Нарийвчилсан хортой програм илрүүлэхэд YARA-г хэрхэн ашиглах вэ

¿Нарийвчилсан хортой програм илрүүлэхэд YARA-г хэрхэн ашиглах вэ? Уламжлалт вирусны эсрэг программууд хязгаартаа хүрч, халдагчид боломжит бүх хагарлыг даван туулах үед ослын эсрэг хариу арга хэмжээ авах лабораторид зайлшгүй шаардлагатай хэрэгсэл гарч ирнэ. YARA, хортой програмыг агнах зориулалттай "Швейцарийн хутга"Текст болон хоёртын хэв маягийг ашиглан хортой программ хангамжийн бүлгийг дүрслэх зорилгоор бүтээгдсэн нь энгийн хэш тааруулахаас хол давах боломжийг олгодог.

Зөв гарт YARA нь зөвхөн байршлыг тогтоох зориулалттай биш юм Зөвхөн мэдэгдэж байгаа хортой програмын дээжүүд төдийгүй шинэ хувилбарууд, тэг өдрийн мөлжлөгүүд, тэр ч байтугай арилжааны довтолгооны хэрэгслүүдЭнэ нийтлэлд бид YARA программыг хорлонтой программыг илрүүлэхийн тулд хэрхэн ашиглах, бат бөх дүрмийг хэрхэн бичих, хэрхэн турших, тэдгээрийг Veeam эсвэл өөрийн шинжилгээний ажлын урсгал зэрэг платформд хэрхэн нэгтгэх, мэргэжлийн нийгэмлэг ямар шилдэг туршлагыг дагаж мөрддөг талаар нарийвчлан судлах болно.

YARA гэж юу вэ, яагаад энэ нь хортой програмыг илрүүлэхэд ийм хүчтэй байдаг вэ?

YARA нь "Бас нэг рекурсив товчлол" гэсэн үг бөгөөд аюулын шинжилгээний бодит стандарт болсон. Энэ нь уншигдахуйц, ойлгомжтой, уян хатан дүрэм ашиглан хортой програмын бүлгийг дүрслэх боломжийг олгодог.Зөвхөн статик вирусны эсрэг гарын үсэг дээр найдахын оронд YARA нь таны өөрийгөө тодорхойлсон загвартай ажилладаг.

Үндсэн санаа нь энгийн: YARA дүрэм нь файлыг (эсвэл санах ой эсвэл өгөгдлийн урсгал) шалгаж, хэд хэдэн нөхцөл хангагдсан эсэхийг шалгадаг. текст мөр, арван арвантын дараалал, ердийн илэрхийлэл эсвэл файлын шинж чанарт суурилсан нөхцөлүүдХэрэв нөхцөл хангагдсан бол "тохируулга" байгаа бөгөөд та анхааруулах, хаах эсвэл илүү гүнзгий дүн шинжилгээ хийх боломжтой.

Энэ арга нь хамгаалалтын багуудад ажиллах боломжийг олгодог Сонгодог вирус, өт, троян, ransomware, вэб бүрхүүл, криптоминер, хортой макро гэх мэт бүх төрлийн хортой программыг тодорхойлж, ангилах.Энэ нь тодорхой файлын өргөтгөл эсвэл форматаар хязгаарлагдахгүй тул .pdf өргөтгөлтэй далдлагдсан гүйцэтгэх файл эсвэл вэб бүрхүүл агуулсан HTML файлыг илрүүлдэг.

Цаашилбал, YARA нь кибер аюулгүй байдлын экосистемийн олон гол үйлчилгээ, хэрэгсэлд аль хэдийн нэгдсэн байна: VirusTotal, Хөхөө гэх мэт хамгаалагдсан хязгаарлагдмал орчин, Veeam гэх мэт нөөц платформууд эсвэл дээд түвшний үйлдвэрлэгчдийн аюулыг агнах шийдлүүдТиймээс YARA-г эзэмших нь ахисан түвшний шинжээч, судлаачдад бараг тавигдах шаардлага болжээ.

