Cara menggunakan YARA untuk pengesanan perisian hasad lanjutan

¿Bagaimana untuk menggunakan YARA untuk pengesanan perisian hasad lanjutan? Apabila program antivirus tradisional mencapai hadnya dan penyerang menyelinap melalui setiap kemungkinan retakan, alat yang menjadi sangat diperlukan dalam makmal tindak balas insiden akan dimainkan: YARA, "pisau Switzerland" untuk memburu perisian hasadDireka bentuk untuk menerangkan keluarga perisian berniat jahat menggunakan corak teks dan binari, ia membolehkan lebih jauh daripada pemadanan cincang mudah.

Di tangan yang betul, YARA bukan hanya untuk mencari bukan sahaja sampel perisian hasad yang diketahui, tetapi juga varian baharu, eksploitasi sifar hari dan juga alat serangan komersialDalam artikel ini, kami akan meneroka secara mendalam dan praktikal cara menggunakan YARA untuk pengesanan perisian hasad lanjutan, cara menulis peraturan yang mantap, cara mengujinya, cara menyepadukannya ke dalam platform seperti Veeam atau aliran kerja analisis anda sendiri dan amalan terbaik yang diikuti oleh komuniti profesional.

Apakah YARA dan mengapa ia begitu berkuasa untuk mengesan perisian hasad?

YARA bermaksud "Yet Another Recursive Acronym" dan telah menjadi standard de facto dalam analisis ancaman kerana Ia membenarkan menerangkan keluarga perisian hasad menggunakan peraturan yang boleh dibaca, jelas dan sangat fleksibel.Daripada bergantung semata-mata pada tandatangan antivirus statik, YARA berfungsi dengan corak yang anda tentukan sendiri.

Idea asasnya mudah: peraturan YARA memeriksa fail (atau memori atau aliran data) dan menyemak sama ada satu siri syarat dipenuhi. keadaan berdasarkan rentetan teks, jujukan perenambelasan, ungkapan biasa atau sifat failJika syarat dipenuhi, terdapat "padanan" dan anda boleh memaklumkan, menyekat atau melakukan analisis yang lebih mendalam.

Pendekatan ini membolehkan pasukan keselamatan Kenal pasti dan klasifikasikan perisian hasad semua jenis: virus klasik, cecacing, Trojan, perisian tebusan, cangkerang web, pelombong kripto, makro berniat jahat dan banyak lagiIa tidak terhad kepada sambungan atau format fail tertentu, jadi ia juga mengesan boleh laku yang disamarkan dengan sambungan .pdf atau fail HTML yang mengandungi cangkerang web.

Tambahan pula, YARA telah pun disepadukan ke dalam banyak perkhidmatan dan alatan utama ekosistem keselamatan siber: VirusTotal, kotak pasir seperti Cuckoo, platform sandaran seperti Veeam atau penyelesaian memburu ancaman daripada pengeluar peringkat atasanOleh itu, menguasai YARA telah menjadi hampir satu keperluan untuk penganalisis dan penyelidik lanjutan.

Kes penggunaan lanjutan YARA dalam pengesanan perisian hasad

Salah satu kekuatan YARA ialah ia menyesuaikan diri seperti sarung tangan kepada berbilang senario keselamatan, daripada SOC kepada makmal perisian hasad. Peraturan yang sama digunakan untuk pemburuan sekali sahaja dan pemantauan berterusan..

Kes yang paling langsung melibatkan penciptaan peraturan khusus untuk perisian hasad atau seluruh keluarga tertentuJika organisasi anda diserang oleh kempen berdasarkan keluarga yang dikenali (contohnya, trojan akses jauh atau ancaman APT), anda boleh memprofilkan rentetan dan corak ciri serta menimbulkan peraturan yang mengenal pasti sampel baharu yang berkaitan dengan cepat.

Satu lagi kegunaan klasik ialah tumpuan YARA berdasarkan tandatanganPeraturan ini direka bentuk untuk mencari cincang, rentetan teks yang sangat khusus, coretan kod, kunci pendaftaran atau juga urutan bait tertentu yang diulang dalam berbilang varian perisian hasad yang sama. Walau bagaimanapun, perlu diingat bahawa jika anda hanya mencari rentetan remeh, anda berisiko menghasilkan positif palsu.

