प्रगत मालवेअर शोधण्यासाठी YARA कसे वापरावे

¿प्रगत मालवेअर शोधण्यासाठी YARA कसे वापरावे? जेव्हा पारंपारिक अँटीव्हायरस प्रोग्राम त्यांच्या मर्यादेपर्यंत पोहोचतात आणि हल्लेखोर प्रत्येक संभाव्य क्रॅकमधून बाहेर पडतात, तेव्हा घटना प्रतिसाद प्रयोगशाळांमध्ये अपरिहार्य बनलेले एक साधन कामात येते: YARA, मालवेअर शोधण्यासाठीचा "स्विस चाकू"मजकूर आणि बायनरी पॅटर्न वापरून दुर्भावनापूर्ण सॉफ्टवेअरच्या कुटुंबांचे वर्णन करण्यासाठी डिझाइन केलेले, ते साध्या हॅश जुळणीच्या पलीकडे जाण्यास अनुमती देते.

उजव्या हातात, YARA फक्त शोधण्यासाठी नाही केवळ ज्ञात मालवेअर नमुनेच नाही तर नवीन प्रकार, शून्य-दिवस शोषण आणि अगदी व्यावसायिक आक्षेपार्ह साधने देखीलया लेखात, आपण प्रगत मालवेअर शोधण्यासाठी YARA कसे वापरायचे, मजबूत नियम कसे लिहायचे, त्यांची चाचणी कशी करायची, त्यांना Veeam किंवा तुमच्या स्वतःच्या विश्लेषण कार्यप्रवाहासारख्या प्लॅटफॉर्ममध्ये कसे एकत्रित करायचे आणि व्यावसायिक समुदाय कोणत्या सर्वोत्तम पद्धतींचे पालन करतो याचा सखोल आणि व्यावहारिक अभ्यास करू.

YARA म्हणजे काय आणि ते मालवेअर शोधण्यात इतके शक्तिशाली का आहे?

YARA म्हणजे "Yet Another Recursive Acronym" आणि धोक्याच्या विश्लेषणात ते एक वास्तविक मानक बनले आहे कारण हे वाचनीय, स्पष्ट आणि अत्यंत लवचिक नियमांचा वापर करून मालवेअर कुटुंबांचे वर्णन करण्यास अनुमती देते.केवळ स्थिर अँटीव्हायरस स्वाक्षरींवर अवलंबून राहण्याऐवजी, YARA तुम्ही स्वतः परिभाषित केलेल्या नमुन्यांसह कार्य करते.

मूळ कल्पना सोपी आहे: YARA नियम फाइल (किंवा मेमरी, किंवा डेटा स्ट्रीम) तपासतो आणि काही अटी पूर्ण झाल्या आहेत का ते तपासतो. मजकूर स्ट्रिंग, हेक्साडेसिमल अनुक्रम, नियमित अभिव्यक्ती किंवा फाइल गुणधर्मांवर आधारित अटीजर अट पूर्ण झाली, तर एक "जुळणी" आहे आणि तुम्ही अलर्ट करू शकता, ब्लॉक करू शकता किंवा अधिक सखोल विश्लेषण करू शकता.

हा दृष्टिकोन सुरक्षा पथकांना परवानगी देतो सर्व प्रकारच्या मालवेअर ओळखा आणि त्यांचे वर्गीकरण करा: क्लासिक व्हायरस, वर्म्स, ट्रोजन, रॅन्समवेअर, वेबशेल, क्रिप्टोमायनर्स, दुर्भावनापूर्ण मॅक्रो आणि बरेच काही.हे विशिष्ट फाइल एक्सटेंशन किंवा फॉरमॅट्सपुरते मर्यादित नाही, म्हणून ते .pdf एक्सटेंशन किंवा वेबशेल असलेली HTML फाइल असलेले एक प्रच्छन्न एक्झिक्युटेबल देखील शोधते.

शिवाय, YARA आधीच सायबरसुरक्षा परिसंस्थेच्या अनेक प्रमुख सेवा आणि साधनांमध्ये एकत्रित केले आहे: व्हायरसटोटल, कुकू सारखे सँडबॉक्स, वीम सारखे बॅकअप प्लॅटफॉर्म किंवा उच्च-स्तरीय उत्पादकांकडून धोक्याचे शिकार करण्याचे उपायम्हणूनच, प्रगत विश्लेषक आणि संशोधकांसाठी YARA मध्ये प्रभुत्व मिळवणे जवळजवळ एक आवश्यकता बनली आहे.