Хортой програм илрүүлэхэд YARA-г ашиглах дэвшилтэт тохиолдлууд

YARA-ийн давуу талуудын нэг нь SOC-ээс эхлээд хортой програмын лаборатори хүртэл аюулгүй байдлын олон хувилбарт бээлий мэт дасан зохицож чаддагт оршино. Нэг удаагийн агнуур болон байнгын хяналтанд ижил дүрэм үйлчилнэ..

Хамгийн шууд тохиолдол нь бүтээх явдал юм тодорхой хортой програм эсвэл бүхэл бүтэн гэр бүлд зориулсан тусгай дүрэмХэрэв танай байгууллага мэдэгдэж байгаа гэр бүлд суурилсан кампанит ажилд (жишээлбэл, алсаас нэвтрэх троян эсвэл APT аюул занал) халдлагад өртөж байгаа бол та онцлог тэмдэгт мөр, хэв маягийг профайлж, холбогдох шинэ дээжийг хурдан тодорхойлох дүрмийг бий болгож болно.

Өөр нэг сонгодог хэрэглээ бол анхаарлаа хандуулах явдал юм YARA гарын үсэг дээр үндэслэсэнЭдгээр дүрмүүд нь хэш, маш тодорхой текст мөр, кодын хэсэг, бүртгэлийн түлхүүр, тэр ч байтугай ижил хортой програмын олон хувилбарт давтагддаг тодорхой байт дарааллыг олоход зориулагдсан болно. Гэсэн хэдий ч, хэрэв та зөвхөн өчүүхэн утсыг хайх юм бол худал эерэг үр дүн гарах эрсдэлтэй гэдгийг санаарай.

YARA нь шүүж үзэхэд ч бас гэрэлтдэг файлын төрөл эсвэл бүтцийн шинж чанарФайлын хэмжээ, тодорхой толгой (жишээ нь, PE гүйцэтгэгдэх файлд зориулсан 0x5A4D) эсвэл сэжигтэй функц импортлох зэрэг шинж чанаруудтай мөрүүдийг нэгтгэх замаар PE программ, оффисын баримт бичиг, PDF файл эсвэл бараг ямар ч форматад хамаарах дүрмийг бий болгох боломжтой.

Орчин үеийн орчинд түүний хэрэглээ нь аюулын тагнуулОлон нийтийн мэдээллийн сан, судалгааны тайлан, ОУОХ-ны мэдээллийг SIEM, EDR, нөөц платформ эсвэл хамгаалагдсан хязгаарлагдмал орчинд нэгтгэсэн YARA дүрэм болгон хөрвүүлдэг. Энэ нь байгууллагуудад боломжийг олгодог Шинжилгээнд хамрагдсан кампанит ажилтай шинж чанаруудыг хуваалцаж буй шинээр гарч ирж буй аюулыг хурдан илрүүлэх.

YARA дүрмийн синтаксийг ойлгох

YARA-ийн синтакс нь С-тэй нэлээд төстэй боловч илүү энгийн бөгөөд төвлөрсөн байдлаар. Дүрэм бүр нь нэр, нэмэлт мета өгөгдлийн хэсэг, мөрийн хэсэг, мөн нөхцөл байдлын хэсгээс бүрдэнэ.Эндээс эхлэн хүч нь энэ бүхнийг хэрхэн хослуулж байгаад л оршдог.

Эхнийх нь дүрмийн нэрЭнэ нь түлхүүр үгийн дараа шууд явах ёстой дүрэм (o захирагч Хэрэв та испани хэлээр баримт бичвэл файл дахь түлхүүр үг байх болно дүрэммөн хүчинтэй танигч байх ёстой: хоосон зай, тоо, доогуур зураасгүй. Тодорхой конвенцийг дагаж мөрдөх нь зүйтэй юм, жишээлбэл, иймэрхүү зүйл Хортой програмын_гэр бүлийн_хувилбар o APT_Actor_Tool, энэ нь танд юу илрүүлэхийг зорьж байгааг шууд тодорхойлох боломжийг олгодог.

