အဆင့်မြင့်မဲလ်ဝဲရှာဖွေတွေ့ရှိမှုအတွက် YARA ကိုအသုံးပြုနည်း

¿အဆင့်မြင့် မဲလ်ဝဲရှာဖွေတွေ့ရှိမှုအတွက် YARA ကို ဘယ်လိုအသုံးပြုမလဲ။ သမားရိုးကျ ဗိုင်းရပ်စ်နှိမ်နင်းရေး ပရိုဂရမ်များသည် ၎င်းတို့၏ ကန့်သတ်ချက်များသို့ ရောက်ရှိပြီး တိုက်ခိုက်သူများသည် ဖြစ်နိုင်သည့် အက်ကွဲတိုင်းကို ဖြတ်ကျော်သွားသည့်အခါ၊ အဖြစ်အပျက်တုံ့ပြန်မှု ဓာတ်ခွဲခန်းများတွင် မရှိမဖြစ်လိုအပ်သည့် ကိရိယာတစ်ခု စတင်ကစားလာသည်- YARA၊ malware အမဲလိုက်ရန်အတွက် "ဆွဇ်ဓား"စာသားနှင့် binary ပုံစံများကို အသုံးပြု၍ အန္တရာယ်ရှိသောဆော့ဖ်ဝဲများ၏ မိသားစုများကို ဖော်ပြရန် ဒီဇိုင်းထုတ်ထားသောကြောင့် ၎င်းသည် ရိုးရှင်းသော hash matching ကိုကျော်လွန်သွားနိုင်သည်။

ညာဘက်လက်တွင် YARA သည် တည်နေရာအတွက်သာ မဟုတ်ပါ။ လူသိမများသော malware နမူနာများသာမက ဗားရှင်းအသစ်များ၊ သုည-ရက်သုံး အမြတ်ထုတ်မှုများနှင့် စီးပွားဖြစ် စော်ကားသည့် ကိရိယာများပင်ဤဆောင်းပါးတွင်၊ အဆင့်မြင့်မဲလ်ဝဲရှာဖွေတွေ့ရှိမှုအတွက် YARA ကိုအသုံးပြုပုံ၊ ခိုင်မာသောစည်းမျဉ်းများရေးသားနည်း၊ ၎င်းတို့ကိုစမ်းသပ်နည်း၊ Veeam သို့မဟုတ် သင့်ကိုယ်ပိုင်ခွဲခြမ်းစိတ်ဖြာမှုလုပ်ငန်းအသွားအလာကဲ့သို့ ပလပ်ဖောင်းများတွင် ပေါင်းစပ်နည်းနှင့် ပရော်ဖက်ရှင်နယ်အသိုင်းအဝန်းမှ အကောင်းဆုံးအလေ့အကျင့်များကို အောက်ပါအတိုင်း လုပ်ဆောင်သွားမည်ဖြစ်သည်။

YARA ဆိုတာ ဘာလဲ၊ ဘာကြောင့် malware ကို ဖော်ထုတ်ရာမှာ အစွမ်းထက်တာလဲ။

YARA သည် “Yet Another Recursive Acronym” ကို ကိုယ်စားပြုပြီး ခြိမ်းခြောက်မှုဆိုင်ရာ ခွဲခြမ်းစိတ်ဖြာမှုတွင် စံနှုန်းတစ်ခု ဖြစ်လာသောကြောင့်၊ ၎င်းသည် ဖတ်နိုင်သော၊ ရှင်းရှင်းလင်းလင်းနှင့် လိုက်လျောညီထွေရှိသော စည်းမျဉ်းများကို အသုံးပြု၍ malware မိသားစုများကို ဖော်ပြခွင့်ပြုသည်။static antivirus signature များကိုသာ အားကိုးနေမည့်အစား YARA သည် သင်ကိုယ်တိုင်သတ်မှတ်ထားသော ပုံစံများဖြင့် အလုပ်လုပ်ပါသည်။