मालवेअर शोधण्यात YARA चा प्रगत वापर प्रकरणे

YARA ची एक ताकद म्हणजे ते SOC पासून मालवेअर लॅबपर्यंत अनेक सुरक्षा परिस्थितींमध्ये हातमोजेसारखे जुळवून घेते. एकाच वेळी होणारी शिकार आणि सतत देखरेख या दोन्हीसाठी समान नियम लागू होतात..

सर्वात थेट केस म्हणजे तयार करणे विशिष्ट मालवेअर किंवा संपूर्ण कुटुंबांसाठी विशिष्ट नियमजर तुमच्या संस्थेवर एखाद्या ज्ञात कुटुंबावर आधारित मोहिमेचा हल्ला होत असेल (उदाहरणार्थ, रिमोट अॅक्सेस ट्रोजन किंवा एपीटी धोका), तर तुम्ही वैशिष्ट्यपूर्ण स्ट्रिंग आणि पॅटर्न प्रोफाइल करू शकता आणि नवीन संबंधित नमुने त्वरित ओळखणारे नियम तयार करू शकता.

आणखी एक क्लासिक वापर म्हणजे फोकस स्वाक्षऱ्यांवर आधारित YARAहे नियम हॅश, अतिशय विशिष्ट टेक्स्ट स्ट्रिंग, कोड स्निपेट, रजिस्ट्री की किंवा त्याच मालवेअरच्या अनेक प्रकारांमध्ये पुनरावृत्ती होणारे विशिष्ट बाइट सीक्वेन्स शोधण्यासाठी डिझाइन केलेले आहेत. तथापि, लक्षात ठेवा की जर तुम्ही फक्त क्षुल्लक स्ट्रिंग शोधत असाल तर तुम्हाला खोटे पॉझिटिव्ह निर्माण होण्याचा धोका असतो.

फिल्टरिंगच्या बाबतीतही YARA चमकते फाइल प्रकार किंवा संरचनात्मक वैशिष्ट्येफाइल आकार, विशिष्ट शीर्षलेख (उदा., PE एक्झिक्युटेबलसाठी 0x5A4D), किंवा संशयास्पद फंक्शन आयात यासारख्या गुणधर्मांसह स्ट्रिंग एकत्र करून, PE एक्झिक्युटेबल, ऑफिस दस्तऐवज, PDF किंवा जवळजवळ कोणत्याही स्वरूपावर लागू होणारे नियम तयार करणे शक्य आहे.

आधुनिक वातावरणात, त्याचा वापर खालील गोष्टींशी जोडलेला आहे: धोक्याची माहितीसार्वजनिक भांडार, संशोधन अहवाल आणि आयओसी फीड्स हे यारा नियमांमध्ये रूपांतरित केले जातात जे एसआयईएम, ईडीआर, बॅकअप प्लॅटफॉर्म किंवा सँडबॉक्समध्ये एकत्रित केले जातात. हे संस्थांना अनुमती देते आधीच विश्लेषण केलेल्या मोहिमांसह वैशिष्ट्ये सामायिक करणारे उदयोन्मुख धोके त्वरीत शोधा..

YARA नियमांची वाक्यरचना समजून घेणे

YARA ची वाक्यरचना C सारखीच आहे, परंतु सोपी आणि अधिक केंद्रित पद्धतीने. प्रत्येक नियमात एक नाव, एक पर्यायी मेटाडेटा विभाग, एक स्ट्रिंग विभाग आणि अपरिहार्यपणे, एक अट विभाग असतो.येथून पुढे, तुम्ही ते सर्व कसे एकत्र करता यात शक्ती आहे.

प्रथम आहे नियमाचे नावते कीवर्ड नंतर लगेच जावे लागेल. नियम (o नियम जर तुम्ही स्पॅनिशमध्ये दस्तऐवजीकरण केले, तरी फाइलमधील कीवर्ड असेल नियमआणि एक वैध ओळखकर्ता असणे आवश्यक आहे: जागा नाही, संख्या नाही आणि अंडरस्कोर नाही. स्पष्ट नियमावलीचे पालन करणे चांगली कल्पना आहे, उदाहरणार्थ असे काहीतरी मालवेअर_फॅमिली_व्हेरिएंट o एपीटी_अभिनेता_साधन, जे तुम्हाला एका दृष्टीक्षेपात ओळखण्याची परवानगी देते की ते काय शोधण्याचा हेतू आहे.