Дараа нь хэсэг гарч ирнэ мөрхаана хайж олохыг хүсч буй загвараа тодорхойлно. Энд та гурван үндсэн төрлийг ашиглаж болно: текстийн мөр, арван зургаатын дараалал, тогтмол илэрхийлэлТекстийн мөрүүд нь хүний ​​унших кодын хэсэг, URL, дотоод мессеж, замын нэр эсвэл PDB-д тохиромжтой. Hexadecimals нь танд түүхий байт хэв маягийг авах боломжийг олгодог бөгөөд энэ нь кодыг бүдгэрүүлсэн боловч тодорхой тогтмол дарааллыг хадгалах үед маш хэрэгтэй байдаг.

Тогтмол илэрхийллүүд нь домайныг өөрчлөх эсвэл кодын бага зэрэг өөрчлөгдсөн хэсгүүд гэх мэт мөрийн жижиг өөрчлөлтүүдийг хамрах шаардлагатай үед уян хатан байдлыг хангадаг. Цаашилбал, стринг болон regex хоёулаа escape-г дурын байтыг илэрхийлэх боломжийг олгодог, энэ нь маш нарийн эрлийз хэв маягийн хаалгыг нээж өгдөг.

Хэсэг нөхцөл байдал Энэ нь цорын ганц заавал байх ёстой зүйл бөгөөд файлтай "тохируулах" дүрмийг хэзээ гэж үзэхийг тодорхойлдог. Энд та логик болон арифметик үйлдлүүдийг ашигладаг (ба, эсвэл, биш, +, -, *, /, дурын, бүгд, агуулсан гэх мэт.) энгийн "хэрэв энэ мөр гарч ирвэл" гэхээс илүү нарийн илрүүлэх логикийг илэрхийлэх.

Жишээлбэл, файл нь тодорхой хэмжээнээс бага, бүх чухал мөрүүд гарч ирэх эсвэл хэд хэдэн мөрийн дор хаяж нэг нь байгаа тохиолдолд л дүрмийг хүчинтэй гэж зааж өгч болно. Мөн та мөрийн урт, тохирох тоо, файл дахь тодорхой офсет эсвэл файлын хэмжээ гэх мэт нөхцөлүүдийг нэгтгэж болно.Энд бүтээлч байдал нь ерөнхий дүрмүүд болон мэс заслын илрүүлэлтийн хоорондох ялгааг бий болгодог.

Эцэст нь танд нэмэлт хэсэг байна метаХугацааг баримтжуулахад тохиромжтой. Үүнд оруулах нь түгээмэл зохиогч, үүсгэсэн огноо, тайлбар, дотоод хувилбар, тайлан эсвэл тасалбарын лавлагаа мөн ерөнхийдөө агуулахыг эмх цэгцтэй, бусад шинжээчдэд ойлгомжтой байлгахад туслах аливаа мэдээлэл.

YARA-ийн дэвшилтэт дүрмийн практик жишээ

Дээр дурдсан бүх зүйлийг ойлгохын тулд энгийн дүрэм хэрхэн бүтэцлэгдсэн, гүйцэтгэх боломжтой файлууд, сэжигтэй импортууд эсвэл давтагдах зааварчилгааны дараалал гарч ирэх үед энэ нь хэрхэн илүү төвөгтэй болж байгааг харах нь тустай. Тоглоомын захирагчаар эхэлж, хэмжээг нь аажмаар нэмэгдүүлцгээе..

Хамгийн бага дүрэм нь зөвхөн тэмдэгт мөр болон үүнийг заавал биелүүлэх нөхцөлийг агуулж болно. Жишээлбэл, та тодорхой текст мөр эсвэл хортой програмын фрагментийн байт дарааллыг хайж болно. Энэ тохиолдолд тухайн тэмдэгт мөр эсвэл загвар гарч ирвэл дүрэм биелнэ гэж заасан болно., нэмэлт шүүлтүүргүйгээр.

Гэсэн хэдий ч, бодит ертөнцийн тохиргоонд энэ нь хангалтгүй, учир нь Энгийн хэлхээ нь ихэвчлэн олон хуурамч эерэг үр дүнг бий болгодогТийм ч учраас хэд хэдэн мөрийг (текст ба арван арван) нэмэлт хязгаарлалттай хослуулах нь түгээмэл байдаг: файл нь тодорхой хэмжээнээс хэтрэхгүй байх, тодорхой толгойг агуулсан байх, эсвэл тодорхойлсон бүлэг бүрээс дор хаяж нэг мөр олдсон тохиолдолд л идэвхждэг.