အခြေခံအယူအဆမှာ ရိုးရှင်းသည်- YARA စည်းမျဉ်းသည် ဖိုင်တစ်ခု (သို့မဟုတ် မမ်မိုရီ သို့မဟုတ် ဒေတာစီးကြောင်း) ကို စစ်ဆေးပြီး အခြေအနေများစွာနှင့် ကိုက်ညီမှုရှိမရှိ စစ်ဆေးသည်။ စာသားလိုင်းများ၊ ဆဋ္ဌမဂဏန်းအတွဲများ၊ ပုံမှန်ဖော်ပြချက်များ သို့မဟုတ် ဖိုင်ဂုဏ်သတ္တိများအပေါ် အခြေခံသည့် အခြေအနေများအခြေအနေနှင့်ကိုက်ညီပါက "ကိုက်ညီမှု" ရှိပြီး သင်သတိပေးခြင်း၊ ပိတ်ဆို့ခြင်း သို့မဟုတ် ပိုမိုနက်ရှိုင်းသောခွဲခြမ်းစိတ်ဖြာမှုများကို လုပ်ဆောင်နိုင်ပါသည်။

ဒီချဉ်းကပ်မှုက လုံခြုံရေးအဖွဲ့တွေကို ခွင့်ပြုတယ်။ Malware အမျိုးအစားအားလုံးကို ခွဲခြားသတ်မှတ်ပါ- ဂန္ထဝင်ဗိုင်းရပ်စ်များ၊ ပိုးကောင်များ၊ Trojan၊ ransomware၊ webshells၊ cryptominers၊ အန္တရာယ်ရှိသော macro နှင့် အခြားများစွာသော အခြားအရာများ၎င်းသည် သီးခြားဖိုင်တိုးချဲ့မှုများ သို့မဟုတ် ဖော်မတ်များအတွက် အကန့်အသတ်မရှိ၊ ထို့ကြောင့် ၎င်းသည် .pdf တိုးချဲ့မှု သို့မဟုတ် webshell ပါရှိသော HTML ဖိုင်တစ်ခုဖြင့် အသွင်ယူလုပ်ဆောင်နိုင်သည့် အသွင်ယူလုပ်ဆောင်မှုကိုလည်း တွေ့ရှိနိုင်သည်။

ထို့အပြင် YARA သည် ဆိုက်ဘာလုံခြုံရေးဂေဟစနစ်၏ အဓိကဝန်ဆောင်မှုများနှင့် ကိရိယာများစွာတွင် ပေါင်းစပ်ထားပြီးဖြစ်သည်- VirusTotal၊ Cuckoo ကဲ့သို့သော သဲပုံးများ၊ Veeam ကဲ့သို့ အရန်ပလပ်ဖောင်းများ၊ သို့မဟုတ် ထိပ်တန်းထုတ်လုပ်သူများထံမှ ခြိမ်းခြောက်မှုအမဲလိုက်ခြင်းဖြေရှင်းချက်ထို့ကြောင့် YARA ကို ကျွမ်းကျင်ပိုင်နိုင်စွာ တတ်မြောက်မှုသည် အဆင့်မြင့် လေ့လာသုံးသပ်သူများနှင့် သုတေသီများအတွက် လိုအပ်ချက်တစ်ခု ဖြစ်လာသည်။

malware ရှာဖွေခြင်းတွင် YARA ၏ အဆင့်မြင့်အသုံးပြုမှုကိစ္စများ

YARA ၏ အားသာချက်များထဲမှတစ်ခုမှာ ၎င်းသည် SOC မှ malware ဓာတ်ခွဲခန်းသို့ လုံခြုံရေးအခြေအနေများစွာအတွက် လက်အိတ်တစ်ခုကဲ့သို့ လိုက်လျောညီထွေဖြစ်အောင် လုပ်ဆောင်ခြင်းဖြစ်သည်။ တူညီသော စည်းမျဉ်းများသည် တစ်ကြိမ်တည်း အမဲလိုက်ခြင်း နှင့် စဉ်ဆက်မပြတ် စောင့်ကြည့်ခြင်း နှစ်ခုလုံးအတွက် သက်ဆိုင်ပါသည်။.