पुढे विभाग येतो स्ट्रिंग्सजिथे तुम्ही शोधू इच्छित असलेले नमुने परिभाषित करता. येथे तुम्ही तीन मुख्य प्रकार वापरू शकता: मजकूर स्ट्रिंग्ज, हेक्साडेसिमल अनुक्रम आणि नियमित अभिव्यक्तीमानवी वाचनीय कोड स्निपेट, URL, अंतर्गत संदेश, पथ नावे किंवा PDB साठी मजकूर स्ट्रिंग आदर्श आहेत. हेक्साडेसिमल तुम्हाला रॉ बाइट पॅटर्न कॅप्चर करण्याची परवानगी देतात, जे कोड अस्पष्ट असताना खूप उपयुक्त असतात परंतु काही स्थिर अनुक्रम राखून ठेवतात.

जेव्हा तुम्हाला स्ट्रिंगमधील लहान बदल, जसे की डोमेन बदलणे किंवा कोडचे थोडेसे बदललेले भाग समाविष्ट करायचे असतात तेव्हा रेग्युलर एक्सप्रेशन्स लवचिकता प्रदान करतात. शिवाय, स्ट्रिंग्ज आणि रेजेक्स दोन्ही एस्केप्सना अनियंत्रित बाइट्स दर्शविण्याची परवानगी देतात., जे अतिशय अचूक संकरित नमुन्यांसाठी दार उघडते.

विभाग अट हा एकमेव अनिवार्य नियम आहे आणि तो फाइलला "जुळवण्यासाठी" कधी नियम मानला जातो हे परिभाषित करतो. तिथे तुम्ही बुलियन आणि अंकगणितीय ऑपरेशन्स वापरता (आणि, किंवा, नाही, +, -, *, /, कोणताही, सर्व, समाविष्ट आहे, इ.) साध्या "जर ही स्ट्रिंग दिसली तर" पेक्षा बारीक शोध तर्क व्यक्त करण्यासाठी.

उदाहरणार्थ, जर फाइल एका विशिष्ट आकारापेक्षा लहान असेल, सर्व गंभीर स्ट्रिंग्स दिसतील किंवा अनेक स्ट्रिंग्सपैकी किमान एक असेल तरच नियम वैध आहे हे तुम्ही निर्दिष्ट करू शकता. तुम्ही स्ट्रिंगची लांबी, जुळण्यांची संख्या, फाइलमधील विशिष्ट ऑफसेट किंवा फाइलचा आकार यासारख्या परिस्थिती देखील एकत्र करू शकता.येथे सर्जनशीलता सामान्य नियम आणि शस्त्रक्रिया तपासणीमध्ये फरक करते.

शेवटी, तुमच्याकडे पर्यायी विभाग आहे मेटाकालावधीचे दस्तऐवजीकरण करण्यासाठी आदर्श. त्यात समाविष्ट करणे सामान्य आहे लेखक, निर्मिती तारीख, वर्णन, अंतर्गत आवृत्ती, अहवाल किंवा तिकिटांचा संदर्भ आणि, सर्वसाधारणपणे, इतर विश्लेषकांसाठी भांडार व्यवस्थित आणि समजण्यायोग्य ठेवण्यास मदत करणारी कोणतीही माहिती.

प्रगत YARA नियमांची व्यावहारिक उदाहरणे

वरील सर्व बाबींचा दृष्टिकोनातून विचार करायचा तर, एक साधा नियम कसा रचला जातो आणि एक्झिक्युटेबल फाइल्स, संशयास्पद आयात किंवा पुनरावृत्ती होणाऱ्या सूचना क्रमांचा वापर सुरू झाल्यावर तो कसा अधिक गुंतागुंतीचा होतो हे पाहणे उपयुक्त ठरेल. चला खेळण्यांच्या रुलरने सुरुवात करूया आणि हळूहळू आकार वाढवूया..

एका किमान नियमात फक्त एक स्ट्रिंग आणि त्याला अनिवार्य करणारी अट असू शकते. उदाहरणार्थ, तुम्ही मालवेअर फ्रॅगमेंटचे प्रतिनिधीत्व करणारी विशिष्ट टेक्स्ट स्ट्रिंग किंवा बाइट सीक्वेन्स शोधू शकता. त्या बाबतीत, अट फक्त असे सांगेल की जर ती स्ट्रिंग किंवा पॅटर्न दिसली तर नियम पूर्ण झाला आहे., पुढील फिल्टरशिवाय.

तथापि, वास्तविक जगात हे कमी पडते, कारण साध्या साखळ्या अनेकदा अनेक खोटे सकारात्मक परिणाम निर्माण करतात.म्हणूनच अनेक स्ट्रिंग्ज (मजकूर आणि हेक्साडेसिमल) अतिरिक्त निर्बंधांसह एकत्र करणे सामान्य आहे: फाइल एका विशिष्ट आकारापेक्षा जास्त नसावी, त्यात विशिष्ट शीर्षलेख असतील किंवा प्रत्येक परिभाषित गटातून किमान एक स्ट्रिंग आढळल्यासच ती सक्रिय केली जाते.

