വിപുലമായ മാൽവെയർ കണ്ടെത്തലിനായി YARA എങ്ങനെ ഉപയോഗിക്കാം

¿വിപുലമായ മാൽവെയർ കണ്ടെത്തലിനായി YARA എങ്ങനെ ഉപയോഗിക്കാം? പരമ്പരാഗത ആന്റിവൈറസ് പ്രോഗ്രാമുകൾ അവയുടെ പരിധിയിലെത്തുകയും ആക്രമണകാരികൾ സാധ്യമായ എല്ലാ വിള്ളലുകളിലൂടെയും വഴുതിവീഴുകയും ചെയ്യുമ്പോൾ, സംഭവ പ്രതികരണ ലാബുകളിൽ ഒഴിച്ചുകൂടാനാവാത്തതായി മാറിയ ഒരു ഉപകരണം പ്രവർത്തിക്കുന്നു: മാൽവെയറുകൾ വേട്ടയാടുന്നതിനുള്ള "സ്വിസ് കത്തി" യാരടെക്സ്റ്റ്, ബൈനറി പാറ്റേണുകൾ ഉപയോഗിച്ച് ക്ഷുദ്ര സോഫ്റ്റ്‌വെയറുകളുടെ കുടുംബങ്ങളെ വിവരിക്കാൻ രൂപകൽപ്പന ചെയ്‌തിരിക്കുന്ന ഇത്, ലളിതമായ ഹാഷ് പൊരുത്തപ്പെടുത്തലിനപ്പുറം പോകാൻ അനുവദിക്കുന്നു.

വലതു കൈകളിൽ, യാര എന്നത് കണ്ടെത്തൽ മാത്രമല്ല അറിയപ്പെടുന്ന മാൽവെയർ സാമ്പിളുകൾ മാത്രമല്ല, പുതിയ വകഭേദങ്ങൾ, സീറോ-ഡേ ചൂഷണങ്ങൾ, വാണിജ്യപരമായ ആക്രമണ ഉപകരണങ്ങൾ പോലും.ഈ ലേഖനത്തിൽ, വിപുലമായ മാൽവെയർ കണ്ടെത്തലിനായി YARA എങ്ങനെ ഉപയോഗിക്കാം, ശക്തമായ നിയമങ്ങൾ എങ്ങനെ എഴുതാം, അവ എങ്ങനെ പരീക്ഷിക്കാം, Veeam പോലുള്ള പ്ലാറ്റ്‌ഫോമുകളിലോ നിങ്ങളുടെ സ്വന്തം വിശകലന വർക്ക്ഫ്ലോയിലോ അവയെ എങ്ങനെ സംയോജിപ്പിക്കാം, പ്രൊഫഷണൽ സമൂഹം പിന്തുടരുന്ന മികച്ച രീതികൾ എന്തൊക്കെയാണെന്ന് ആഴത്തിലും പ്രായോഗികമായും നമ്മൾ പര്യവേക്ഷണം ചെയ്യും.

എന്താണ് YARA, മാൽവെയർ കണ്ടെത്തുന്നതിൽ ഇതിന് ഇത്ര ശക്തമായിരിക്കുന്നത് എന്തുകൊണ്ട്?

"Yet Another Recursive Acronym" എന്നതിന്റെ ചുരുക്കെഴുത്താണ് YARA, ഭീഷണി വിശകലനത്തിൽ ഇത് ഒരു യഥാർത്ഥ മാനദണ്ഡമായി മാറിയിരിക്കുന്നു, കാരണം വായിക്കാൻ കഴിയുന്നതും വ്യക്തവും വളരെ വഴക്കമുള്ളതുമായ നിയമങ്ങൾ ഉപയോഗിച്ച് മാൽവെയർ കുടുംബങ്ങളെ വിവരിക്കാൻ ഇത് അനുവദിക്കുന്നു.സ്റ്റാറ്റിക് ആന്റിവൈറസ് സിഗ്നേച്ചറുകളെ മാത്രം ആശ്രയിക്കുന്നതിനുപകരം, നിങ്ങൾ സ്വയം നിർവചിക്കുന്ന പാറ്റേണുകൾ ഉപയോഗിച്ചാണ് YARA പ്രവർത്തിക്കുന്നത്.

അടിസ്ഥാന ആശയം ലളിതമാണ്: ഒരു YARA നിയമം ഒരു ഫയൽ (അല്ലെങ്കിൽ മെമ്മറി, അല്ലെങ്കിൽ ഡാറ്റ സ്ട്രീം) പരിശോധിക്കുകയും വ്യവസ്ഥകളുടെ ഒരു പരമ്പര പാലിക്കുന്നുണ്ടോ എന്ന് പരിശോധിക്കുകയും ചെയ്യുന്നു. ടെക്സ്റ്റ് സ്ട്രിങ്ങുകൾ, ഹെക്സാഡെസിമൽ സീക്വൻസുകൾ, റെഗുലർ എക്സ്പ്രഷനുകൾ അല്ലെങ്കിൽ ഫയൽ പ്രോപ്പർട്ടികൾ എന്നിവയെ അടിസ്ഥാനമാക്കിയുള്ള വ്യവസ്ഥകൾവ്യവസ്ഥ പാലിക്കപ്പെട്ടാൽ, ഒരു "പൊരുത്തം" ഉണ്ടാകും, നിങ്ങൾക്ക് മുന്നറിയിപ്പ് നൽകാനോ തടയാനോ കൂടുതൽ ആഴത്തിലുള്ള വിശകലനം നടത്താനോ കഴിയും.

ഈ സമീപനം സുരക്ഷാ ടീമുകളെ അനുവദിക്കുന്നു എല്ലാത്തരം മാൽവെയറുകളെയും തിരിച്ചറിയുകയും തരംതിരിക്കുകയും ചെയ്യുക: ക്ലാസിക് വൈറസുകൾ, വേമുകൾ, ട്രോജനുകൾ, റാൻസംവെയർ, വെബ്‌ഷെല്ലുകൾ, ക്രിപ്‌റ്റോമിനറുകൾ, ക്ഷുദ്രകരമായ മാക്രോകൾ, കൂടാതെ മറ്റു പലതും.ഇത് നിർദ്ദിഷ്ട ഫയൽ എക്സ്റ്റൻഷനുകളിലേക്കോ ഫോർമാറ്റുകളിലേക്കോ പരിമിതപ്പെടുത്തിയിട്ടില്ല, അതിനാൽ ഇത് ഒരു .pdf എക്സ്റ്റൻഷനോടുകൂടിയ ഒരു വേഷംമാറിയ എക്സിക്യൂട്ടബിളിനെയോ വെബ്‌ഷെൽ അടങ്ങിയ ഒരു HTML ഫയലിനെയോ കണ്ടെത്തുന്നു.

കൂടാതെ, സൈബർ സുരക്ഷാ ആവാസവ്യവസ്ഥയുടെ നിരവധി പ്രധാന സേവനങ്ങളിലും ഉപകരണങ്ങളിലും യാര ഇതിനകം സംയോജിപ്പിച്ചിരിക്കുന്നു: വൈറസ് ടോട്ടൽ, കുക്കൂ പോലുള്ള സാൻഡ്‌ബോക്‌സുകൾ, വീം പോലുള്ള ബാക്കപ്പ് പ്ലാറ്റ്‌ഫോമുകൾ, അല്ലെങ്കിൽ മുൻനിര നിർമ്മാതാക്കളിൽ നിന്നുള്ള ഭീഷണി വേട്ടയാടൽ പരിഹാരങ്ങൾഅതിനാൽ, യാരയിൽ വൈദഗ്ദ്ധ്യം നേടുന്നത് വികസിത വിശകലന വിദഗ്ധരുടെയും ഗവേഷകരുടെയും ഒരു ആവശ്യകതയായി മാറിയിരിക്കുന്നു.

മാൽവെയർ കണ്ടെത്തലിൽ YARA യുടെ വിപുലമായ ഉപയോഗ കേസുകൾ

SOC മുതൽ മാൽവെയർ ലാബ് വരെയുള്ള ഒന്നിലധികം സുരക്ഷാ സാഹചര്യങ്ങളോട് ഒരു കയ്യുറ പോലെ പൊരുത്തപ്പെടാൻ YARAക്ക് കഴിയും എന്നതാണ് YARA യുടെ ശക്തികളിൽ ഒന്ന്. ഒറ്റത്തവണയുള്ള വേട്ടയ്ക്കും തുടർച്ചയായ നിരീക്ഷണത്തിനും ഒരേ നിയമങ്ങൾ ബാധകമാണ്..