ဖန်တီးမှုတွင် တိုက်ရိုက်အကျဆုံး ကိစ္စဖြစ်သည်။ အချို့သော malware သို့မဟုတ် မိသားစုတစ်ခုလုံးအတွက် သီးခြားစည်းမျဉ်းများအကယ်၍ သင့်အဖွဲ့အစည်းသည် လူသိများသောမိသားစု (ဥပမာ၊ အဝေးမှဝင်ရောက်သုံးနိုင်သော ထရိုဂျန် သို့မဟုတ် APT ခြိမ်းခြောက်မှုတစ်ခုအပေါ် အခြေခံ၍) ကမ်ပိန်းတစ်ခုမှ တိုက်ခိုက်ခြင်းခံရပါက၊ သင်သည် ဝိသေသစာကြောင်းများနှင့် ပုံစံများကို ပရိုဖိုင်းလုပ်ပြီး ဆက်စပ်နမူနာအသစ်များကို လျင်မြန်စွာသိရှိနိုင်စေမည့် စည်းမျဉ်းများကို မြှင့်တင်နိုင်ပါသည်။

အခြားဂန္ထဝင်အသုံးပြုမှု၏အာရုံစူးစိုက်မှုဖြစ်ပါတယ်။ လက်မှတ်များကို အခြေခံ၍ YARAဤစည်းမျဉ်းများသည် ဟက်ကာများ၊ အလွန်တိကျသော စာသားစာကြောင်းများ၊ ကုဒ်အတိုအထွာများ၊ မှတ်ပုံတင်ခြင်းသော့များ သို့မဟုတ် တူညီသော malware မျိုးကွဲများစွာတွင် ထပ်တလဲလဲဖြစ်နေသော သီးခြားဘိုက်အစီအစဥ်များကိုပင် ရှာဖွေရန် ဒီဇိုင်းရေးဆွဲထားသည်။ သို့သော် သင်သည် အသေးအဖွဲ စာလုံးများကိုသာ ရှာဖွေပါက၊ မှားယွင်းသော အပြုသဘောများ ဖန်တီးရန် အန္တရာယ်ရှိကြောင်း သတိရပါ။

စစ်ထုတ်ခြင်းနှင့်ပတ်သက်လာလျှင် YARA သည်လည်း တောက်ပနေပါသည်။ ဖိုင်အမျိုးအစားများ သို့မဟုတ် ဖွဲ့စည်းပုံဆိုင်ရာ လက္ခဏာများPE executable များ၊ ရုံးစာရွက်စာတမ်းများ၊ PDF များ သို့မဟုတ် ဖိုင်အရွယ်အစား၊ သတ်သတ်မှတ်မှတ်ခေါင်းစီးများ (ဥပမာ၊ PE လုပ်ဆောင်ချက်များအတွက် 0x5A4D) သို့မဟုတ် သံသယဖြစ်ဖွယ်လုပ်ဆောင်ချက်တင်သွင်းမှုများကဲ့သို့သော ဂုဏ်သတ္တိများနှင့် ပေါင်းစည်းခြင်းဖြင့် PE စီမံလုပ်ဆောင်နိုင်သော၊ ရုံးစာရွက်စာတမ်းများ၊ PDF သို့မဟုတ် မည်သည့်ဖော်မတ်အတွက်မဆို သက်ဆိုင်သည့် စည်းမျဉ်းများကို ဖန်တီးနိုင်သည်။

ခေတ်သစ်ပတ်ဝန်းကျင်တွင်၎င်း၏အသုံးပြုမှုနှင့်ဆက်စပ်နေသည်။ ခြိမ်းခြောက်ထောက်လှမ်းရေးအများသူငှာ သိုလှောင်ရာနေရာများ၊ သုတေသနအစီရင်ခံစာများနှင့် IOC ဖိဒ်များကို SIEM၊ EDR၊ အရန်ပလပ်ဖောင်းများ သို့မဟုတ် sandboxes များတွင် ပေါင်းစပ်ထားသည့် YARA စည်းမျဉ်းများအဖြစ် ဘာသာပြန်ဆိုထားပါသည်။ အဲဒါက အဖွဲ့အစည်းတွေကို ခွင့်ပြုတယ်။ ခွဲခြမ်းစိတ်ဖြာပြီးသော ကမ်ပိန်းများနှင့် လက္ခဏာများ မျှဝေသည့် ပေါ်ပေါက်လာသော ခြိမ်းခြောက်မှုများကို လျင်မြန်စွာ ရှာဖွေဖော်ထုတ်ပါ။.