PE гүйцэтгэлийн шинжилгээний ердийн жишээ бол модулийг импортлох явдал юм pe YARA-аас, энэ нь хоёртын файлын дотоод шинж чанарыг асуух боломжийг олгодог: импортын функцууд, хэсгүүд, цагийн тэмдэг гэх мэт. Нарийвчилсан дүрэм нь файлыг импортлохыг шаардаж болно. Процесс үүсгэх from Kernel32.dll болон зарим HTTP функцээс wininet.dll, хорлонтой зан үйлийг илтгэх тодорхой мөр агуулсан байхаас гадна.

Энэ төрлийн логик нь байршлыг тогтооход төгс төгөлдөр юм Алсын холболт эсвэл гадагшлуулах чадвартай троянуудфайлын нэр эсвэл зам нь нэг кампанит ажлаас нөгөөд шилжих үед ч гэсэн. Хамгийн чухал зүйл бол үндсэн зан төлөвт анхаарлаа хандуулах явдал юм: процесс үүсгэх, HTTP хүсэлт, шифрлэлт, тууштай байдал гэх мэт.

Өөр нэг маш үр дүнтэй арга бол харах явдал юм давтагдах зааврын дараалал нэг гэр бүлийн дээжийн хооронд. Халдагчид хоёртын файлыг багцалсан эсвэл бүдгэрүүлсэн ч өөрчлөхөд хэцүү кодын хэсгүүдийг дахин ашигладаг. Хэрэв статик дүн шинжилгээ хийсний дараа та зааврын тогтмол блокуудыг олвол та дүрмийг томъёолж болно арван зургаан тоот мөр дэх орлуулагч тэмдэгтүүд Энэ нь тодорхой хүлцлийг хадгалахын зэрэгцээ энэ загварыг барьж авдаг.

Эдгээр "кодын зан төлөвт суурилсан" дүрмийн тусламжтайгаар үүнийг хийх боломжтой PlugX/Korplug эсвэл бусад APT гэр бүлийнх шиг хортой програмын кампанит ажлыг бүхэлд нь хянахТа зөвхөн тодорхой хэшийг илрүүлээд зогсохгүй, халдагчдын хөгжлийн хэв маягийг дагаж мөрддөг.

YARA-г бодит кампанит ажил, тэг өдрийн аюулд ашиглах

YARA нь ялангуяа хамгаалалтын сонгодог механизм хэтэрхий оройтож ирдэг дэвшилтэт аюул, тэг өдрийн мөлжлөгийн салбарт өөрийн үнэ цэнийг нотолсон. Алдартай жишээ бол YARA-г ашиглан Silverlight дахь мөлжлөгийг хамгийн бага задруулсан тагнуулын мэдээллээс олох явдал юм..

Энэ тохиолдолд доромжилсон хэрэглүүрийг хөгжүүлэх зорилготой компаниас хулгайлсан цахим шуудангаас тодорхой мөлжлөгт чиглэсэн дүрмийг бий болгох хангалттай хэв маягийг гаргаж авсан. Энэхүү цорын ганц дүрмийн дагуу судлаачид сэжигтэй файлуудын далайгаар дээжийг хянах боломжтой болсон.Ашиглалтыг тодорхойлж, нөхөөсийг хүчээр засч, илүү ноцтой хохирол учруулахаас сэргийлээрэй.

Эдгээр төрлийн түүхүүд нь YARA хэрхэн ажиллаж болохыг харуулдаг файлын далай дахь загас агнуурын торТанай корпорацийн сүлжээг бүх төрлийн "загас" (файл) дүүрэн далай гэж төсөөлөөд үз дээ. Таны дүрмүүд трол торны тасалгаатай адил юм: тасалгаа бүр нь тодорхой шинж чанарт тохирсон загасыг хадгалдаг.