पीई एक्झिक्युटेबल विश्लेषणातील एक सामान्य उदाहरण म्हणजे मॉड्यूल आयात करणे pe YARA वरून, जे तुम्हाला बायनरीच्या अंतर्गत गुणधर्मांची चौकशी करण्याची परवानगी देते: आयात केलेले फंक्शन्स, विभाग, टाइमस्टॅम्प इ. प्रगत नियमानुसार फाइल आयात करण्याची आवश्यकता असू शकते. प्रक्रिया तयार करा पासून Kernel32.dll आणि काही HTTP फंक्शन wininet.dll वापरकर्ता मॅन्युअल, ज्यामध्ये दुर्भावनापूर्ण वर्तन दर्शविणारी विशिष्ट स्ट्रिंग समाविष्ट आहे.

या प्रकारचे तर्कशास्त्र शोधण्यासाठी परिपूर्ण आहे रिमोट कनेक्शन किंवा एक्सफिल्ट्रेशन क्षमता असलेले ट्रोजनजरी फाइलनाव किंवा पथ एका मोहिमेतून दुसऱ्या मोहिमेत बदलत असले तरीही. महत्त्वाची गोष्ट म्हणजे अंतर्निहित वर्तनावर लक्ष केंद्रित करणे: प्रक्रिया निर्मिती, HTTP विनंत्या, एन्क्रिप्शन, पर्सिस्टन्स इ.

आणखी एक अतिशय प्रभावी तंत्र म्हणजे पाहणे पुनरावृत्ती होणाऱ्या सूचनांचा क्रम एकाच कुटुंबातील नमुन्यांमधील. जरी हल्लेखोर बायनरी पॅकेज करतात किंवा अस्पष्ट करतात, तरीही ते बहुतेकदा कोडचे असे भाग पुन्हा वापरतात जे बदलणे कठीण असते. जर, स्थिर विश्लेषणानंतर, तुम्हाला सूचनांचे सतत ब्लॉक आढळले, तर तुम्ही नियम तयार करू शकता हेक्साडेसिमल स्ट्रिंगमध्ये वाइल्डकार्ड जे विशिष्ट सहनशीलता राखून त्या पॅटर्नला कॅप्चर करते.

या "कोड वर्तन-आधारित" नियमांसह हे शक्य आहे प्लगएक्स/कॉर्प्लग किंवा इतर एपीटी कुटुंबांसारख्या संपूर्ण मालवेअर मोहिमा ट्रॅक करा.तुम्हाला फक्त विशिष्ट हॅश सापडत नाही, तर तुम्ही हल्लेखोरांच्या विकास शैलीचे अनुसरण करता.

वास्तविक मोहिमा आणि शून्य-दिवस धोक्यांमध्ये YARA चा वापर

YARA ने विशेषतः प्रगत धोक्यांच्या आणि शून्य-दिवसांच्या शोषणांच्या क्षेत्रात आपले मूल्य सिद्ध केले आहे, जिथे क्लासिक संरक्षण यंत्रणा खूप उशिरा येतात. सिल्व्हरलाईटमध्ये कमीत कमी लीक झालेल्या गुप्तचर माहितीवरून शोधण्यासाठी YARA चा वापर हे एक सुप्रसिद्ध उदाहरण आहे..

त्या बाबतीत, आक्षेपार्ह साधनांच्या विकासासाठी समर्पित कंपनीकडून चोरीला गेलेल्या ईमेलमधून, विशिष्ट शोषणासाठी केंद्रित नियम तयार करण्यासाठी पुरेसे नमुने काढले गेले. त्या एकाच नियमाने, संशोधकांना संशयास्पद फायलींच्या समुद्रातून नमुना शोधता आला.शोषण ओळखा आणि त्याचे पॅचिंग सक्ती करा, ज्यामुळे बरेच गंभीर नुकसान टाळता येईल.

या प्रकारच्या कथा YARA कसे कार्य करू शकते हे दर्शवितात फाईल्सच्या समुद्रात मासेमारीचे जाळेतुमच्या कॉर्पोरेट नेटवर्कची कल्पना करा, ते सर्व प्रकारच्या "माशांनी" (फाईल्स) भरलेले एक महासागर आहे. तुमचे नियम ट्रॉल जाळ्यातील कप्प्यांसारखे आहेत: प्रत्येक कप्प्यात विशिष्ट वैशिष्ट्यांशी जुळणारे मासे असतात.