YARA စည်းမျဉ်းများ၏ syntax ကိုနားလည်ခြင်း။

YARA ၏ syntax သည် C နှင့် အတော်လေးဆင်တူသော်လည်း ပိုမိုရိုးရှင်းပြီး ပိုမိုအာရုံစိုက်သည့်နည်းလမ်းဖြင့် လုပ်ဆောင်ပါသည်။ စည်းမျဉ်းတစ်ခုစီတွင် အမည်တစ်ခု၊ ရွေးချယ်နိုင်သော မက်တာဒေတာကဏ္ဍတစ်ခု၊ စာကြောင်းကဏ္ဍနှင့်၊ သေချာပေါက်၊ အခြေအနေကဏ္ဍတစ်ခု ပါဝင်ပါသည်။ဒီကနေစပြီး ပါဝါက အဲဒါတွေအားလုံးကို သင်ပေါင်းစပ်ပုံပေါ်မှာ တည်ပါတယ်။

ပထမတစ်ခုက စည်းကမ်းအမည်၎င်းသည် သော့ချက်စာလုံး၏နောက်တွင် ချက်ချင်းသွားရမည်ဖြစ်သည်။ အုပ်ချုပ် (o အုပ်စိုးသောမင်း စပိန်ဘာသာဖြင့် မှတ်တမ်းတင်ထားလျှင် ဖိုင်ရှိ သော့ချက်စာလုံး ဖြစ်လိမ့်မည်။ အုပ်ချုပ်မှန်ကန်သော identifier ဖြစ်ရမည်- နေရာလွတ်မရှိ၊ နံပါတ်မရှိ၊ နှင့် underscore မရှိပါ။ ဥပမာအားဖြင့် ရှင်းရှင်းလင်းလင်း စည်းဝေးကြီးတစ်ခုကို လိုက်နာဖို့ ကောင်းပါတယ်။ Malware_Family_Variant o APT_Actor_Tool၎င်းသည် မည်သည့်အရာကို ရှာဖွေရန် ရည်ရွယ်ထားသည်ကို တစ်ချက်ချင်း ခွဲခြားသိရှိနိုင်စေမည့်၊

နောက်အပိုင်းရောက်လာတယ်။ ညှို့သင်ရှာဖွေလိုသော ပုံစံများကို သတ်မှတ်သည့်နေရာတွင်။ ဤနေရာတွင် သင်သည် အဓိက အမျိုးအစားသုံးမျိုးကို အသုံးပြုနိုင်သည်။ စာသားလိုင်းများ၊ ဆဋ္ဌမကိန်းဂဏန်းများ နှင့် ပုံမှန်အသုံးအနှုန်းများစာသားကြိုးများသည် လူသားဖတ်နိုင်သော ကုဒ်အတိုအထွာများ၊ URL များ၊ အတွင်းစာများ၊ လမ်းကြောင်းအမည်များ သို့မဟုတ် PDB များအတွက် စံပြဖြစ်သည်။ Hexadecimals သည် သင့်အား ကုဒ်ကို ရှုပ်ထွေးစေသော်လည်း အချို့သော စဉ်ဆက်မပြတ် sequences များကို ထိန်းသိမ်းထားသည့်အခါ အလွန်အသုံးဝင်သော အကြမ်း byte ပုံစံများကို ဖမ်းယူနိုင်စေပါသည်။

ဒိုမိန်းများပြောင်းလဲခြင်း သို့မဟုတ် ကုဒ်၏အနည်းငယ်ပြောင်းလဲထားသော အစိတ်အပိုင်းများကဲ့သို့သော string တစ်ခုရှိ သေးငယ်သောပုံစံများကို ဖုံးအုပ်ရန် လိုအပ်သည့်အခါ ပုံမှန်အသုံးအနှုန်းများသည် ပျော့ပြောင်းမှုကို ပေးပါသည်။ ထို့အပြင်၊ strings နှင့် regex နှစ်ခုစလုံးသည် arbitrary bytes ကိုကိုယ်စားပြုရန် escapes ကိုခွင့်ပြုသည်။အလွန်တိကျသော ပေါင်းစပ်ပုံစံများဆီသို့ တံခါးဖွင့်ပေးသည်။