ഏറ്റവും നേരിട്ടുള്ള കേസ് സൃഷ്ടിക്കുന്നത് ഉൾക്കൊള്ളുന്നു നിർദ്ദിഷ്ട മാൽവെയറുകൾക്കോ ​​മുഴുവൻ കുടുംബങ്ങൾക്കോ ​​വേണ്ടിയുള്ള പ്രത്യേക നിയമങ്ങൾഅറിയപ്പെടുന്ന ഒരു കുടുംബത്തെ അടിസ്ഥാനമാക്കിയുള്ള ഒരു കാമ്പെയ്‌ൻ (ഉദാഹരണത്തിന്, ഒരു റിമോട്ട് ആക്‌സസ് ട്രോജൻ അല്ലെങ്കിൽ ഒരു APT ഭീഷണി) നിങ്ങളുടെ സ്ഥാപനത്തെ ആക്രമിക്കുകയാണെങ്കിൽ, നിങ്ങൾക്ക് സ്വഭാവ സവിശേഷതകളും പാറ്റേണുകളും പ്രൊഫൈൽ ചെയ്യാനും പുതിയ അനുബന്ധ സാമ്പിളുകൾ വേഗത്തിൽ തിരിച്ചറിയുന്ന നിയമങ്ങൾ ഉയർത്താനും കഴിയും.

മറ്റൊരു ക്ലാസിക് ഉപയോഗം ശ്രദ്ധാകേന്ദ്രമാണ് ഒപ്പുകളെ അടിസ്ഥാനമാക്കിയുള്ള YARAഒരേ മാൽവെയറിന്റെ ഒന്നിലധികം വകഭേദങ്ങളിൽ ആവർത്തിക്കുന്ന ഹാഷുകൾ, വളരെ നിർദ്ദിഷ്ട ടെക്സ്റ്റ് സ്ട്രിംഗുകൾ, കോഡ് സ്‌നിപ്പെറ്റുകൾ, രജിസ്ട്രി കീകൾ അല്ലെങ്കിൽ നിർദ്ദിഷ്ട ബൈറ്റ് സീക്വൻസുകൾ പോലും കണ്ടെത്തുന്നതിനാണ് ഈ നിയമങ്ങൾ രൂപകൽപ്പന ചെയ്തിരിക്കുന്നത്. എന്നിരുന്നാലും, നിങ്ങൾ നിസ്സാരമായ സ്ട്രിംഗുകൾ മാത്രം തിരയുകയാണെങ്കിൽ, തെറ്റായ പോസിറ്റീവുകൾ സൃഷ്ടിക്കാൻ സാധ്യതയുണ്ടെന്ന് ഓർമ്മിക്കുക.

ഫിൽട്ടറിംഗ് കാര്യത്തിലും YARA തിളങ്ങുന്നു ഫയൽ തരങ്ങൾ അല്ലെങ്കിൽ ഘടനാപരമായ സവിശേഷതകൾഫയൽ വലുപ്പം, നിർദ്ദിഷ്ട തലക്കെട്ടുകൾ (ഉദാഹരണത്തിന്, PE എക്സിക്യൂട്ടബിളുകൾക്ക് 0x5A4D), അല്ലെങ്കിൽ സംശയാസ്പദമായ ഫംഗ്ഷൻ ഇമ്പോർട്ടുകൾ തുടങ്ങിയ പ്രോപ്പർട്ടികൾ ഉപയോഗിച്ച് സ്ട്രിംഗുകൾ സംയോജിപ്പിച്ചുകൊണ്ട്, PE എക്സിക്യൂട്ടബിളുകൾ, ഓഫീസ് ഡോക്യുമെന്റുകൾ, PDF-കൾ അല്ലെങ്കിൽ ഏത് ഫോർമാറ്റിലും ബാധകമായ നിയമങ്ങൾ സൃഷ്ടിക്കാൻ കഴിയും.

ആധുനിക പരിതസ്ഥിതികളിൽ, അതിന്റെ ഉപയോഗം ഇതുമായി ബന്ധപ്പെട്ടിരിക്കുന്നു: inteligencia de amenazasപൊതു ശേഖരണങ്ങൾ, ഗവേഷണ റിപ്പോർട്ടുകൾ, IOC ഫീഡുകൾ എന്നിവ SIEM, EDR, ബാക്കപ്പ് പ്ലാറ്റ്‌ഫോമുകൾ അല്ലെങ്കിൽ സാൻഡ്‌ബോക്‌സുകൾ എന്നിവയിലേക്ക് സംയോജിപ്പിച്ചിരിക്കുന്ന YARA നിയമങ്ങളിലേക്ക് വിവർത്തനം ചെയ്യപ്പെടുന്നു. ഇത് ഓർഗനൈസേഷനുകളെ അനുവദിക്കുന്നു ഇതിനകം വിശകലനം ചെയ്ത കാമ്പെയ്‌നുകളുമായി സ്വഭാവസവിശേഷതകൾ പങ്കിടുന്ന ഉയർന്നുവരുന്ന ഭീഷണികളെ വേഗത്തിൽ കണ്ടെത്തുക..

YARA നിയമങ്ങളുടെ വാക്യഘടന മനസ്സിലാക്കുന്നു

YARA യുടെ വാക്യഘടന C യുടെ വാക്യഘടനയ്ക്ക് സമാനമാണ്, എന്നാൽ ലളിതവും കൂടുതൽ കേന്ദ്രീകൃതവുമായ രീതിയിൽ. ഓരോ നിയമത്തിലും ഒരു പേര്, ഒരു ഓപ്ഷണൽ മെറ്റാഡാറ്റ വിഭാഗം, ഒരു സ്ട്രിംഗ് വിഭാഗം, അനിവാര്യമായും ഒരു കണ്ടീഷൻ വിഭാഗം എന്നിവ അടങ്ങിയിരിക്കുന്നു.ഇവിടെ നിന്ന് മുന്നോട്ട്, നിങ്ങൾ അതെല്ലാം എങ്ങനെ സംയോജിപ്പിക്കുന്നു എന്നതിലാണ് ശക്തി സ്ഥിതിചെയ്യുന്നത്.

Lo primero es el റൂൾ നാമംഅത് കീവേഡിന് തൊട്ടുപിന്നാലെ പോകണം. rule (o regla നിങ്ങൾ സ്പാനിഷിൽ ഡോക്യുമെന്റ് ചെയ്യുകയാണെങ്കിൽ, ഫയലിലെ കീവേഡ് ഇതായിരിക്കും ruleകൂടാതെ സാധുവായ ഒരു ഐഡന്റിഫയർ ആയിരിക്കണം: സ്‌പെയ്‌സുകൾ പാടില്ല, നമ്പറുകൾ പാടില്ല, അണ്ടർസ്‌കോർ പാടില്ല. വ്യക്തമായ ഒരു കൺവെൻഷൻ പിന്തുടരുന്നത് നല്ലതാണ്, ഉദാഹരണത്തിന് മാൽവെയർ_ഫാമിലി_വേരിയന്റ് o APT_ആക്ടർ_ടൂൾ, ഇത് എന്താണ് കണ്ടെത്താൻ ഉദ്ദേശിക്കുന്നതെന്ന് ഒറ്റനോട്ടത്തിൽ തിരിച്ചറിയാൻ നിങ്ങളെ അനുവദിക്കുന്നു.