YARA juga bersinar apabila ia berkaitan dengan penapisan jenis fail atau ciri strukturAnda boleh membuat peraturan yang digunakan untuk boleh laku PE, dokumen pejabat, PDF atau hampir sebarang format, dengan menggabungkan rentetan dengan sifat seperti saiz fail, pengepala khusus (cth., 0x5A4D untuk boleh laku PE) atau import fungsi yang mencurigakan.

Dalam persekitaran moden, penggunaannya dikaitkan dengan inteligencia de amenazasRepositori awam, laporan penyelidikan dan suapan IOC diterjemahkan ke dalam peraturan YARA yang disepadukan ke dalam SIEM, EDR, platform sandaran atau kotak pasir. Ini membolehkan organisasi untuk cepat mengesan ancaman yang muncul yang berkongsi ciri dengan kempen yang telah dianalisis.

Memahami sintaks peraturan YARA

Sintaks YARA agak serupa dengan C, tetapi dengan cara yang lebih mudah dan lebih fokus. Setiap peraturan terdiri daripada nama, bahagian metadata pilihan, bahagian rentetan dan, semestinya, bahagian syarat.Mulai sekarang, kuasa terletak pada cara anda menggabungkan semua itu.

Lo primero es el nama peraturanIa perlu pergi betul-betul selepas kata kunci rule (o regla Jika anda mendokumentasikan dalam bahasa Sepanyol, walaupun kata kunci dalam fail adalah ruledan mestilah pengecam yang sah: tiada ruang, tiada nombor dan tiada garis bawah. Adalah idea yang baik untuk mengikuti konvensyen yang jelas, contohnya sesuatu seperti Malware_Family_Variant o APT_Actor_Alat, yang membolehkan anda mengenal pasti sepintas lalu perkara yang ingin dikesan.

Seterusnya datang bahagian stringsdi mana anda menentukan corak yang anda ingin cari. Di sini anda boleh menggunakan tiga jenis utama: rentetan teks, jujukan perenambelasan dan ungkapan biasaRentetan teks sesuai untuk coretan kod yang boleh dibaca manusia, URL, mesej dalaman, nama laluan atau PDB. Perenambelasan membolehkan anda menangkap corak bait mentah, yang sangat berguna apabila kod itu dikelirukan tetapi mengekalkan jujukan tetap tertentu.

Ungkapan biasa memberikan fleksibiliti apabila anda perlu merangkumi variasi kecil dalam rentetan, seperti menukar domain atau bahagian kod yang diubah sedikit. Tambahan pula, kedua-dua rentetan dan regex membenarkan escape untuk mewakili bait sewenang-wenangnya, yang membuka pintu kepada corak hibrid yang sangat tepat.

La sección condition Ia adalah satu-satunya yang wajib dan mentakrifkan apabila peraturan dianggap "memadankan" fail. Di sana anda menggunakan operasi Boolean dan aritmetik (dan, atau, bukan, +, -, *, /, mana-mana, semua, mengandungi, dsb.) untuk menyatakan logik pengesanan yang lebih halus daripada "jika rentetan ini muncul".

Sebagai contoh, anda boleh menentukan bahawa peraturan itu sah hanya jika fail lebih kecil daripada saiz tertentu, jika semua rentetan kritikal muncul atau jika sekurang-kurangnya satu daripada beberapa rentetan hadir. Anda juga boleh menggabungkan syarat seperti panjang rentetan, bilangan padanan, offset khusus dalam fail atau saiz fail itu sendiri.Kreativiti di sini membuat perbezaan antara peraturan generik dan pengesanan pembedahan.

Akhirnya, anda mempunyai bahagian pilihan metaSesuai untuk mendokumentasikan tempoh. Ia adalah perkara biasa untuk dimasukkan pengarang, tarikh penciptaan, penerangan, versi dalaman, rujukan kepada laporan atau tiket dan, secara amnya, sebarang maklumat yang membantu memastikan repositori teratur dan mudah difahami oleh penganalisis lain.