အပိုင်း အခွအေနေ ၎င်းသည် တစ်ခုတည်းသောမဖြစ်မနေတစ်ခုဖြစ်ပြီး ဖိုင်တစ်ခု "ကိုက်ညီ" ရန် စည်းမျဉ်းတစ်ခုကို သတ်မှတ်သောအခါတွင် သတ်မှတ်သည်။ ထိုနေရာတွင် သင်သည် Boolean နှင့် ဂဏန်းသင်္ချာ လုပ်ဆောင်ချက်များကို အသုံးပြုသည် (နှင့်၊ သို့မဟုတ်၊ မဟုတ်၊ +၊ -၊ *၊ /၊ မည်သည့်၊ အားလုံး၊ ပါ၀င်သည် စသဖြင့်။) ရိုးရှင်းသော "ဤစာကြောင်း ပေါ်လာလျှင်" ထက် ပိုမို ကောင်းမွန်သော ထောက်လှမ်းမှု ယုတ္တိကို ဖော်ပြရန်။

ဥပမာအားဖြင့်၊ ဖိုင်သည် သတ်မှတ်ထားသော အရွယ်အစားထက် သေးငယ်ပါက၊ အရေးကြီးသော စာကြောင်းများ ပေါ်လာပါက သို့မဟုတ် အနည်းဆုံး စာကြောင်းများစွာထဲမှ တစ်ခုရှိနေပါက စည်းမျဉ်းသည် မှန်ကန်ကြောင်း သင်သတ်မှတ်နိုင်ပါသည်။ စာကြောင်းအရှည်၊ ကိုက်ညီမှုအရေအတွက်၊ ဖိုင်ရှိ သီးခြားအော့ဖ်ဆက်များ သို့မဟုတ် ဖိုင်၏အရွယ်အစားကဲ့သို့သော အခြေအနေများကို ပေါင်းစပ်နိုင်သည်။ဤနေရာတွင် တီထွင်ဖန်တီးမှုသည် ယေဘူယျစည်းမျဉ်းများနှင့် ခွဲစိတ်မှုဆိုင်ရာ စစ်ဆေးမှုများကြား ခြားနားမှုကို ဖြစ်စေသည်။

နောက်ဆုံးတွင်၊ သင့်တွင်ရွေးချယ်နိုင်သောအပိုင်းရှိသည်။ metaအချိန်ကာလကို မှတ်တမ်းတင်ရန်အတွက် စံပြဖြစ်သည်။ ပါဝင်လေ့ရှိသည်။ စာရေးဆရာ၊ ဖန်တီးရက်စွဲ၊ ဖော်ပြချက်၊ အတွင်းပိုင်းဗားရှင်း၊ အစီရင်ခံစာများ သို့မဟုတ် လက်မှတ်များကို ကိုးကားပါ။ ယေဘုယျအားဖြင့်၊ အခြားလေ့လာသုံးသပ်သူများအတွက် repository ကို စနစ်တကျထားရှိစေပြီး နားလည်နိုင်စေမည့် မည်သည့်အချက်အလက်မဆို။

အဆင့်မြင့် YARA စည်းမျဉ်းများ၏ လက်တွေ့ဥပမာများ

အထက်ပါအရာအားလုံးကို ရှုမြင်သုံးသပ်ရန်၊ ရိုးရှင်းသောစည်းမျဉ်းကို မည်သို့ဖွဲ့စည်းပုံနှင့် executable files များ၊ သံသယဖြစ်ဖွယ်တင်သွင်းမှုများ သို့မဟုတ် ထပ်တလဲလဲ ညွှန်ကြားချက်များပါဝင်လာသောအခါတွင် ပိုမိုရှုပ်ထွေးလာသည်ကို ကြည့်ရှုရန် အထောက်အကူဖြစ်စေပါသည်။ အရုပ် ပေတံဖြင့် စပြီး အရွယ်အစားကို တဖြည်းဖြည်း တိုးကြပါစို့။.