जेव्हा तुम्ही ड्रॅग पूर्ण करता, तेव्हा तुमच्याकडे विशिष्ट कुटुंबे किंवा हल्लेखोरांच्या गटांशी समानतेनुसार गटबद्ध केलेले नमुने: “प्रजाती X सारखी”, “प्रजाती Y सारखी”, इत्यादी. यातील काही नमुने तुमच्यासाठी पूर्णपणे नवीन असू शकतात (नवीन बायनरी, नवीन मोहिमा), परंतु ते एका ज्ञात पॅटर्नमध्ये बसतात, जे तुमचे वर्गीकरण आणि प्रतिसाद वेगवान करते.

या संदर्भात YARA चा जास्तीत जास्त फायदा घेण्यासाठी, अनेक संस्था एकत्र येतात प्रगत प्रशिक्षण, व्यावहारिक प्रयोगशाळा आणि नियंत्रित प्रयोगात्मक वातावरणचांगले नियम लिहिण्याच्या कलेसाठी समर्पित अत्यंत विशेष अभ्यासक्रम आहेत, जे बहुतेकदा सायबर हेरगिरीच्या वास्तविक प्रकरणांवर आधारित असतात, ज्यामध्ये विद्यार्थी प्रामाणिक नमुन्यांसह सराव करतात आणि त्यांना नेमके काय शोधत आहेत हे माहित नसतानाही "काहीतरी" शोधायला शिकतात.

YARA ला बॅकअप आणि रिकव्हरी प्लॅटफॉर्ममध्ये एकत्रित करा.

एक क्षेत्र जिथे YARA पूर्णपणे बसते आणि जे बऱ्याचदा दुर्लक्षित राहते, ते म्हणजे बॅकअपचे संरक्षण. जर बॅकअपमध्ये मालवेअर किंवा रॅन्समवेअरचा संसर्ग झाला असेल, तर रिस्टोअर संपूर्ण मोहीम पुन्हा सुरू करू शकते.म्हणूनच काही उत्पादकांनी YARA इंजिन थेट त्यांच्या सोल्युशन्समध्ये समाविष्ट केले आहेत.

पुढील पिढीचे बॅकअप प्लॅटफॉर्म लाँच केले जाऊ शकतात पुनर्संचयित बिंदूंवर YARA नियम-आधारित विश्लेषण सत्रेध्येय दुहेरी आहे: घटनेपूर्वीचा शेवटचा "स्वच्छ" बिंदू शोधणे आणि इतर तपासण्यांमुळे ट्रिगर न झालेल्या फायलींमध्ये लपलेली दुर्भावनापूर्ण सामग्री शोधणे.

या वातावरणात सामान्य प्रक्रियेमध्ये "" चा पर्याय निवडणे समाविष्ट असते.YARA रुलरने रिस्टोअर पॉइंट्स स्कॅन करा."विश्लेषण कार्याच्या कॉन्फिगरेशन दरम्यान. पुढे, नियम फाइलचा मार्ग निर्दिष्ट केला जातो (सहसा .yara किंवा .yar विस्तारासह), जो सामान्यतः बॅकअप सोल्यूशनसाठी विशिष्ट कॉन्फिगरेशन फोल्डरमध्ये संग्रहित केला जातो."

अंमलबजावणी दरम्यान, इंजिन प्रतीमध्ये असलेल्या वस्तूंमधून पुनरावृत्ती करते, नियम लागू करते आणि ते सर्व जुळण्या एका विशिष्ट YARA विश्लेषण लॉगमध्ये रेकॉर्ड करते.प्रशासक कन्सोलवरून हे लॉग पाहू शकतो, आकडेवारी पाहू शकतो, कोणत्या फायलींनी अलर्ट ट्रिगर केला ते पाहू शकतो आणि प्रत्येक जुळणी कोणत्या मशीनशी आणि विशिष्ट तारखेशी जुळते ते देखील शोधू शकतो.

हे एकत्रीकरण इतर यंत्रणांद्वारे पूरक आहे जसे की विसंगती शोधणे, बॅकअप आकाराचे निरीक्षण करणे, विशिष्ट आयओसी शोधणे किंवा संशयास्पद साधनांचे विश्लेषण करणेपरंतु जेव्हा विशिष्ट रॅन्समवेअर कुटुंब किंवा मोहिमेसाठी तयार केलेल्या नियमांचा विचार केला जातो, तेव्हा त्या शोधाचे शुद्धीकरण करण्यासाठी YARA हे सर्वोत्तम साधन आहे.