അടുത്തതായി വിഭാഗം വരുന്നു stringsനിങ്ങൾക്ക് തിരയേണ്ട പാറ്റേണുകൾ നിർവചിക്കുന്നിടത്ത്. ഇവിടെ നിങ്ങൾക്ക് മൂന്ന് പ്രധാന തരങ്ങൾ ഉപയോഗിക്കാം: ടെക്സ്റ്റ് സ്ട്രിങ്ങുകൾ, ഹെക്സാഡെസിമൽ സീക്വൻസുകൾ, റെഗുലർ എക്സ്പ്രഷനുകൾമനുഷ്യർക്ക് വായിക്കാൻ കഴിയുന്ന കോഡ് സ്‌നിപ്പെറ്റുകൾ, URL-കൾ, ആന്തരിക സന്ദേശങ്ങൾ, പാത്ത് നാമങ്ങൾ അല്ലെങ്കിൽ PDB-കൾ എന്നിവയ്‌ക്ക് ടെക്സ്റ്റ് സ്ട്രിംഗുകൾ അനുയോജ്യമാണ്. ഹെക്സാഡെസിമലുകൾ റോ ബൈറ്റ് പാറ്റേണുകൾ പകർത്താൻ നിങ്ങളെ അനുവദിക്കുന്നു, കോഡ് അവ്യക്തമാകുമ്പോൾ ഇത് വളരെ ഉപയോഗപ്രദമാണ്, പക്ഷേ ചില സ്ഥിരമായ സീക്വൻസുകൾ നിലനിർത്തുന്നു.

ഡൊമെയ്‌നുകൾ മാറ്റുകയോ കോഡിന്റെ ഭാഗങ്ങൾ ചെറുതായി മാറ്റുകയോ ചെയ്യുന്നത് പോലുള്ള ചെറിയ വ്യതിയാനങ്ങൾ ഒരു സ്ട്രിംഗിൽ ഉൾപ്പെടുത്തേണ്ടിവരുമ്പോൾ റെഗുലർ എക്‌സ്‌പ്രഷനുകൾ വഴക്കം നൽകുന്നു. കൂടാതെ, സ്ട്രിംഗുകളും റീജെക്സും എസ്കേപ്പുകളെ അനിയന്ത്രിതമായ ബൈറ്റുകളെ പ്രതിനിധീകരിക്കാൻ അനുവദിക്കുന്നു., ഇത് വളരെ കൃത്യമായ ഹൈബ്രിഡ് പാറ്റേണുകളിലേക്കുള്ള വാതിൽ തുറക്കുന്നു.

La sección condition ഒരു ഫയൽ "പൊരുത്തപ്പെടുത്താൻ" ഒരു നിയമം പരിഗണിക്കുമ്പോൾ അത് നിർവചിക്കുന്ന ഒരേയൊരു നിർബന്ധിത സംവിധാനമാണിത്. അവിടെ നിങ്ങൾ ബൂളിയൻ, ഗണിത പ്രവർത്തനങ്ങൾ ഉപയോഗിക്കുന്നു (കൂടാതെ, അല്ലെങ്കിൽ, അല്ല, +, -, *, /, ഏതെങ്കിലും, എല്ലാം, അടങ്ങിയിരിക്കുന്നു, മുതലായവ.) ലളിതമായ "if this string appears" എന്നതിനേക്കാൾ സൂക്ഷ്മമായ കണ്ടെത്തൽ യുക്തി പ്രകടിപ്പിക്കാൻ.

ഉദാഹരണത്തിന്, ഫയൽ ഒരു നിശ്ചിത വലുപ്പത്തേക്കാൾ ചെറുതാണെങ്കിൽ, എല്ലാ നിർണായക സ്ട്രിംഗുകളും ദൃശ്യമാകുകയാണെങ്കിൽ, അല്ലെങ്കിൽ നിരവധി സ്ട്രിംഗുകളിൽ ഒന്നെങ്കിലും ഉണ്ടെങ്കിൽ മാത്രമേ നിയമം സാധുതയുള്ളൂ എന്ന് നിങ്ങൾക്ക് വ്യക്തമാക്കാൻ കഴിയൂ. സ്ട്രിംഗ് ദൈർഘ്യം, പൊരുത്തങ്ങളുടെ എണ്ണം, ഫയലിലെ നിർദ്ദിഷ്ട ഓഫ്‌സെറ്റുകൾ അല്ലെങ്കിൽ ഫയലിന്റെ വലുപ്പം തുടങ്ങിയ വ്യവസ്ഥകളും നിങ്ങൾക്ക് സംയോജിപ്പിക്കാൻ കഴിയും.ഇവിടെ സർഗ്ഗാത്മകതയാണ് പൊതുവായ നിയമങ്ങളും ശസ്ത്രക്രിയാ കണ്ടെത്തലുകളും തമ്മിലുള്ള വ്യത്യാസം സൃഷ്ടിക്കുന്നത്.

ഒടുവിൽ, നിങ്ങൾക്ക് ഓപ്ഷണൽ വിഭാഗം ഉണ്ട് metaകാലഘട്ടം രേഖപ്പെടുത്താൻ അനുയോജ്യം. ഇതിൽ ഉൾപ്പെടുത്തുന്നത് സാധാരണമാണ് രചയിതാവ്, സൃഷ്ടിച്ച തീയതി, വിവരണം, ആന്തരിക പതിപ്പ്, റിപ്പോർട്ടുകൾ അല്ലെങ്കിൽ ടിക്കറ്റുകൾക്കുള്ള റഫറൻസ് കൂടാതെ, പൊതുവേ, മറ്റ് വിശകലന വിദഗ്ദ്ധർക്ക് മനസ്സിലാക്കാവുന്ന തരത്തിൽ റിപ്പോസിറ്ററി ക്രമീകരിച്ച് നിലനിർത്താൻ സഹായിക്കുന്ന ഏതൊരു വിവരവും.

വിപുലമായ YARA നിയമങ്ങളുടെ പ്രായോഗിക ഉദാഹരണങ്ങൾ

മുകളിൽ പറഞ്ഞവയെല്ലാം വീക്ഷണകോണിൽ ഉൾപ്പെടുത്തുന്നതിന്, ഒരു ലളിതമായ നിയമം എങ്ങനെയാണ് ഘടനാപരമാകുന്നതെന്നും എക്സിക്യൂട്ടബിൾ ഫയലുകൾ, സംശയാസ്പദമായ ഇറക്കുമതികൾ അല്ലെങ്കിൽ ആവർത്തിച്ചുള്ള നിർദ്ദേശ ശ്രേണികൾ എന്നിവ വരുമ്പോൾ അത് എങ്ങനെ കൂടുതൽ സങ്കീർണ്ണമാകുമെന്നും കാണുന്നത് സഹായകമാകും. നമുക്ക് ഒരു കളിപ്പാട്ട റൂളറിൽ നിന്ന് ആരംഭിച്ച് ക്രമേണ വലുപ്പം വർദ്ധിപ്പിക്കാം..

ഒരു മിനിമൽ നിയമത്തിൽ ഒരു സ്ട്രിംഗും അത് നിർബന്ധമാക്കുന്ന ഒരു കണ്ടീഷനും മാത്രമേ ഉണ്ടാകാവൂ. ഉദാഹരണത്തിന്, നിങ്ങൾക്ക് ഒരു പ്രത്യേക ടെക്സ്റ്റ് സ്ട്രിംഗിനോ ഒരു മാൽവെയർ ഫ്രാഗ്മെന്റിന്റെ ബൈറ്റ് സീക്വൻസ് പ്രതിനിധിക്കോ വേണ്ടി തിരയാൻ കഴിയും. അങ്ങനെയെങ്കിൽ, ആ സ്ട്രിംഗ് അല്ലെങ്കിൽ പാറ്റേൺ പ്രത്യക്ഷപ്പെടുകയാണെങ്കിൽ നിയമം പാലിക്കപ്പെട്ടുവെന്ന് മാത്രമേ വ്യവസ്ഥ പ്രസ്താവിക്കുകയുള്ളൂ., കൂടുതൽ ഫിൽട്ടറുകൾ ഇല്ലാതെ.

എന്നിരുന്നാലും, യഥാർത്ഥ ലോക സാഹചര്യങ്ങളിൽ ഇത് കുറവാണ്, കാരണം ലളിതമായ ശൃംഖലകൾ പലപ്പോഴും നിരവധി തെറ്റായ പോസിറ്റീവുകൾ സൃഷ്ടിക്കുന്നു.അതുകൊണ്ടാണ് അധിക നിയന്ത്രണങ്ങളോടെ നിരവധി സ്ട്രിംഗുകൾ (ടെക്സ്റ്റ്, ഹെക്സാഡെസിമൽ) സംയോജിപ്പിക്കുന്നത് സാധാരണമായിരിക്കുന്നത്: ഫയൽ ഒരു നിശ്ചിത വലുപ്പത്തിൽ കവിയരുത്, അതിൽ നിർദ്ദിഷ്ട തലക്കെട്ടുകൾ അടങ്ങിയിരിക്കണം, അല്ലെങ്കിൽ ഓരോ നിർവചിക്കപ്പെട്ട ഗ്രൂപ്പിൽ നിന്നും കുറഞ്ഞത് ഒരു സ്ട്രിംഗെങ്കിലും കണ്ടെത്തിയാൽ മാത്രമേ അത് സജീവമാകൂ.