အနည်းဆုံး စည်းမျဉ်းတစ်ခုတွင် ၎င်းကို မဖြစ်မနေပြုလုပ်ပေးသည့် string တစ်ခုနှင့် အခြေအနေတစ်ခုသာ ပါဝင်နိုင်သည်။ ဥပမာအားဖြင့်၊ သင်သည် မဲလ်ဝဲအပိုင်းအစတစ်ခု၏ ဘိုက်အစီအစဥ်ကို ကိုယ်စားပြုသည့် စာသားစာကြောင်းတစ်ခုကို ရှာဖွေနိုင်သည်။ အခြေအနေ၊ ထိုအခြေအနေမျိုးတွင်၊ ထိုစာကြောင်း သို့မဟုတ် ပုံစံပေါ်လာပါက စည်းကမ်းနှင့်ကိုက်ညီကြောင်း ရိုးရိုးရှင်းရှင်းဖော်ပြပါမည်။နောက်ထပ် စစ်ထုတ်မှုများ မပါဘဲ၊

သို့သော်၊ လက်တွေ့ကမ္ဘာအခြေအနေများတွင် ယင်းသည် တိုတောင်းသောကြောင့်ဖြစ်သည်။ ရိုးရှင်းသောကြိုးများသည် မှားယွင်းသောအပြုသဘောများစွာကို ထုတ်ပေးလေ့ရှိသည်။ထို့ကြောင့် လိုင်းအများအပြား (စာသားနှင့် ဆဋ္ဌမကိန်းဂဏန်းများ) ကို အပိုကန့်သတ်ချက်များဖြင့် ပေါင်းစပ်ခြင်းသည် သာမာန်အရွယ်အစားဖြစ်သည်- ဖိုင်တွင် သတ်မှတ်ထားသော အရွယ်အစားထက် မကျော်လွန်ပါက၊ သတ်သတ်မှတ်မှတ် ခေါင်းစီးများပါရှိသည် သို့မဟုတ် သတ်မှတ်ထားသော အုပ်စုတစ်ခုစီမှ အနည်းဆုံး စာကြောင်းတစ်ကြောင်းကို တွေ့ရှိပါက ၎င်းကို အသက်ဝင်စေပါသည်။

PE အကောင်အထည်ဖော်နိုင်သော ခွဲခြမ်းစိတ်ဖြာမှုတွင် ပုံမှန်ဥပမာတစ်ခုသည် မော်ဂျူးကို တင်သွင်းခြင်း ပါဝင်သည်။ pe YARA မှ၊ binary ၏ အတွင်းဂုဏ်သတ္တိများကို မေးမြန်းနိုင်သည်- တင်သွင်းထားသော လုပ်ဆောင်ချက်များ၊ အပိုင်းများ၊ အချိန်တံဆိပ်တုံးများ စသဖြင့်။ အဆင့်မြင့်စည်းမျဉ်းတစ်ခုသည် ဖိုင်ကို တင်သွင်းရန် လိုအပ်နိုင်သည်။ ဖန်တီးမှုလုပ်ငန်းစဉ် မှ Kernel32.dll နှင့် HTTP လုပ်ဆောင်ချက်အချို့ wininet.dllအန္တရာယ်ရှိသောအပြုအမူကို ညွှန်ပြသော သတ်သတ်မှတ်မှတ်စာတန်းတစ်ခုပါ၀င်သည့်အပြင်၊

ဤယုတ္တိဗေဒအမျိုးအစားသည် တည်နေရာရှာဖွေရန် ပြီးပြည့်စုံသည်။ အဝေးမှချိတ်ဆက်မှု သို့မဟုတ် ထုတ်ယူခြင်းစွမ်းရည်ပါရှိသော ထရိုဂျန်များဖိုင်အမည်များ သို့မဟုတ် လမ်းကြောင်းများသည် ကမ်ပိန်းတစ်ခုမှ အခြားတစ်ခုသို့ ပြောင်းလဲသွားသည့်တိုင်။ အရေးကြီးသည်မှာ အရင်းခံအမူအကျင့်များ- လုပ်ငန်းစဉ်ဖန်တီးမှု၊ HTTP တောင်းဆိုမှုများ၊ ကုဒ်ဝှက်မှု၊ စွဲမြဲမှုစသည်ဖြင့် အာရုံစိုက်ရန်ဖြစ်သည်။