Чирэлтийг дуусгахад танд байна тодорхой гэр бүл эсвэл халдагчдын бүлэгтэй ижил төстэй байдлаар бүлэглэсэн дээж: "Х зүйлтэй төстэй", "Ү зүйлтэй төстэй" гэх мэт. Эдгээр дээжийн зарим нь танд цоо шинэ байж магадгүй (шинэ хоёртын хувилбар, шинэ кампанит ажил), гэхдээ тэдгээр нь мэдэгдэж буй загварт багтах бөгөөд энэ нь таны ангилал болон хариу үйлдлийг хурдасгадаг.

Энэ хүрээнд YARA-аас хамгийн их ашиг хүртэхийн тулд олон байгууллага нэгддэг ахисан түвшний сургалт, практик лаборатори, хяналттай туршилтын орчинКибер тагнуулын бодит тохиолдлууд дээр үндэслэсэн, зөвхөн сайн дүрэм бичих урлагт зориулагдсан өндөр мэргэшсэн сургалтууд байдаг бөгөөд оюутнууд жинхэнэ дээжээр дадлага хийж, яг юу хайж байгаагаа мэдэхгүй байсан ч "ямар нэгэн зүйл" хайж сурдаг.

YARA-г нөөцлөх, сэргээх платформд нэгтгэх

YARA нь маш сайн нийцдэг бөгөөд ихэнхдээ үл анзаарагдам байдаг нэг хэсэг бол нөөц хуулбарыг хамгаалах явдал юм. Хэрэв нөөцлөлт нь хортой програм эсвэл ransomware-ээр халдварлагдсан бол сэргээх нь бүхэл бүтэн кампанит ажлыг дахин эхлүүлэх боломжтой.Тийм ч учраас зарим үйлдвэрлэгчид YARA хөдөлгүүрийг шийдэлдээ шууд оруулсан байдаг.

Дараагийн үеийн нөөц платформуудыг ажиллуулж болно Сэргээх цэгүүд дээр YARA дүрэмд суурилсан дүн шинжилгээ хийх сессүүдЗорилго нь хоёр талтай: ослын өмнөх хамгийн сүүлийн "цэвэр" цэгийг олох, бусад шалгалтаар өдөөгдөөгүй байж болох файлуудад нуугдаж буй хортой контентыг илрүүлэх.

Эдгээр орчинд ердийн үйл явц нь " гэсэн сонголтыг сонгох явдал юм.YARA захирагчаар сэргээх цэгүүдийг сканнердах"Шинжилгээний ажлын тохиргоо хийх явцад. Дараа нь дүрмийн файлд хүрэх замыг зааж өгдөг (ихэвчлэн .yara эсвэл .yar өргөтгөлтэй), энэ нь ихэвчлэн нөөц шийдэлд зориулагдсан тохиргооны хавтсанд хадгалагддаг."

Гүйцэтгэх явцад хөдөлгүүр нь хуулбарт агуулагдах объектуудыг давтаж, дүрмийг дагаж мөрддөг Энэ нь тодорхой YARA шинжилгээний бүртгэлд бүх тоглолтыг бүртгэдэг.Администратор эдгээр бүртгэлийг консолоос харж, статистик мэдээллийг хянаж, ямар файлууд анхааруулга өгсөн болохыг харах, тэр ч байтугай тохирох машин, тодорхой огноог бүртгэх боломжтой.

Энэ интеграци нь бусад механизмуудаар нэмэгддэг гажиг илрүүлэх, нөөцийн хэмжээг хянах, тодорхой ОУОХ-ыг хайх, эсвэл сэжигтэй хэрэгслүүдэд дүн шинжилгээ хийхГэхдээ тодорхой ransomware гэр бүл эсвэл кампанит ажилд тохирсон дүрмийн тухай ярихад YARA нь хайлтыг сайжруулах хамгийн сайн хэрэгсэл юм.

Сүлжээгээ эвдэхгүйгээр YARA дүрмийг хэрхэн туршиж, баталгаажуулах вэ

Та өөрийн дүрмээ бичиж эхэлмэгц дараагийн чухал алхам бол тэдгээрийг сайтар туршиж үзэх явдал юм. Хэт түрэмгий дүрэм нь хуурамч эерэг үер үүсгэж, харин хэт сул дүрэм нь бодит аюулыг даван туулах боломжийг олгодог.Тийм ч учраас тестийн үе шат нь бичих үе шаттай адил чухал юм.