PE എക്സിക്യൂട്ടബിൾ വിശകലനത്തിലെ ഒരു സാധാരണ ഉദാഹരണം മൊഡ്യൂൾ ഇറക്കുമതി ചെയ്യുന്നതാണ്. pe ബൈനറിയുടെ ആന്തരിക സവിശേഷതകൾ അന്വേഷിക്കാൻ നിങ്ങളെ അനുവദിക്കുന്ന YARA-യിൽ നിന്ന്: ഇറക്കുമതി ചെയ്ത ഫംഗ്‌ഷനുകൾ, വിഭാഗങ്ങൾ, ടൈംസ്റ്റാമ്പുകൾ മുതലായവ. ഒരു വിപുലമായ നിയമത്തിന് ഫയൽ ഇറക്കുമതി ചെയ്യേണ്ടി വന്നേക്കാം. ക്രിയേറ്റ്പ്രോസസ് desde Kernel32.dll കൂടാതെ ചില HTTP ഫംഗ്ഷനും വിനിനെറ്റ്.ഡിഎൽഎൽ, ക്ഷുദ്രകരമായ പെരുമാറ്റത്തെ സൂചിപ്പിക്കുന്ന ഒരു പ്രത്യേക സ്ട്രിംഗ് അടങ്ങിയിരിക്കുന്നതിന് പുറമേ.

ഈ തരത്തിലുള്ള യുക്തി കണ്ടെത്തുന്നതിന് അനുയോജ്യമാണ് റിമോട്ട് കണക്ഷൻ അല്ലെങ്കിൽ എക്സ്ഫിൽട്രേഷൻ ശേഷിയുള്ള ട്രോജനുകൾഫയൽ നാമങ്ങളോ പാതകളോ ഒരു കാമ്പെയ്‌നിൽ നിന്ന് മറ്റൊന്നിലേക്ക് മാറുമ്പോഴും. പ്രധാന കാര്യം അടിസ്ഥാന സ്വഭാവത്തിൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കുക എന്നതാണ്: പ്രോസസ്സ് സൃഷ്ടിക്കൽ, HTTP അഭ്യർത്ഥനകൾ, എൻക്രിപ്ഷൻ, സ്ഥിരത മുതലായവ.

വളരെ ഫലപ്രദമായ മറ്റൊരു സാങ്കേതികത നോക്കുക എന്നതാണ് ആവർത്തിച്ചുള്ള നിർദ്ദേശങ്ങളുടെ ക്രമം ഒരേ കുടുംബത്തിൽ നിന്നുള്ള സാമ്പിളുകൾക്കിടയിൽ. ആക്രമണകാരികൾ ബൈനറി പാക്കേജ് ചെയ്യുകയോ അവ്യക്തമാക്കുകയോ ചെയ്താലും, മാറ്റാൻ പ്രയാസമുള്ള കോഡിന്റെ ഭാഗങ്ങൾ അവർ പലപ്പോഴും വീണ്ടും ഉപയോഗിക്കുന്നു. സ്റ്റാറ്റിക് വിശകലനത്തിന് ശേഷം, നിങ്ങൾക്ക് സ്ഥിരമായ നിർദ്ദേശ ബ്ലോക്കുകൾ കണ്ടെത്തുകയാണെങ്കിൽ, നിങ്ങൾക്ക് ഒരു നിയമം രൂപപ്പെടുത്താൻ കഴിയും. ഹെക്സാഡെസിമൽ സ്ട്രിംഗുകളിലെ വൈൽഡ്കാർഡുകൾ ഒരു നിശ്ചിത സഹിഷ്ണുത നിലനിർത്തിക്കൊണ്ട് ആ പാറ്റേൺ പിടിച്ചെടുക്കുന്നു.

ഈ "കോഡ് പെരുമാറ്റത്തെ അടിസ്ഥാനമാക്കിയുള്ള" നിയമങ്ങൾ ഉപയോഗിച്ച് അത് സാധ്യമാണ് PlugX/Korplug അല്ലെങ്കിൽ മറ്റ് APT കുടുംബങ്ങളിലെ പോലെയുള്ള മുഴുവൻ മാൽവെയർ കാമ്പെയ്‌നുകളും ട്രാക്ക് ചെയ്യുക.നിങ്ങൾ ഒരു പ്രത്യേക ഹാഷ് കണ്ടെത്തുക മാത്രമല്ല, ആക്രമണകാരികളുടെ വികസന ശൈലി പിന്തുടരുകയും ചെയ്യുന്നു.

യഥാർത്ഥ കാമ്പെയ്‌നുകളിലും സീറോ-ഡേ ഭീഷണികളിലും YARA യുടെ ഉപയോഗം

ക്ലാസിക് സംരക്ഷണ സംവിധാനങ്ങൾ വളരെ വൈകിയാണ് എത്തുന്ന വിപുലമായ ഭീഷണികളുടെയും സീറോ-ഡേ ചൂഷണങ്ങളുടെയും മേഖലയിൽ യാര അതിന്റെ മൂല്യം തെളിയിച്ചിട്ടുണ്ട്. ഏറ്റവും കുറഞ്ഞ ചോർന്ന ഇന്റലിജൻസിൽ നിന്ന് സിൽവർലൈറ്റിലെ ഒരു ചൂഷണം കണ്ടെത്താൻ യാര ഉപയോഗിക്കുന്നത് അറിയപ്പെടുന്ന ഒരു ഉദാഹരണമാണ്..

അങ്ങനെയെങ്കിൽ, കുറ്റകരമായ ഉപകരണങ്ങൾ വികസിപ്പിക്കുന്നതിനായി സമർപ്പിച്ചിരിക്കുന്ന ഒരു കമ്പനിയിൽ നിന്ന് മോഷ്ടിച്ച ഇമെയിലുകളിൽ നിന്ന്, ഒരു പ്രത്യേക ചൂഷണത്തെ ലക്ഷ്യം വച്ചുള്ള ഒരു നിയമം നിർമ്മിക്കുന്നതിന് മതിയായ പാറ്റേണുകൾ ഉരുത്തിരിഞ്ഞു. ആ ഒരൊറ്റ നിയമം ഉപയോഗിച്ച്, സംശയാസ്പദമായ ഫയലുകളുടെ ഒരു കടലിലൂടെ ഗവേഷകർക്ക് സാമ്പിൾ കണ്ടെത്താൻ കഴിഞ്ഞു.ചൂഷണം തിരിച്ചറിയുകയും അതിന്റെ പാച്ചിംഗ് നിർബന്ധിക്കുകയും ചെയ്യുക, കൂടുതൽ ഗുരുതരമായ നാശനഷ്ടങ്ങൾ തടയുക.

ഇത്തരം കഥകൾ YARA എങ്ങനെ പ്രവർത്തിക്കുമെന്ന് വ്യക്തമാക്കുന്നു ഫയലുകളുടെ കടലിൽ മീൻപിടുത്ത വലനിങ്ങളുടെ കോർപ്പറേറ്റ് ശൃംഖലയെ എല്ലാത്തരം "മത്സ്യങ്ങളും" (ഫയലുകൾ) നിറഞ്ഞ ഒരു സമുദ്രമായി സങ്കൽപ്പിക്കുക. നിങ്ങളുടെ നിയമങ്ങൾ ഒരു ട്രോളിംഗ് വലയിലെ അറകൾ പോലെയാണ്: ഓരോ അറയിലും പ്രത്യേക സ്വഭാവസവിശേഷതകൾ പാലിക്കുന്ന മത്സ്യങ്ങളെ സൂക്ഷിക്കുന്നു.