Contoh praktikal peraturan YARA lanjutan

Untuk meletakkan semua perkara di atas dalam perspektif, adalah berguna untuk melihat cara peraturan mudah distrukturkan dan cara ia menjadi lebih kompleks apabila fail boleh laku, import yang mencurigakan atau urutan arahan berulang mula dimainkan. Mari kita mulakan dengan pembaris mainan dan secara beransur-ansur meningkatkan saiz..

Peraturan minimum boleh mengandungi hanya rentetan dan syarat yang menjadikannya wajib. Sebagai contoh, anda boleh mencari rentetan teks tertentu atau wakil jujukan bait bagi serpihan perisian hasad. Syarat, dalam kes itu, hanya akan menyatakan bahawa peraturan dipenuhi jika rentetan atau corak itu muncul., tanpa penapisan lanjut.

Walau bagaimanapun, dalam tetapan dunia nyata ini tidak mencukupi, kerana Rantaian mudah sering menghasilkan banyak positif palsuItulah sebabnya adalah perkara biasa untuk menggabungkan beberapa rentetan (teks dan perenambelasan) dengan sekatan tambahan: bahawa fail tidak melebihi saiz tertentu, bahawa ia mengandungi pengepala tertentu atau bahawa ia hanya diaktifkan jika sekurang-kurangnya satu rentetan daripada setiap kumpulan yang ditentukan ditemui.

Contoh biasa dalam analisis boleh laku PE melibatkan pengimportan modul pe daripada YARA, yang membolehkan anda menanyakan sifat dalaman binari: fungsi yang diimport, bahagian, cap masa, dsb. Peraturan lanjutan mungkin memerlukan fail untuk diimport CreateProcess desde Kernel32.dll dan beberapa fungsi HTTP daripada wininet.dll, selain mengandungi rentetan khusus yang menunjukkan tingkah laku berniat jahat.

Logik jenis ini sesuai untuk mengesan Trojan dengan sambungan jauh atau keupayaan exfiltrationwalaupun apabila nama fail atau laluan bertukar daripada satu kempen ke kempen yang lain. Perkara penting ialah memberi tumpuan kepada tingkah laku asas: penciptaan proses, permintaan HTTP, penyulitan, ketekunan, dsb.

Satu lagi teknik yang sangat berkesan ialah melihat urutan arahan yang diulang antara sampel daripada keluarga yang sama. Walaupun penyerang membungkus atau mengaburkan binari, mereka sering menggunakan semula bahagian kod yang sukar diubah. Jika, selepas analisis statik, anda menemui blok arahan yang berterusan, anda boleh merumuskan peraturan dengan kad bebas dalam rentetan perenambelasan yang menangkap corak itu sambil mengekalkan toleransi tertentu.

Dengan peraturan "berasaskan tingkah laku kod" ini adalah mungkin jejaki keseluruhan kempen perisian hasad seperti PlugX/Koplug atau keluarga APT lainAnda bukan sahaja mengesan cincang tertentu, tetapi anda mengikuti gaya pembangunan, boleh dikatakan, penyerang.

Penggunaan YARA dalam kempen sebenar dan ancaman sifar hari

YARA telah membuktikan nilainya terutamanya dalam bidang ancaman lanjutan dan eksploitasi sifar hari, di mana mekanisme perlindungan klasik tiba terlalu lewat. Contoh yang terkenal ialah penggunaan YARA untuk mencari eksploitasi dalam Silverlight daripada perisikan bocor yang minimum..

Dalam kes itu, daripada e-mel yang dicuri daripada syarikat khusus untuk pembangunan alat yang menyinggung perasaan, corak yang mencukupi telah disimpulkan untuk membina peraturan yang berorientasikan kepada eksploitasi tertentu. Dengan peraturan tunggal itu, para penyelidik dapat mengesan sampel melalui lautan fail yang mencurigakan.Kenal pasti eksploitasi dan paksa penampalannya, mengelakkan kerosakan yang lebih serius.

Jenis cerita ini menggambarkan bagaimana YARA boleh berfungsi sebagai jaring ikan di lautan failBayangkan rangkaian korporat anda sebagai lautan yang penuh dengan "ikan" (fail) dari semua jenis. Peraturan anda adalah seperti petak dalam pukat tunda: setiap petak menyimpan ikan yang sesuai dengan ciri-ciri tertentu.

