpēti, jūs ievērojami apgrūtināt ļaunprātīgu personu darbu internetā.

Ņemot vērā visu iepriekš minēto, ir skaidrs, ka YARA ir daudz vairāk nekā vienkārša komandrindas utilīta: tā ir atslēgu gabals jebkurā uzlabotā ļaunprogrammatūras atklāšanas stratēģijā — elastīgs rīks, kas pielāgojas jūsu kā analītiķa domāšanas veidam un kopīga valoda kas savieno laboratorijas, SOC un pētniecības kopienas visā pasaulē, ļaujot katram jaunam noteikumam pievienot vēl vienu aizsardzības slāni pret arvien sarežģītākām kampaņām.