तुमचे नेटवर्क न मोडता YARA नियमांची चाचणी आणि पडताळणी कशी करावी

एकदा तुम्ही तुमचे स्वतःचे नियम लिहायला सुरुवात केली की, पुढचे महत्त्वाचे पाऊल म्हणजे त्यांची पूर्णपणे चाचणी घेणे. अति आक्रमक नियम खोट्या सकारात्मक गोष्टींचा पूर निर्माण करू शकतो, तर अति हलगर्जीपणामुळे खऱ्या धोक्यांना हाताबाहेर जाऊ शकते.म्हणूनच चाचणीचा टप्पा लेखनाच्या टप्प्याइतकाच महत्त्वाचा आहे.

चांगली बातमी अशी आहे की हे करण्यासाठी तुम्हाला कार्यरत मालवेअरने भरलेली लॅब सेट करण्याची आणि अर्ध्या नेटवर्कला संक्रमित करण्याची आवश्यकता नाही. ही माहिती देणारे रिपॉझिटरीज आणि डेटासेट आधीच अस्तित्वात आहेत. संशोधनाच्या उद्देशाने ज्ञात आणि नियंत्रित मालवेअर नमुनेतुम्ही ते नमुने एका वेगळ्या वातावरणात डाउनलोड करू शकता आणि तुमच्या नियमांसाठी टेस्टबेड म्हणून वापरू शकता.

संशयास्पद फाइल्स असलेल्या डायरेक्टरीविरुद्ध, कमांड लाइनवरून, स्थानिक पातळीवर YARA चालवून सुरुवात करणे हा नेहमीचा दृष्टिकोन आहे. जर तुमचे नियम जिथे असायला हवे तिथे जुळत असतील आणि स्वच्छ फायलींमध्ये ते क्वचितच मोडत असतील, तर तुम्ही योग्य मार्गावर आहात.जर ते खूप जास्त ट्रिगर करत असतील, तर स्ट्रिंग्जचा आढावा घेण्याची, परिस्थिती सुधारण्याची किंवा अतिरिक्त निर्बंध (आकार, आयात, ऑफसेट्स इ.) लागू करण्याची वेळ आली आहे.

आणखी एक महत्त्वाचा मुद्दा म्हणजे तुमचे नियम कामगिरीशी तडजोड करत नाहीत याची खात्री करणे. मोठ्या डायरेक्टरीज, पूर्ण बॅकअप किंवा मोठ्या प्रमाणात नमुना संग्रह स्कॅन करताना, खराब ऑप्टिमाइझ केलेले नियम विश्लेषण मंदावू शकतात किंवा इच्छितेपेक्षा जास्त संसाधने वापरू शकतात.म्हणून, वेळेचे मोजमाप करणे, गुंतागुंतीचे अभिव्यक्ती सोपे करणे आणि जास्त जड रेजेक्स टाळणे उचित आहे.

त्या प्रयोगशाळेच्या चाचणी टप्प्यातून गेल्यानंतर, तुम्ही सक्षम व्हाल उत्पादन वातावरणात नियमांचा प्रचार करामग ते तुमच्या SIEM मध्ये असो, तुमच्या बॅकअप सिस्टीममध्ये असो, ईमेल सर्व्हरमध्ये असो किंवा तुम्हाला ते कुठेही एकत्रित करायचे असतील. आणि सतत पुनरावलोकन चक्र राखायला विसरू नका: मोहिमा विकसित होत असताना, तुमच्या नियमांमध्ये वेळोवेळी समायोजनांची आवश्यकता असेल.

YARA सोबत साधने, कार्यक्रम आणि कार्यप्रवाह

अधिकृत बायनरी पलीकडे, अनेक व्यावसायिकांनी YARA चा दैनंदिन वापर सुलभ करण्यासाठी त्याच्या आसपास छोटे कार्यक्रम आणि स्क्रिप्ट विकसित केले आहेत. एक सामान्य दृष्टिकोन म्हणजे यासाठी अर्ज तयार करणे तुमचे स्वतःचे सुरक्षा किट तयार करा जे फोल्डरमधील सर्व नियम आपोआप वाचते आणि ते विश्लेषण निर्देशिकेत लागू करते..

या प्रकारची घरगुती साधने सहसा साध्या निर्देशिकेच्या रचनेसह कार्य करतात: साठी एक फोल्डर इंटरनेटवरून डाउनलोड केलेले नियम (उदाहरणार्थ, “rulesyar”) आणि त्यासाठी दुसरे फोल्डर संशयास्पद फायलींचे विश्लेषण केले जाईल (उदाहरणार्थ, "मालवेअर"). जेव्हा प्रोग्राम सुरू होतो, तेव्हा तो दोन्ही फोल्डर्स अस्तित्वात आहेत का ते तपासतो, स्क्रीनवर नियमांची यादी करतो आणि अंमलबजावणीची तयारी करतो.