Сайн мэдээ гэвэл та үүнийг хийхийн тулд хортой програмаар дүүрэн лаборатори байгуулж, сүлжээний хагасыг халдварлах шаардлагагүй юм. Энэ мэдээллийг санал болгодог хадгалах газар болон өгөгдлийн багц аль хэдийн бий. Судалгааны зорилгоор мэдэгдэж байгаа болон хяналттай хортой програмын дээжТа эдгээр дээжийг тусгаарлагдсан орчинд татаж аваад дүрмийнхээ туршилтын талбар болгон ашиглаж болно.

Ердийн арга бол сэжигтэй файлуудыг агуулсан лавлахын эсрэг тушаалын мөрөөс YARA-г дотооддоо ажиллуулж эхлэх явдал юм. Хэрэв таны дүрмүүд байх ёстой газартаа таарч, цэвэр файлуудыг бараг эвдэж чадахгүй бол та зөв зам дээр байна гэсэн үг.Хэрэв тэд хэт их өдөөж байгаа бол мөрүүдийг эргэн харах, нөхцөлийг сайжруулах эсвэл нэмэлт хязгаарлалт (хэмжээ, импорт, офсет гэх мэт) нэвтрүүлэх цаг болжээ.

Өөр нэг гол зүйл бол таны дүрмүүд гүйцэтгэлийг алдагдуулахгүй байх явдал юм. Том лавлах, бүрэн нөөцлөлт эсвэл их хэмжээний дээж цуглуулгыг сканнердах үед, Муу оновчтой дүрмүүд дүн шинжилгээг удаашруулж эсвэл хүссэнээс илүү их нөөцийг зарцуулж болно.Тиймээс цаг хугацааг хэмжих, төвөгтэй илэрхийллийг хялбарчлах, хэт хүнд регексээс зайлсхийх нь зүйтэй.

Лабораторийн туршилтын үе шатыг давсны дараа та боломжтой болно Үйлдвэрлэлийн орчинд дүрмийг сурталчлахЭнэ нь таны SIEM, нөөц систем, имэйл сервер эсвэл тэдгээрийг нэгтгэхийг хүссэн газар ч бай. Тасралтгүй хяналтын мөчлөгийг хадгалахаа бүү мартаарай: кампанит ажил хөгжихийн хэрээр таны дүрмүүдэд үе үе тохируулга хийх шаардлагатай болно.

YARA-тай ажиллах хэрэгсэл, программ, ажлын урсгал

Албан ёсны хоёртын хувилбараас гадна олон мэргэжилтнүүд YARA-ийн эргэн тойронд түүний өдөр тутмын хэрэглээг хөнгөвчлөхийн тулд жижиг программууд болон скриптүүдийг боловсруулсан. Ердийн арга нь програм үүсгэх явдал юм хамгаалалтын хэрэгсэлээ өөрөө угсарна Энэ нь хавтас дахь бүх дүрмийг автоматаар уншиж, дүн шинжилгээ хийх лавлахад ашигладаг.

Эдгээр төрлийн гар хийцийн хэрэгслүүд нь ихэвчлэн энгийн лавлах бүтэцтэй ажилладаг: нэг хавтас Интернэтээс татаж авсан дүрэм (жишээ нь, "rulesyar") болон өөр хавтас шинжилгээ хийх сэжигтэй файлууд (жишээлбэл, "хорлонтой програм"). Програм эхлэхэд энэ хоёр хавтас байгаа эсэхийг шалгаж, дэлгэцэн дээрх дүрмийг жагсааж, гүйцэтгэлд бэлддэг.