Apabila anda menyelesaikan seretan, anda telah sampel dikumpulkan mengikut persamaan dengan keluarga atau kumpulan penyerang tertentu: “serupa dengan Spesies X”, “serupa dengan Spesies Y”, dll. Sesetengah sampel ini mungkin benar-benar baharu kepada anda (perduaan baharu, kempen baharu), tetapi ia sesuai dengan corak yang diketahui, yang mempercepatkan pengelasan dan tindak balas anda.

Untuk memanfaatkan YARA sepenuhnya dalam konteks ini, banyak organisasi bergabung latihan lanjutan, makmal praktikal dan persekitaran eksperimen terkawalTerdapat kursus yang sangat khusus yang didedikasikan secara eksklusif untuk seni menulis peraturan yang baik, selalunya berdasarkan kes sebenar pengintipan siber, di mana pelajar berlatih dengan sampel yang sahih dan belajar mencari "sesuatu" walaupun mereka tidak tahu dengan tepat apa yang mereka cari.

Integrasikan YARA ke dalam platform sandaran dan pemulihan

Satu kawasan yang sesuai dengan YARA dengan sempurna, dan yang selalunya tidak disedari, ialah perlindungan sandaran. Jika sandaran dijangkiti perisian hasad atau perisian tebusan, pemulihan boleh memulakan semula keseluruhan kempen.Itulah sebabnya sesetengah pengeluar telah memasukkan enjin YARA terus ke dalam penyelesaian mereka.

Platform sandaran generasi akan datang boleh dilancarkan Sesi analisis berasaskan peraturan YARA tentang titik pemulihanMatlamatnya adalah dua kali ganda: untuk mencari titik "bersih" terakhir sebelum kejadian dan untuk mengesan kandungan berniat jahat yang tersembunyi dalam fail yang mungkin tidak dicetuskan oleh semakan lain.

Dalam persekitaran ini, proses biasa melibatkan pemilihan pilihan "Imbas titik pemulihan dengan pembaris YARA"semasa konfigurasi kerja analisis. Seterusnya, laluan ke fail peraturan ditentukan (biasanya dengan sambungan .yara atau .yar), yang biasanya disimpan dalam folder konfigurasi khusus untuk penyelesaian sandaran."

Semasa pelaksanaan, enjin bergerak melalui objek yang terkandung dalam salinan, menggunakan peraturan, dan Ia merekodkan semua perlawanan dalam log analisis YARA tertentu.Pentadbir boleh melihat log ini daripada konsol, menyemak statistik, melihat fail yang mencetuskan amaran dan juga mengesan mesin dan tarikh tertentu yang sepadan dengan setiap perlawanan.

Penyepaduan ini dilengkapi dengan mekanisme lain seperti pengesanan anomali, pemantauan saiz sandaran, mencari IOC tertentu atau analisis alat yang mencurigakanTetapi apabila ia berkaitan dengan peraturan yang disesuaikan dengan keluarga atau kempen perisian tebusan tertentu, YARA ialah alat terbaik untuk memperhalusi carian tersebut.

Cara menguji dan mengesahkan peraturan YARA tanpa melanggar rangkaian anda

Sebaik sahaja anda mula menulis peraturan anda sendiri, langkah penting seterusnya ialah mengujinya dengan teliti. Peraturan yang terlalu agresif boleh menjana banyak positif palsu, manakala peraturan yang terlalu longgar boleh membiarkan ancaman sebenar terlepas.Itulah sebabnya fasa ujian sama pentingnya dengan fasa penulisan.

Berita baiknya ialah anda tidak perlu menyediakan makmal yang penuh dengan perisian hasad yang berfungsi dan menjangkiti separuh rangkaian untuk melakukan ini. Repositori dan set data sudah wujud yang menawarkan maklumat ini. sampel perisian hasad yang diketahui dan dikawal untuk tujuan penyelidikanAnda boleh memuat turun sampel tersebut ke dalam persekitaran terpencil dan menggunakannya sebagai tempat ujian untuk peraturan anda.