വലിച്ചിടൽ പൂർത്തിയാക്കുമ്പോൾ, നിങ്ങൾക്ക് പ്രത്യേക കുടുംബങ്ങളുമായോ ആക്രമണകാരികളുടെ ഗ്രൂപ്പുകളുമായോ ഉള്ള സാമ്യം അനുസരിച്ച് തരംതിരിച്ച സാമ്പിളുകൾ: “സ്പീഷീസ് X ന് സമാനം”, “സ്പീഷീസ് Y ന് സമാനം” മുതലായവ. ഈ സാമ്പിളുകളിൽ ചിലത് നിങ്ങൾക്ക് പൂർണ്ണമായും പുതിയതായിരിക്കാം (പുതിയ ബൈനറികൾ, പുതിയ കാമ്പെയ്‌നുകൾ), പക്ഷേ അവ അറിയപ്പെടുന്ന ഒരു പാറ്റേണിൽ യോജിക്കുന്നു, ഇത് നിങ്ങളുടെ വർഗ്ഗീകരണത്തെയും പ്രതികരണത്തെയും വേഗത്തിലാക്കുന്നു.

ഈ സാഹചര്യത്തിൽ YARA പരമാവധി പ്രയോജനപ്പെടുത്തുന്നതിന്, നിരവധി സംഘടനകൾ സംയോജിക്കുന്നു വിപുലമായ പരിശീലനം, പ്രായോഗിക ലബോറട്ടറികൾ, നിയന്ത്രിത പരീക്ഷണ പരിതസ്ഥിതികൾസൈബർ ചാരവൃത്തിയുടെ യഥാർത്ഥ കേസുകളെ അടിസ്ഥാനമാക്കി, നല്ല നിയമങ്ങൾ എഴുതുന്നതിനുള്ള കലയ്ക്ക് മാത്രമായി സമർപ്പിച്ചിരിക്കുന്ന ഉയർന്ന സ്പെഷ്യലൈസ്ഡ് കോഴ്സുകളുണ്ട്, അവയിൽ വിദ്യാർത്ഥികൾ ആധികാരിക സാമ്പിളുകൾ ഉപയോഗിച്ച് പരിശീലിക്കുകയും അവർ എന്താണ് തിരയുന്നതെന്ന് കൃത്യമായി അറിയില്ലെങ്കിൽ പോലും "എന്തെങ്കിലും" തിരയാൻ പഠിക്കുകയും ചെയ്യുന്നു.

ബാക്കപ്പ്, വീണ്ടെടുക്കൽ പ്ലാറ്റ്‌ഫോമുകളിലേക്ക് YARA സംയോജിപ്പിക്കുക.

YARA തികച്ചും യോജിക്കുന്നതും പലപ്പോഴും ശ്രദ്ധിക്കപ്പെടാതെ പോകുന്നതുമായ ഒരു മേഖല ബാക്കപ്പുകളുടെ സംരക്ഷണമാണ്. ബാക്കപ്പുകളിൽ മാൽവെയർ അല്ലെങ്കിൽ റാൻസംവെയർ ബാധിച്ചിട്ടുണ്ടെങ്കിൽ, ഒരു പുനഃസ്ഥാപനത്തിന് ഒരു മുഴുവൻ കാമ്പെയ്‌നും പുനരാരംഭിക്കാൻ കഴിയും.അതുകൊണ്ടാണ് ചില നിർമ്മാതാക്കൾ അവരുടെ പരിഹാരങ്ങളിൽ നേരിട്ട് YARA എഞ്ചിനുകൾ ഉൾപ്പെടുത്തിയിരിക്കുന്നത്.

അടുത്ത തലമുറ ബാക്കപ്പ് പ്ലാറ്റ്‌ഫോമുകൾ സമാരംഭിക്കാൻ കഴിയും പുനഃസ്ഥാപിക്കൽ പോയിന്റുകളെക്കുറിച്ചുള്ള YARA നിയമാധിഷ്ഠിത വിശകലന സെഷനുകൾലക്ഷ്യം ഇരട്ടിയാണ്: ഒരു സംഭവത്തിന് മുമ്പുള്ള അവസാന "ക്ലീൻ" പോയിന്റ് കണ്ടെത്തുക, മറ്റ് പരിശോധനകൾ വഴി പ്രവർത്തനക്ഷമമാകാത്ത ഫയലുകളിൽ മറഞ്ഞിരിക്കുന്ന ക്ഷുദ്ര ഉള്ളടക്കം കണ്ടെത്തുക.

ഈ പരിതസ്ഥിതികളിൽ സാധാരണ പ്രക്രിയയിൽ "" എന്ന ഓപ്ഷൻ തിരഞ്ഞെടുക്കുന്നത് ഉൾപ്പെടുന്നു.ഒരു YARA റൂളർ ഉപയോഗിച്ച് പുനഃസ്ഥാപിക്കൽ പോയിന്റുകൾ സ്കാൻ ചെയ്യുക"ഒരു വിശകലന ജോലിയുടെ കോൺഫിഗറേഷൻ സമയത്ത്. അടുത്തതായി, റൂൾസ് ഫയലിലേക്കുള്ള പാത്ത് വ്യക്തമാക്കും (സാധാരണയായി .yara അല്ലെങ്കിൽ .yar എക്സ്റ്റൻഷനോടൊപ്പം), ഇത് സാധാരണയായി ബാക്കപ്പ് സൊല്യൂഷനു വേണ്ടിയുള്ള ഒരു കോൺഫിഗറേഷൻ ഫോൾഡറിൽ സൂക്ഷിക്കുന്നു."

എക്സിക്യൂഷൻ സമയത്ത്, എഞ്ചിൻ പകർപ്പിൽ അടങ്ങിയിരിക്കുന്ന വസ്തുക്കളിലൂടെ ആവർത്തിക്കുന്നു, നിയമങ്ങൾ പ്രയോഗിക്കുന്നു, കൂടാതെ ഇത് എല്ലാ പൊരുത്തങ്ങളും ഒരു പ്രത്യേക YARA വിശകലന ലോഗിൽ രേഖപ്പെടുത്തുന്നു.അഡ്മിനിസ്ട്രേറ്റർക്ക് കൺസോളിൽ നിന്ന് ഈ ലോഗുകൾ കാണാനും, സ്ഥിതിവിവരക്കണക്കുകൾ അവലോകനം ചെയ്യാനും, ഏതൊക്കെ ഫയലുകളാണ് അലേർട്ട് ട്രിഗർ ചെയ്തതെന്ന് കാണാനും, ഓരോ പൊരുത്തവും ഏതൊക്കെ മെഷീനുകളുമായും നിർദ്ദിഷ്ട തീയതിയുമായും യോജിക്കുന്നുവെന്ന് കണ്ടെത്താനും കഴിയും.

ഈ സംയോജനം മറ്റ് സംവിധാനങ്ങളാൽ പൂരകമാണ്, ഉദാഹരണത്തിന് അപാകത കണ്ടെത്തൽ, ബാക്കപ്പ് വലുപ്പ നിരീക്ഷണം, നിർദ്ദിഷ്ട IOC-കൾക്കായി തിരയൽ, അല്ലെങ്കിൽ സംശയാസ്പദമായ ഉപകരണങ്ങളുടെ വിശകലനംഎന്നാൽ ഒരു പ്രത്യേക റാൻസംവെയർ കുടുംബത്തിനോ കാമ്പെയ്‌നിനോ അനുയോജ്യമായ നിയമങ്ങളുടെ കാര്യത്തിൽ, ആ തിരയൽ പരിഷ്കരിക്കുന്നതിനുള്ള ഏറ്റവും മികച്ച ഉപകരണമാണ് യാര.

നിങ്ങളുടെ നെറ്റ്‌വർക്ക് തകർക്കാതെ YARA നിയമങ്ങൾ എങ്ങനെ പരീക്ഷിക്കുകയും സാധൂകരിക്കുകയും ചെയ്യാം

നിങ്ങൾ സ്വന്തം നിയമങ്ങൾ എഴുതാൻ തുടങ്ങിക്കഴിഞ്ഞാൽ, അടുത്ത നിർണായക ഘട്ടം അവ സമഗ്രമായി പരിശോധിക്കുക എന്നതാണ്. അമിതമായ ആക്രമണാത്മകമായ ഒരു നിയമം തെറ്റായ പോസിറ്റീവുകളുടെ ഒരു പ്രളയം സൃഷ്ടിച്ചേക്കാം, അതേസമയം അമിതമായ അയഞ്ഞ നിയമം യഥാർത്ഥ ഭീഷണികളെ കടന്നുപോകാൻ അനുവദിച്ചേക്കാം.അതുകൊണ്ടാണ് എഴുത്ത് ഘട്ടം പോലെ തന്നെ പ്രധാനപ്പെട്ടതാണ് പരീക്ഷണ ഘട്ടം.