जेव्हा तुम्ही "" सारखे बटण दाबतातपासणी सुरू करात्यानंतर अॅप्लिकेशन इच्छित पॅरामीटर्ससह YARA एक्झिक्युटेबल लाँच करते: फोल्डरमधील सर्व फाइल्स स्कॅन करणे, सबडिरेक्टरीजचे रिकर्सिव्ह विश्लेषण, आकडेवारी आउटपुट करणे, मेटाडेटा प्रिंट करणे इ. कोणतेही जुळणारे निकाल विंडोमध्ये प्रदर्शित केले जातात, जे दर्शवितात की कोणती फाइल कोणत्या नियमाशी जुळली.

हे वर्कफ्लो, उदाहरणार्थ, निर्यात केलेल्या ईमेलच्या बॅचमधील समस्या शोधण्याची परवानगी देते. दुर्भावनापूर्ण एम्बेड केलेल्या प्रतिमा, धोकादायक संलग्नके किंवा निरुपद्रवी वाटणाऱ्या फायलींमध्ये लपलेले वेबशेलकॉर्पोरेट वातावरणात अनेक फॉरेन्सिक तपास या प्रकारच्या यंत्रणेवर अवलंबून असतात.

YARA वापरताना सर्वात उपयुक्त पॅरामीटर्सबद्दल, खालील पर्याय वेगळे दिसतात: -r म्हणजे रिकर्सिव्हली सर्च करणे, -S म्हणजे स्टॅटिस्टिक्स दाखवणे, -m म्हणजे मेटाडेटा काढणे आणि -w म्हणजे इशारे दुर्लक्ष करणे.हे ध्वज एकत्र करून तुम्ही तुमच्या केसनुसार वर्तन समायोजित करू शकता: विशिष्ट निर्देशिकेतील जलद विश्लेषणापासून ते जटिल फोल्डर संरचनेचे संपूर्ण स्कॅनपर्यंत.

YARA नियम लिहिताना आणि त्यांचे पालन करताना सर्वोत्तम पद्धती

तुमच्या नियमांच्या भांडारात अनियंत्रित गोंधळ होण्यापासून रोखण्यासाठी, सर्वोत्तम पद्धतींची मालिका लागू करणे उचित आहे. पहिले म्हणजे सुसंगत टेम्पलेट्स आणि नामकरण पद्धतींसह काम करणे.जेणेकरून कोणताही विश्लेषक प्रत्येक नियम काय करतो हे एका दृष्टीक्षेपात समजू शकेल.

अनेक संघ एक मानक स्वरूप स्वीकारतात ज्यामध्ये समाविष्ट आहे मेटाडेटा असलेले हेडर, धोक्याचा प्रकार, अभिनेता किंवा प्लॅटफॉर्म दर्शविणारे टॅग आणि काय शोधले जात आहे याचे स्पष्ट वर्णनहे केवळ अंतर्गतच नाही तर जेव्हा तुम्ही समुदायासोबत नियम शेअर करता किंवा सार्वजनिक भांडारांमध्ये योगदान देता तेव्हा देखील मदत करते.

दुसरी शिफारस म्हणजे नेहमी लक्षात ठेवा की YARA हा बचावाचा आणखी एक थर आहे.ते अँटीव्हायरस सॉफ्टवेअर किंवा EDR ची जागा घेत नाही, तर त्याऐवजी त्यांना धोरणांमध्ये पूरक बनवते तुमचा विंडोज पीसी सुरक्षित कराआदर्शपणे, YARA ने NIST फ्रेमवर्क सारख्या व्यापक संदर्भ चौकटींमध्ये बसले पाहिजे, जे मालमत्ता ओळख, संरक्षण, शोध, प्रतिसाद आणि पुनर्प्राप्ती देखील संबोधित करते.

तांत्रिक दृष्टिकोनातून, यासाठी वेळ देणे योग्य आहे खोटे सकारात्मक टाळायामध्ये अति सामान्य स्ट्रिंग टाळणे, अनेक अटी एकत्र करणे आणि ऑपरेटर वापरणे समाविष्ट आहे जसे की सर्व o कोणत्याही तुमच्या डोक्याचा वापर करा आणि फाईलच्या स्ट्रक्चरल गुणधर्मांचा फायदा घ्या. मालवेअरच्या वर्तनाभोवतीचे तर्क जितके अधिक विशिष्ट असतील तितके चांगले.