" гэх мэт товчлуурыг дарах үедБаталгаажуулалтыг эхлүүлэхДараа нь програм нь хүссэн параметрүүдтэй YARA-г ажиллуулдаг файлыг ажиллуулна: фолдерт байгаа бүх файлыг сканнердах, дэд сангуудын рекурсив шинжилгээ хийх, статистикийг гаргах, мета өгөгдлийг хэвлэх гэх мэт. Ямар ч тохирохыг үр дүнгийн цонхонд харуулах бөгөөд аль файл нь аль дүрэмд тохирохыг заана.

Энэ ажлын урсгал нь жишээлбэл, экспортолсон имэйлийн багц дахь асуудлыг илрүүлэх боломжийг олгодог. Хортой суулгасан зургууд, аюултай хавсралтууд эсвэл гэмгүй мэт санагдах файлуудад нуугдсан вэб бүрхүүлүүдКорпорацийн орчин дахь олон шүүх эмнэлгийн мөрдөн байцаалтууд яг энэ төрлийн механизм дээр тулгуурладаг.

YARA-г дуудах үед хамгийн ашигтай параметрүүдийн тухайд дараах сонголтууд тод харагдаж байна. -r нь рекурсив хайлт, -S нь статистикийг харуулах, -m нь мета өгөгдлийг задлах, -w нь анхааруулгыг үл тоомсорлодог.Эдгээр тугуудыг нэгтгэснээр та өөрийн нөхцөл байдалд тохируулж болно: тодорхой лавлах руу хурдан дүн шинжилгээ хийхээс эхлээд нарийн төвөгтэй хавтасны бүтцийг бүрэн сканнердах хүртэл.

YARA дүрмийг бичиж, дагаж мөрдөх шилдэг туршлагууд

Таны дүрмийн санг зохицуулах боломжгүй эмх замбараагүй байдлаас урьдчилан сэргийлэхийн тулд хэд хэдэн шилдэг туршлагыг хэрэгжүүлэхийг зөвлөж байна. Эхнийх нь тууштай загвар, нэршлийн дүрэмтэй ажиллах явдал юмИнгэснээр аливаа шинжээч дүрэм бүр юу хийдгийг нэг дороос ойлгох болно.

Олон баг багтсан стандарт форматыг ашигладаг мета өгөгдөл бүхий толгой хэсэг, аюулын төрөл, жүжигчин эсвэл платформыг харуулсан шошго, илрүүлж буй зүйлийн тодорхой тайлбарЭнэ нь зөвхөн дотооддоо төдийгүй олон нийттэй дүрэм хуваалцах эсвэл олон нийтийн мэдээллийн санд хувь нэмэр оруулахад тусалдаг.

Өөр нэг зөвлөмж бол үүнийг үргэлж санаж байх явдал юм YARA бол хамгаалалтын нэг давхарга юмЭнэ нь вирусны эсрэг программ хангамж эсвэл EDR-ийг орлохгүй, харин тэдгээрийг стратегид нөхөж өгдөг Windows PC-ээ хамгаалаарайYARA нь хөрөнгийг таних, хамгаалах, илрүүлэх, хариу арга хэмжээ авах, нөхөн сэргээхэд чиглэсэн NIST тогтолцоо зэрэг илүү өргөн хүрээний лавлагааны хүрээнд багтах ёстой.

Техникийн үүднээс авч үзвэл цаг хугацаа зориулах нь зүйтэй хуурамч эерэг байдлаас зайлсхийхҮүнд хэт ерөнхий мөрүүдээс зайлсхийх, хэд хэдэн нөхцөлийг нэгтгэх, зэрэг операторуудыг ашиглах зэрэг орно бүх o аль нь ч байсан Толгойгоо ашиглаад файлын бүтцийн шинж чанарыг ашиглаарай. Хортой програмын зан үйлийг тойрсон логик нь илүү тодорхой байх тусмаа сайн.

Эцэст нь, сахилга батыг сахих хувилбар гаргах, үе үе хянах Энэ нь чухал юм. Хортой програм хангамжийн гэр бүлүүд хөгжиж, үзүүлэлтүүд өөрчлөгдөж, өнөөдөр ажиллаж байгаа дүрэм журмууд алдагдах эсвэл хуучирч болзошгүй. Дүрмээ үе үе хянаж, сайжруулах нь кибер аюулгүй байдлын муур хулгана тоглоомын нэг хэсэг юм.