Pendekatan biasa ialah bermula dengan menjalankan YARA secara tempatan, dari baris arahan, terhadap direktori yang mengandungi fail yang mencurigakan. Jika peraturan anda sepadan dengan yang sepatutnya dan hampir tidak memecahkan fail bersih, anda berada di landasan yang betul.Jika ia mencetuskan terlalu banyak, sudah tiba masanya untuk menyemak rentetan, memperhalusi keadaan atau memperkenalkan sekatan tambahan (saiz, import, offset, dll.).

Satu lagi perkara penting ialah memastikan peraturan anda tidak menjejaskan prestasi. Apabila mengimbas direktori besar, sandaran penuh atau koleksi sampel besar-besaran, Peraturan yang tidak dioptimumkan dengan baik boleh melambatkan analisis atau menggunakan lebih banyak sumber daripada yang dikehendaki.Oleh itu, adalah dinasihatkan untuk mengukur pemasaan, memudahkan ungkapan rumit dan mengelakkan regex yang terlalu berat.

Selepas melalui fasa ujian makmal itu, anda akan dapat Mempromosikan peraturan kepada persekitaran pengeluaranSama ada dalam SIEM anda, sistem sandaran anda, pelayan e-mel atau di mana sahaja anda mahu menyepadukannya. Dan jangan lupa untuk mengekalkan kitaran semakan berterusan: apabila kempen berkembang, peraturan anda memerlukan pelarasan berkala.

Alat, program dan aliran kerja dengan YARA

Di luar binari rasmi, ramai profesional telah membangunkan program dan skrip kecil di sekitar YARA untuk memudahkan penggunaan hariannya. Pendekatan biasa melibatkan mencipta aplikasi untuk pasang kit keselamatan anda sendiri yang secara automatik membaca semua peraturan dalam folder dan menggunakannya pada direktori analisis.

Jenis alat buatan sendiri ini biasanya berfungsi dengan struktur direktori ringkas: satu folder untuk peraturan yang dimuat turun dari Internet (contohnya, “rulesyar”) dan folder lain untuk fail mencurigakan yang akan dianalisis (contohnya, "perisian hasad"). Apabila program bermula, ia menyemak sama ada kedua-dua folder wujud, menyenaraikan peraturan pada skrin dan bersedia untuk pelaksanaan.

Apabila anda menekan butang seperti “Mula semakAplikasi kemudian melancarkan YARA boleh laku dengan parameter yang diingini: mengimbas semua fail dalam folder, analisis rekursif subdirektori, statistik pengeluaran, metadata pencetakan, dsb. Sebarang padanan dipaparkan dalam tetingkap keputusan, menunjukkan fail yang sepadan dengan peraturan mana.

Aliran kerja ini membenarkan, sebagai contoh, pengesanan isu dalam kumpulan e-mel yang dieksport. imej terbenam berniat jahat, lampiran berbahaya atau kulit web yang tersembunyi dalam fail yang kelihatan tidak berbahayaBanyak penyiasatan forensik dalam persekitaran korporat bergantung tepat pada mekanisme jenis ini.

Mengenai parameter yang paling berguna apabila menggunakan YARA, pilihan seperti berikut menonjol: -r untuk mencari secara rekursif, -S untuk memaparkan statistik, -m untuk mengekstrak metadata, dan -w untuk mengabaikan amaranDengan menggabungkan bendera ini, anda boleh melaraskan gelagat kepada kes anda: daripada analisis pantas dalam direktori khusus kepada imbasan lengkap struktur folder yang kompleks.

Amalan terbaik semasa menulis dan mengekalkan peraturan YARA

Untuk mengelakkan repositori peraturan anda daripada menjadi kucar-kacir yang tidak terurus, anda dinasihatkan untuk menggunakan satu siri amalan terbaik. Yang pertama ialah bekerja dengan templat yang konsisten dan konvensyen penamaansupaya mana-mana penganalisis boleh memahami sepintas lalu apa yang dilakukan oleh setiap peraturan.

Banyak pasukan menggunakan format standard yang merangkumi pengepala dengan metadata, teg yang menunjukkan jenis ancaman, pelakon atau platform dan penerangan yang jelas tentang perkara yang dikesanIni membantu bukan sahaja secara dalaman, tetapi juga apabila anda berkongsi peraturan dengan komuniti atau menyumbang kepada repositori awam.