നല്ല വാർത്ത എന്തെന്നാൽ, ഇതിനായി പ്രവർത്തിക്കുന്ന മാൽവെയറുകൾ നിറഞ്ഞ ഒരു ലാബ് സജ്ജീകരിക്കേണ്ടതില്ല, കൂടാതെ നെറ്റ്‌വർക്കിന്റെ പകുതി ഭാഗവും ബാധിക്കേണ്ടതില്ല. ഈ വിവരങ്ങൾ നൽകുന്ന റിപ്പോസിറ്ററികളും ഡാറ്റാസെറ്റുകളും ഇതിനകം നിലവിലുണ്ട്. ഗവേഷണ ആവശ്യങ്ങൾക്കായി അറിയപ്പെടുന്നതും നിയന്ത്രിതവുമായ മാൽവെയർ സാമ്പിളുകൾനിങ്ങൾക്ക് ആ സാമ്പിളുകൾ ഒരു ഒറ്റപ്പെട്ട പരിതസ്ഥിതിയിലേക്ക് ഡൗൺലോഡ് ചെയ്യാനും നിങ്ങളുടെ നിയമങ്ങൾക്കായുള്ള ഒരു പരീക്ഷണശാലയായി ഉപയോഗിക്കാനും കഴിയും.

സംശയാസ്‌പദമായ ഫയലുകൾ അടങ്ങിയ ഒരു ഡയറക്‌ടറിയിൽ കമാൻഡ് ലൈനിൽ നിന്ന്, പ്രാദേശികമായി YARA പ്രവർത്തിപ്പിച്ചുകൊണ്ട് ആരംഭിക്കുക എന്നതാണ് സാധാരണ സമീപനം. നിങ്ങളുടെ നിയമങ്ങൾ അവ പാലിക്കേണ്ട സ്ഥലങ്ങളുമായി പൊരുത്തപ്പെടുകയും വൃത്തിയുള്ള ഫയലുകൾ കഷ്ടിച്ച് തകർക്കുകയും ചെയ്താൽ, നിങ്ങൾ ശരിയായ പാതയിലാണ്.അവ വളരെയധികം ട്രിഗർ ചെയ്യുന്നുണ്ടെങ്കിൽ, സ്ട്രിംഗുകൾ അവലോകനം ചെയ്യാനോ വ്യവസ്ഥകൾ പരിഷ്കരിക്കാനോ അധിക നിയന്ത്രണങ്ങൾ (വലുപ്പം, ഇറക്കുമതി, ഓഫ്‌സെറ്റുകൾ മുതലായവ) അവതരിപ്പിക്കാനോ സമയമായി.

മറ്റൊരു പ്രധാന കാര്യം, നിങ്ങളുടെ നിയമങ്ങൾ പ്രകടനത്തിൽ വിട്ടുവീഴ്ച ചെയ്യുന്നില്ലെന്ന് ഉറപ്പാക്കുക എന്നതാണ്. വലിയ ഡയറക്ടറികൾ, പൂർണ്ണ ബാക്കപ്പുകൾ അല്ലെങ്കിൽ വമ്പിച്ച സാമ്പിൾ ശേഖരണങ്ങൾ സ്കാൻ ചെയ്യുമ്പോൾ, മോശമായി ഒപ്റ്റിമൈസ് ചെയ്ത നിയമങ്ങൾ വിശകലനത്തെ മന്ദഗതിയിലാക്കുകയോ ആവശ്യമുള്ളതിലും കൂടുതൽ വിഭവങ്ങൾ ഉപയോഗിക്കുകയോ ചെയ്യും.അതിനാൽ, സമയക്രമം അളക്കുന്നതും, സങ്കീർണ്ണമായ പദപ്രയോഗങ്ങൾ ലളിതമാക്കുന്നതും, അമിതമായ കനത്ത റീജെക്സ് ഒഴിവാക്കുന്നതും നല്ലതാണ്.

ആ ലബോറട്ടറി പരിശോധനാ ഘട്ടത്തിലൂടെ കടന്നുപോയ ശേഷം, നിങ്ങൾക്ക് ഉൽപ്പാദന അന്തരീക്ഷത്തിലേക്ക് നിയമങ്ങൾ പ്രോത്സാഹിപ്പിക്കുക.നിങ്ങളുടെ SIEM ആയാലും, നിങ്ങളുടെ ബാക്കപ്പ് സിസ്റ്റങ്ങളായാലും, ഇമെയിൽ സെർവറുകളായാലും, അല്ലെങ്കിൽ നിങ്ങൾ അവ സംയോജിപ്പിക്കാൻ ആഗ്രഹിക്കുന്ന എവിടെയായാലും. തുടർച്ചയായ അവലോകന ചക്രം നിലനിർത്താൻ മറക്കരുത്: കാമ്പെയ്‌നുകൾ വികസിക്കുമ്പോൾ, നിങ്ങളുടെ നിയമങ്ങൾക്ക് ആനുകാലിക ക്രമീകരണങ്ങൾ ആവശ്യമായി വരും.

YARA ഉപയോഗിച്ചുള്ള ഉപകരണങ്ങൾ, പ്രോഗ്രാമുകൾ, വർക്ക്ഫ്ലോ

ഔദ്യോഗിക ബൈനറിക്ക് പുറമേ, നിരവധി പ്രൊഫഷണലുകൾ YARA യുടെ ദൈനംദിന ഉപയോഗം സുഗമമാക്കുന്നതിനായി ചുറ്റും ചെറിയ പ്രോഗ്രാമുകളും സ്ക്രിപ്റ്റുകളും വികസിപ്പിച്ചെടുത്തിട്ടുണ്ട്. ഒരു സാധാരണ സമീപനത്തിൽ ഒരു ആപ്ലിക്കേഷൻ സൃഷ്ടിക്കുന്നത് ഉൾപ്പെടുന്നു നിങ്ങളുടെ സ്വന്തം സുരക്ഷാ കിറ്റ് കൂട്ടിച്ചേർക്കുക ഒരു ഫോൾഡറിലെ എല്ലാ നിയമങ്ങളും സ്വയമേവ വായിക്കുകയും ഒരു വിശകലന ഡയറക്ടറിയിൽ പ്രയോഗിക്കുകയും ചെയ്യുന്ന ഒരു സിസ്റ്റം..

ഈ തരത്തിലുള്ള ഭവനങ്ങളിൽ നിർമ്മിച്ച ഉപകരണങ്ങൾ സാധാരണയായി ഒരു ലളിതമായ ഡയറക്ടറി ഘടനയിൽ പ്രവർത്തിക്കുന്നു: ഒരു ഫോൾഡർ ഇന്റർനെറ്റിൽ നിന്ന് ഡൗൺലോഡ് ചെയ്ത നിയമങ്ങൾ (ഉദാഹരണത്തിന്, “rulesyar”) എന്നതിനായുള്ള മറ്റൊരു ഫോൾഡറും സംശയാസ്‌പദമായ ഫയലുകൾ വിശകലനം ചെയ്യണം (ഉദാഹരണത്തിന്, "മാൽവെയർ"). പ്രോഗ്രാം ആരംഭിക്കുമ്പോൾ, രണ്ട് ഫോൾഡറുകളും നിലവിലുണ്ടോ എന്ന് അത് പരിശോധിക്കുകയും, നിയമങ്ങൾ സ്ക്രീനിൽ പട്ടികപ്പെടുത്തുകയും, നടപ്പിലാക്കലിനായി തയ്യാറെടുക്കുകയും ചെയ്യുന്നു.