YARA нийгэмлэг ба бэлэн нөөц

YARA-г өдий зэрэгт хүргэсэн гол шалтгаануудын нэг нь хамт олныхоо хүч чадал юм. Дэлхийн өнцөг булан бүрээс ирсэн судлаачид, хамгаалалтын фирмүүд болон хариу арга хэмжээ авах багууд дүрэм, жишээ, баримт бичгийг байнга хуваалцдаг.маш баялаг экосистемийг бий болгож байна.

Лавлах гол цэг нь GitHub дээрх YARA-ийн албан ёсны репозиторТэнд та хэрэгслийн хамгийн сүүлийн үеийн хувилбарууд, эх код, баримт бичгийн холбоосыг олох болно. Тэндээс та төслийн явцыг дагаж, асуудлаа мэдээлэх эсвэл хүсвэл сайжруулалтад хувь нэмэр оруулах боломжтой.

ReadTheDocs зэрэг платформ дээр байдаг албан ёсны баримт бичгийг санал болгож байна Бүрэн синтакс гарын авлага, боломжтой модулиуд, дүрмийн жишээ, хэрэглээний лавлагааЭнэ нь PE шалгалт, ELF, санах ойн дүрэм, эсвэл бусад хэрэгслүүдтэй нэгтгэх зэрэг хамгийн дэвшилтэт функцүүдийн давуу талыг ашиглахад зайлшгүй шаардлагатай нөөц юм.

Нэмж дурдахад дэлхийн өнцөг булан бүрээс шинжээчид YARA дүрэм, гарын үсгийн олон нийтийн мэдээллийн сангууд байдаг. Тэд таны хэрэгцээнд нийцүүлэн ашиглахад бэлэн цуглуулга эсвэл цуглуулгуудыг нийтэлдэг.Эдгээр репозиторууд нь ихэвчлэн тодорхой хорлонтой програмын бүлгүүдэд зориулсан дүрэм, ашиглалтын иж бүрдэл, хорлонтойгоор ашигласан пенстестинг хэрэгсэл, вэб бүрхүүл, криптоминер болон бусад зүйлийг агуулдаг.

Үүний зэрэгцээ олон үйлдвэрлэгчид болон судалгааны бүлгүүд санал болгодог YARA-д анхан шатнаас эхлээд ахисан түвшний сургалт хүртэл тусгай сургалтЭдгээр санаачилгад ихэвчлэн виртуал лаборатори, бодит нөхцөл байдалд суурилсан практик дасгалууд багтдаг. Заримыг нь ашгийн бус байгууллага эсвэл зорилтот халдлагад онцгой өртөмтгий байгууллагуудад үнэ төлбөргүй санал болгодог.

Энэ бүхэл бүтэн экосистем нь та бага зэрэг хичээл зүтгэл гаргаснаар анхны үндсэн дүрмээ бичихээс эхлээд явж болно гэсэн үг юм нарийн төвөгтэй кампанит ажлыг хянах, урьд өмнө хэзээ ч байгаагүй аюулыг илрүүлэх чадвартай боловсронгуй иж бүрдэлүүдийг хөгжүүлэхМөн YARA-г уламжлалт антивирус, аюулгүй нөөцлөлт, аюул заналын тагнуултай хослуулснаар та интернетээр тэнүүчилж буй хорлонтой жүжигчдийн үйл ажиллагааг улам хүндрүүлнэ.

Дээр дурдсан бүх зүйлсийн хувьд YARA нь энгийн командын мөрийн хэрэгслээс хамаагүй илүү гэдэг нь ойлгомжтой. гол хэсэг Хортой программыг илрүүлэх аливаа дэвшилтэт стратегийн хувьд шинжээчийн хувьд таны сэтгэлгээнд тохирсон уян хатан хэрэгсэл, нийтлэг хэл Энэ нь дэлхий даяарх лабораториуд, ХБХ болон судалгааны нийгэмлэгүүдийг холбож, шинэ дүрэм бүрд улам боловсронгуй кампанит ажил явагдахаас хамгаалах өөр давхарга нэмэх боломжийг олгодог.