Cadangan lain adalah untuk sentiasa ingat itu YARA hanyalah satu lagi lapisan pertahananIa tidak menggantikan perisian antivirus atau EDR, sebaliknya melengkapkannya dalam strategi untuk Lindungi PC Windows andaSebaik-baiknya, YARA harus dimuatkan dalam rangka kerja rujukan yang lebih luas, seperti rangka kerja NIST, yang juga menangani pengenalpastian aset, perlindungan, pengesanan, tindak balas dan pemulihan.

Dari sudut pandangan teknikal, adalah wajar untuk meluangkan masa evitar falsos positivosIni melibatkan mengelakkan rentetan yang terlalu generik, menggabungkan beberapa syarat dan menggunakan operator seperti all of o any of Gunakan kepala anda dan manfaatkan sifat struktur fail. Lebih spesifik logik yang mengelilingi tingkah laku perisian hasad, lebih baik.

Akhir sekali, kekalkan disiplin versi dan semakan berkala Ia amat penting. Keluarga perisian hasad berkembang, penunjuk berubah dan peraturan yang berfungsi hari ini mungkin gagal atau menjadi usang. Menyemak dan memperhalusi peraturan anda yang ditetapkan secara berkala adalah sebahagian daripada permainan kucing-dan-tikus keselamatan siber.

Komuniti YARA dan sumber yang ada

Salah satu sebab utama YARA datang sejauh ini ialah kekuatan komunitinya. Penyelidik, firma keselamatan dan pasukan tindak balas dari seluruh dunia sentiasa berkongsi peraturan, contoh dan dokumentasi.mewujudkan ekosistem yang sangat kaya.

Titik rujukan utama ialah Repositori rasmi YARA di GitHubDi sana anda akan menemui versi terkini alat, kod sumber dan pautan ke dokumentasi. Dari situ anda boleh mengikuti kemajuan projek, melaporkan isu atau menyumbangkan penambahbaikan jika anda mahu.

Dokumentasi rasmi, tersedia pada platform seperti ReadTheDocs, menawarkan panduan sintaks yang lengkap, modul yang tersedia, contoh peraturan dan rujukan penggunaanIa merupakan sumber penting untuk memanfaatkan fungsi paling maju, seperti pemeriksaan PE, ELF, peraturan ingatan atau penyepaduan dengan alatan lain.

Selain itu, terdapat repositori komuniti peraturan dan tandatangan YARA di mana penganalisis dari seluruh dunia Mereka menerbitkan koleksi sedia untuk digunakan atau koleksi yang boleh disesuaikan dengan keperluan anda.Repositori ini biasanya termasuk peraturan untuk keluarga perisian hasad tertentu, kit eksploitasi, alat pentesting yang digunakan secara berniat jahat, cangkerang web, pelombong kripto dan banyak lagi.

Secara selari, banyak pengeluar dan kumpulan penyelidikan menawarkan Latihan khusus di YARA, dari peringkat asas kepada kursus yang sangat majuInisiatif ini selalunya termasuk makmal maya dan latihan praktikal berdasarkan senario dunia sebenar. Malah ada yang ditawarkan secara percuma kepada organisasi atau entiti bukan untung terutamanya yang terdedah kepada serangan yang disasarkan.

Keseluruhan ekosistem ini bermakna, dengan sedikit dedikasi, anda boleh pergi daripada menulis peraturan asas pertama anda kepada membangunkan suite canggih yang mampu menjejaki kempen yang kompleks dan mengesan ancaman yang tidak pernah berlaku sebelum iniDan, dengan menggabungkan YARA dengan antivirus tradisional, sandaran selamat dan risikan ancaman, anda menjadikan perkara lebih sukar bagi pelakon berniat jahat yang merayau di Internet.

Dengan semua perkara di atas, jelas bahawa YARA adalah lebih daripada utiliti baris perintah yang mudah: ia adalah a pieza clave dalam mana-mana strategi pengesanan perisian hasad lanjutan, alat fleksibel yang menyesuaikan diri dengan cara pemikiran anda sebagai penganalisis dan a Bahasa biasa yang menghubungkan makmal, SOC dan komuniti penyelidikan di seluruh dunia, membenarkan setiap peraturan baharu menambah satu lagi lapisan perlindungan terhadap kempen yang semakin canggih.