शेवटी, शिस्त पाळावी आवृत्तीकरण आणि नियतकालिक पुनरावलोकन हे अत्यंत महत्त्वाचे आहे. मालवेअर कुटुंबे विकसित होतात, निर्देशक बदलतात आणि आज काम करणारे नियम कमी पडतात किंवा कालबाह्य होऊ शकतात. तुमच्या नियम संचाचे वेळोवेळी पुनरावलोकन करणे आणि ते सुधारणे हा सायबर सुरक्षेच्या मांजर-उंदीर खेळाचा एक भाग आहे.

YARA समुदाय आणि उपलब्ध संसाधने

YARA आतापर्यंत येण्याचे एक मुख्य कारण म्हणजे त्याच्या समुदायाची ताकद. जगभरातील संशोधक, सुरक्षा कंपन्या आणि प्रतिसाद पथके सतत नियम, उदाहरणे आणि कागदपत्रे सामायिक करतात.एक अतिशय समृद्ध परिसंस्था निर्माण करणे.

मुख्य संदर्भ मुद्दा म्हणजे गिटहबवरील YARA चा अधिकृत संग्रहतिथे तुम्हाला टूलच्या नवीनतम आवृत्त्या, सोर्स कोड आणि कागदपत्रांच्या लिंक्स मिळतील. तिथून तुम्ही प्रकल्पाच्या प्रगतीचे अनुसरण करू शकता, समस्या नोंदवू शकता किंवा तुम्हाला हवे असल्यास सुधारणांमध्ये योगदान देऊ शकता.

ReadTheDocs सारख्या प्लॅटफॉर्मवर उपलब्ध असलेले अधिकृत दस्तऐवजीकरण देते संपूर्ण वाक्यरचना मार्गदर्शक, उपलब्ध मॉड्यूल, नियम उदाहरणे आणि वापर संदर्भPE तपासणी, ELF, मेमरी नियम किंवा इतर साधनांसह एकत्रीकरण यासारख्या सर्वात प्रगत कार्यांचा फायदा घेण्यासाठी हे एक आवश्यक संसाधन आहे.

याव्यतिरिक्त, YARA नियम आणि स्वाक्षरींचे समुदाय भांडार आहेत जिथे जगभरातील विश्लेषक ते वापरण्यास तयार संग्रह किंवा तुमच्या गरजेनुसार अनुकूलित करता येणारे संग्रह प्रकाशित करतात.या रिपॉझिटरीजमध्ये सामान्यतः विशिष्ट मालवेअर कुटुंबांसाठी नियम, एक्सप्लॉयट किट्स, दुर्भावनापूर्णपणे वापरलेले पेनटेस्टिंग टूल्स, वेबशेल, क्रिप्टोमायनर्स आणि बरेच काही समाविष्ट असते.

समांतरपणे, अनेक उत्पादक आणि संशोधन गट ऑफर करतात YARA मध्ये विशिष्ट प्रशिक्षण, मूलभूत स्तरांपासून ते अतिशय प्रगत अभ्यासक्रमांपर्यंतया उपक्रमांमध्ये बहुतेकदा वास्तविक जगाच्या परिस्थितीवर आधारित व्हर्च्युअल लॅब आणि प्रत्यक्ष प्रयोगशाळा यांचा समावेश असतो. काही तर विशेषतः लक्ष्यित हल्ल्यांना बळी पडणाऱ्या ना-नफा संस्था किंवा संस्थांना मोफत दिले जातात.

या संपूर्ण परिसंस्थेचा अर्थ असा आहे की, थोड्याशा समर्पणाने, तुम्ही तुमचे पहिले मूलभूत नियम लिहिण्यापासून ते जटिल मोहिमांचा मागोवा घेण्यास आणि अभूतपूर्व धोके शोधण्यास सक्षम असलेले अत्याधुनिक सुइट्स विकसित करा.आणि, YARA ला पारंपारिक अँटीव्हायरस, सुरक्षित बॅकअप आणि धोक्याची माहिती एकत्र करून, तुम्ही इंटरनेटवर फिरणाऱ्या दुर्भावनापूर्ण घटकांसाठी गोष्टी खूपच कठीण बनवता.

वरील सर्व गोष्टींवरून, हे स्पष्ट होते की YARA ही केवळ एका साध्या कमांड-लाइन युटिलिटीपेक्षा खूपच जास्त आहे: ती एक की तुकडा कोणत्याही प्रगत मालवेअर शोध धोरणात, एक लवचिक साधन जे विश्लेषक म्हणून तुमच्या विचार करण्याच्या पद्धतीशी जुळवून घेते आणि सामान्य भाषा जे जगभरातील प्रयोगशाळा, SOC आणि संशोधन समुदायांना जोडते, प्रत्येक नवीन नियम वाढत्या अत्याधुनिक मोहिमांपासून संरक्षणाचा आणखी एक थर जोडण्यास अनुमती देते.