"" പോലുള്ള ഒരു ബട്ടൺ അമർത്തുമ്പോൾപരിശോധിച്ചുറപ്പിക്കൽ ആരംഭിക്കുകതുടർന്ന് ആപ്ലിക്കേഷൻ ആവശ്യമുള്ള പാരാമീറ്ററുകൾ ഉപയോഗിച്ച് YARA എക്സിക്യൂട്ടബിൾ സമാരംഭിക്കുന്നു: ഫോൾഡറിലെ എല്ലാ ഫയലുകളും സ്കാൻ ചെയ്യുക, ഉപഡയറക്ടറികളുടെ ആവർത്തന വിശകലനം, സ്ഥിതിവിവരക്കണക്കുകൾ ഔട്ട്പുട്ട് ചെയ്യുക, മെറ്റാഡാറ്റ പ്രിന്റിംഗ് ചെയ്യുക തുടങ്ങിയവ. ഏതെങ്കിലും പൊരുത്തങ്ങൾ ഒരു ഫല വിൻഡോയിൽ പ്രദർശിപ്പിക്കും, ഏത് ഫയൽ ഏത് നിയമവുമായി പൊരുത്തപ്പെടുന്നുവെന്ന് സൂചിപ്പിക്കുന്നു.

ഉദാഹരണത്തിന്, കയറ്റുമതി ചെയ്ത ഒരു കൂട്ടം ഇമെയിലുകളിലെ പ്രശ്നങ്ങൾ കണ്ടെത്താൻ ഈ വർക്ക്ഫ്ലോ അനുവദിക്കുന്നു. ദോഷകരമല്ലാത്ത ഫയലുകളിൽ മറഞ്ഞിരിക്കുന്ന ദോഷകരമായ ഉൾച്ചേർത്ത ചിത്രങ്ങൾ, അപകടകരമായ അറ്റാച്ചുമെന്റുകൾ അല്ലെങ്കിൽ വെബ്‌ഷെല്ലുകൾകോർപ്പറേറ്റ് പരിതസ്ഥിതികളിലെ പല ഫോറൻസിക് അന്വേഷണങ്ങളും കൃത്യമായി ഇത്തരത്തിലുള്ള സംവിധാനത്തെ ആശ്രയിച്ചിരിക്കുന്നു.

YARA ഉപയോഗിക്കുമ്പോൾ ഏറ്റവും ഉപയോഗപ്രദമായ പാരാമീറ്ററുകളെ സംബന്ധിച്ച്, ഇനിപ്പറയുന്നതുപോലുള്ള ഓപ്ഷനുകൾ വേറിട്ടുനിൽക്കുന്നു: ആവർത്തിച്ച് തിരയാൻ -r, സ്ഥിതിവിവരക്കണക്കുകൾ പ്രദർശിപ്പിക്കാൻ -S, മെറ്റാഡാറ്റ എക്‌സ്‌ട്രാക്‌റ്റ് ചെയ്യാൻ -m, മുന്നറിയിപ്പുകൾ അവഗണിക്കാൻ -wഈ ഫ്ലാഗുകൾ സംയോജിപ്പിക്കുന്നതിലൂടെ നിങ്ങളുടെ കേസുമായി പൊരുത്തപ്പെടുന്ന സ്വഭാവം ക്രമീകരിക്കാൻ കഴിയും: ഒരു പ്രത്യേക ഡയറക്ടറിയിലെ ഒരു ദ്രുത വിശകലനം മുതൽ സങ്കീർണ്ണമായ ഒരു ഫോൾഡർ ഘടനയുടെ പൂർണ്ണമായ സ്കാൻ വരെ.

YARA നിയമങ്ങൾ എഴുതുമ്പോഴും പരിപാലിക്കുമ്പോഴും മികച്ച രീതികൾ

നിങ്ങളുടെ നിയമങ്ങളുടെ കലവറ നിയന്ത്രിക്കാനാകാത്ത ഒരു കുഴപ്പമായി മാറുന്നത് തടയാൻ, മികച്ച രീതികളുടെ ഒരു പരമ്പര പ്രയോഗിക്കുന്നത് നല്ലതാണ്. ആദ്യത്തേത് സ്ഥിരമായ ടെംപ്ലേറ്റുകളും നാമകരണ കൺവെൻഷനുകളും ഉപയോഗിച്ച് പ്രവർത്തിക്കുക എന്നതാണ്.ഏതൊരു നിയമവും എന്താണ് ചെയ്യുന്നതെന്ന് ഏതൊരു വിശകലന വിദഗ്ദ്ധനും ഒറ്റനോട്ടത്തിൽ മനസ്സിലാക്കാൻ കഴിയും.

പല ടീമുകളും ഉൾപ്പെടുന്ന ഒരു സ്റ്റാൻഡേർഡ് ഫോർമാറ്റ് സ്വീകരിക്കുന്നു മെറ്റാഡാറ്റ, ഭീഷണി തരം, നടൻ അല്ലെങ്കിൽ പ്ലാറ്റ്‌ഫോം എന്നിവ സൂചിപ്പിക്കുന്ന ടാഗുകൾ, എന്താണ് കണ്ടെത്തുന്നതെന്ന് വ്യക്തമായ വിവരണം എന്നിവയുള്ള തലക്കെട്ട്ഇത് ആന്തരികമായി മാത്രമല്ല, സമൂഹവുമായി നിയമങ്ങൾ പങ്കിടുമ്പോഴോ പൊതു സംഭരണികളിലേക്ക് സംഭാവന ചെയ്യുമ്പോഴോ സഹായിക്കുന്നു.

മറ്റൊരു ശുപാർശ, എപ്പോഴും അത് ഓർമ്മിക്കുക എന്നതാണ് യാര പ്രതിരോധത്തിന്റെ ഒരു പാളി മാത്രമാണ്ഇത് ആന്റിവൈറസ് സോഫ്റ്റ്‌വെയറിനെയോ EDR നെയോ മാറ്റിസ്ഥാപിക്കുന്നില്ല, മറിച്ച് അവയെ തന്ത്രങ്ങളിൽ പൂരകമാക്കുന്നു നിങ്ങളുടെ വിൻഡോസ് പിസി പരിരക്ഷിക്കുകആദർശപരമായി, YARA, NIST ഫ്രെയിംവർക്ക് പോലുള്ള വിശാലമായ റഫറൻസ് ഫ്രെയിംവർക്കുകളിൽ യോജിച്ചതായിരിക്കണം, അത് ആസ്തി തിരിച്ചറിയൽ, സംരക്ഷണം, കണ്ടെത്തൽ, പ്രതികരണം, വീണ്ടെടുക്കൽ എന്നിവയെയും അഭിസംബോധന ചെയ്യുന്നു.

ഒരു സാങ്കേതിക വീക്ഷണകോണിൽ നിന്ന്, സമയം നീക്കിവയ്ക്കുന്നത് മൂല്യവത്താണ് evitar falsos positivosഇതിൽ അമിതമായി പൊതുവായ സ്ട്രിംഗുകൾ ഒഴിവാക്കുക, നിരവധി വ്യവസ്ഥകൾ സംയോജിപ്പിക്കുക, പോലുള്ള ഓപ്പറേറ്റർമാരെ ഉപയോഗിക്കുക എന്നിവ ഉൾപ്പെടുന്നു. all of o any of ഫയലിന്റെ ഘടനാപരമായ ഗുണങ്ങൾ പ്രയോജനപ്പെടുത്താൻ നിങ്ങളുടെ തല ഉപയോഗിക്കുക. മാൽവെയറിന്റെ പെരുമാറ്റത്തെ ചുറ്റിപ്പറ്റിയുള്ള യുക്തി കൂടുതൽ വ്യക്തമാകുമ്പോൾ, അത് നല്ലതാണ്.

ഒടുവിൽ, ഒരു അച്ചടക്കം പാലിക്കുക പതിപ്പിംഗും ആനുകാലിക അവലോകനവും ഇത് നിർണായകമാണ്. മാൽവെയർ കുടുംബങ്ങൾ പരിണമിക്കുന്നു, സൂചകങ്ങൾ മാറുന്നു, ഇന്ന് പ്രവർത്തിക്കുന്ന നിയമങ്ങൾ പരാജയപ്പെടുകയോ കാലഹരണപ്പെടുകയോ ചെയ്യാം. നിങ്ങളുടെ നിയമങ്ങളുടെ കൂട്ടം ഇടയ്ക്കിടെ അവലോകനം ചെയ്യുകയും പരിഷ്കരിക്കുകയും ചെയ്യുന്നത് സൈബർ സുരക്ഷയുടെ പൂച്ചയും എലിയും തമ്മിലുള്ള കളിയുടെ ഭാഗമാണ്.

യാര കമ്മ്യൂണിറ്റിയും ലഭ്യമായ വിഭവങ്ങളും

യാര ഇതുവരെ എത്തിയതിന്റെ പ്രധാന കാരണങ്ങളിലൊന്ന് അതിന്റെ സമൂഹത്തിന്റെ ശക്തിയാണ്. ലോകമെമ്പാടുമുള്ള ഗവേഷകർ, സുരക്ഷാ സ്ഥാപനങ്ങൾ, പ്രതികരണ സംഘങ്ങൾ എന്നിവർ നിയമങ്ങളും ഉദാഹരണങ്ങളും ഡോക്യുമെന്റേഷനുകളും തുടർച്ചയായി പങ്കിടുന്നു.വളരെ സമ്പന്നമായ ഒരു ആവാസവ്യവസ്ഥ സൃഷ്ടിക്കുന്നു.

പ്രധാന റഫറൻസ് പോയിന്റ് ആണ് ഗിറ്റ്ഹബിലെ യാരയുടെ ഔദ്യോഗിക ശേഖരംഅവിടെ നിങ്ങൾക്ക് ഉപകരണത്തിന്റെ ഏറ്റവും പുതിയ പതിപ്പുകൾ, സോഴ്‌സ് കോഡ്, ഡോക്യുമെന്റേഷനിലേക്കുള്ള ലിങ്കുകൾ എന്നിവ കണ്ടെത്താനാകും. അവിടെ നിന്ന് നിങ്ങൾക്ക് പ്രോജക്റ്റിന്റെ പുരോഗതി പിന്തുടരാനോ, പ്രശ്നങ്ങൾ റിപ്പോർട്ട് ചെയ്യാനോ, നിങ്ങൾക്ക് താൽപ്പര്യമുണ്ടെങ്കിൽ മെച്ചപ്പെടുത്തലുകൾ സംഭാവന ചെയ്യാനോ കഴിയും.

ReadTheDocs പോലുള്ള പ്ലാറ്റ്‌ഫോമുകളിൽ ലഭ്യമായ ഔദ്യോഗിക ഡോക്യുമെന്റേഷൻ വാഗ്ദാനം ചെയ്യുന്നു ഒരു സമ്പൂർണ്ണ വാക്യഘടന ഗൈഡ്, ലഭ്യമായ മൊഡ്യൂളുകൾ, നിയമ ഉദാഹരണങ്ങൾ, ഉപയോഗ റഫറൻസുകൾPE പരിശോധന, ELF, മെമ്മറി നിയമങ്ങൾ, അല്ലെങ്കിൽ മറ്റ് ഉപകരണങ്ങളുമായുള്ള സംയോജനം തുടങ്ങിയ ഏറ്റവും നൂതനമായ പ്രവർത്തനങ്ങൾ പ്രയോജനപ്പെടുത്തുന്നതിന് ഇത് ഒരു അത്യാവശ്യ ഉറവിടമാണ്.

കൂടാതെ, ലോകമെമ്പാടുമുള്ള വിശകലന വിദഗ്ധർ YARA നിയമങ്ങളുടെയും ഒപ്പുകളുടെയും കമ്മ്യൂണിറ്റി ശേഖരണങ്ങളുണ്ട് അവർ ഉപയോഗിക്കാൻ തയ്യാറായ ശേഖരങ്ങളോ നിങ്ങളുടെ ആവശ്യങ്ങൾക്കനുസരിച്ച് പൊരുത്തപ്പെടുത്താൻ കഴിയുന്ന ശേഖരങ്ങളോ പ്രസിദ്ധീകരിക്കുന്നു.ഈ ശേഖരണങ്ങളിൽ സാധാരണയായി നിർദ്ദിഷ്ട മാൽവെയർ കുടുംബങ്ങൾക്കുള്ള നിയമങ്ങൾ, എക്സ്പ്ലോയിറ്റ് കിറ്റുകൾ, ക്ഷുദ്രകരമായി ഉപയോഗിക്കുന്ന പെന്റസ്റ്റിംഗ് ഉപകരണങ്ങൾ, വെബ്‌ഷെല്ലുകൾ, ക്രിപ്‌റ്റോമിനറുകൾ എന്നിവയും അതിലേറെയും ഉൾപ്പെടുന്നു.

സമാന്തരമായി, നിരവധി നിർമ്മാതാക്കളും ഗവേഷണ ഗ്രൂപ്പുകളും വാഗ്ദാനം ചെയ്യുന്നു യാരയിൽ അടിസ്ഥാന തലം മുതൽ വളരെ നൂതനമായ കോഴ്‌സുകൾ വരെ പ്രത്യേക പരിശീലനം.ഈ സംരംഭങ്ങളിൽ പലപ്പോഴും വെർച്വൽ ലാബുകളും യഥാർത്ഥ ലോക സാഹചര്യങ്ങളെ അടിസ്ഥാനമാക്കിയുള്ള പ്രായോഗിക വ്യായാമങ്ങളും ഉൾപ്പെടുന്നു. ചിലത് ലാഭേച്ഛയില്ലാത്ത സംഘടനകൾക്കോ ​​ലക്ഷ്യം വച്ചുള്ള ആക്രമണങ്ങൾക്ക് പ്രത്യേകിച്ച് സാധ്യതയുള്ള സ്ഥാപനങ്ങൾക്കോ ​​സൗജന്യമായി വാഗ്ദാനം ചെയ്യുന്നു.

ഈ മുഴുവൻ ആവാസവ്യവസ്ഥയും അർത്ഥമാക്കുന്നത്, അല്പം സമർപ്പണത്തോടെ, നിങ്ങളുടെ ആദ്യത്തെ അടിസ്ഥാന നിയമങ്ങൾ എഴുതുന്നതിൽ നിന്ന് സങ്കീർണ്ണമായ കാമ്പെയ്‌നുകൾ ട്രാക്ക് ചെയ്യാനും അഭൂതപൂർവമായ ഭീഷണികൾ കണ്ടെത്താനും കഴിവുള്ള സങ്കീർണ്ണമായ സ്യൂട്ടുകൾ വികസിപ്പിക്കുക.കൂടാതെ, YARA-യെ പരമ്പരാഗത ആന്റിവൈറസ്, സുരക്ഷിത ബാക്കപ്പ്, ഭീഷണി ഇന്റലിജൻസ് എന്നിവയുമായി സംയോജിപ്പിക്കുന്നതിലൂടെ, ഇന്റർനെറ്റിൽ കറങ്ങുന്ന ക്ഷുദ്ര അഭിനേതാക്കൾക്ക് കാര്യങ്ങൾ കൂടുതൽ ബുദ്ധിമുട്ടാക്കുന്നു.

മുകളിൽ പറഞ്ഞവയെല്ലാം കണക്കിലെടുക്കുമ്പോൾ, YARA ഒരു ലളിതമായ കമാൻഡ്-ലൈൻ യൂട്ടിലിറ്റിയേക്കാൾ വളരെ കൂടുതലാണെന്ന് വ്യക്തമാണ്: ഇത് ഒരു pieza clave ഏതൊരു നൂതന മാൽവെയർ കണ്ടെത്തൽ തന്ത്രത്തിലും, ഒരു വിശകലന വിദഗ്ദ്ധൻ എന്ന നിലയിൽ നിങ്ങളുടെ ചിന്താരീതിയുമായി പൊരുത്തപ്പെടുന്ന ഒരു വഴക്കമുള്ള ഉപകരണവും എ പൊതു ഭാഷ ലോകമെമ്പാടുമുള്ള ലബോറട്ടറികൾ, എസ്‌ഒ‌സികൾ, ഗവേഷണ സമൂഹങ്ങൾ എന്നിവയെ ബന്ധിപ്പിക്കുന്ന ഒരു പുതിയ നിയമമാണിത്, വർദ്ധിച്ചുവരുന്ന സങ്കീർണ്ണമായ പ്രചാരണങ്ങൾക്കെതിരെ സംരക്ഷണത്തിന്റെ മറ്റൊരു പാളി ചേർക്കാൻ ഓരോ പുതിയ നിയമത്തെയും അനുവദിക്കുന്നു.