နောက်ထပ်အလွန်ထိရောက်သောနည်းလမ်းမှာ ပုံကိုကြည့်ရန်ဖြစ်သည်။ ထပ်ခါတလဲလဲပြုလုပ်သော ညွှန်ကြားချက်များ အဆင့်ဆင့် တူညီသောမိသားစုမှနမူနာများအကြား။ တိုက်ခိုက်သူများသည် binary ကို ထုပ်ပိုးခြင်း သို့မဟုတ် ရှုပ်ယှက်ခတ်နေလျှင်ပင် ၎င်းတို့သည် ပြောင်းလဲရန်ခက်ခဲသော ကုဒ်အစိတ်အပိုင်းများကို ပြန်လည်အသုံးပြုလေ့ရှိသည်။ တည်ငြိမ်သော ခွဲခြမ်းစိတ်ဖြာပြီးနောက်၊ သင်သည် အဆက်မပြတ် ညွှန်ကြားချက်တုံးများကို ရှာတွေ့ပါက၊ စည်းမျဉ်းတစ်ခု ရေးဆွဲနိုင်သည်။ ဆဋ္ဌမကိန်းဂဏန်းများအတွင်း သင်္ကေတများ ၎င်းသည် အချို့သော သည်းခံမှုကို ထိန်းသိမ်းထားစဉ် ထိုပုံစံကို ဖမ်းယူသည်။

ဤ “ကုဒ်အမူအကျင့်အခြေခံ” စည်းမျဉ်းများဖြင့် ၎င်းသည် ဖြစ်နိုင်သည်။ PlugX/Korplug သို့မဟုတ် အခြားသော APT မိသားစုများကဲ့သို့ မဲလ်ဝဲလှုံ့ဆော်မှု အားလုံးကို ခြေရာခံပါ။သင်သည် သီးခြား hash တစ်ခုကို ထောက်လှမ်းရုံသာမက၊ တိုက်ခိုက်သူများ၏ ဖွံ့ဖြိုးတိုးတက်မှုပုံစံကို လိုက်၍ လိုက်နေပါသည်။

အစစ်အမှန် ကမ်ပိန်းများနှင့် လုံးဝနေ့ ခြိမ်းခြောက်မှုများတွင် YARA ကို အသုံးပြုခြင်း။

YARA သည် အထူးသဖြင့် ခေတ်မီသော ခြိမ်းခြောက်မှုများနှင့် လုံးဝဥဿုံ အမြတ်ထုတ်ခြင်းနယ်ပယ်တွင် ၎င်း၏တန်ဖိုးကို သက်သေပြခဲ့ပြီး၊ ဂန္ထဝင်ကာကွယ်မှုယန္တရားများသည် နောက်ကျလွန်းသဖြင့် ရောက်ရှိလာပါသည်။ လူသိများသော ဥပမာတစ်ခုသည် အနည်းငယ်မျှသာ ပေါက်ကြားနေသည့် ထောက်လှမ်းရေးမှ Silverlight တွင် အမြတ်ထုတ်မှုကို ရှာဖွေရန် YARA ကို အသုံးပြုခြင်း ဖြစ်သည်။.

ထိုအခြေအနေမျိုးတွင်၊ အနှောက်အယှက်ပေးသည့်ကိရိယာများ ဖွံ့ဖြိုးတိုးတက်စေရန် ရည်ရွယ်ထားသော ကုမ္ပဏီတစ်ခုမှ ခိုးယူခံရသည့် အီးမေးလ်များမှ တိကျသောအမြတ်ထုတ်မှုဆီသို့ ဦးတည်သည့် စည်းမျဉ်းတစ်ခုကို တည်ဆောက်ရန်အတွက် လုံလောက်သောပုံစံများကို နုတ်ယူထားသည်။ ထိုစည်းမျဉ်းတစ်ခုတည်းဖြင့်၊ သုတေသီများသည် သံသယဖြစ်ဖွယ်ဖိုင်များပင်လယ်မှတစ်ဆင့် နမူနာကို ခြေရာခံနိုင်ခဲ့ကြသည်။အမြတ်ထုတ်ခြင်းကို ဖော်ထုတ်ပြီး ၎င်း၏ ဖာထေးမှုကို တွန်းအားပေးကာ ပိုမိုပြင်းထန်သော ပျက်စီးဆုံးရှုံးမှုများကို ကာကွယ်ပေးသည်။

ဤဇာတ်လမ်းအမျိုးအစားများသည် YARA မည်ကဲ့သို့ လုပ်ဆောင်နိုင်သည်ကို ဖော်ပြသည်။ ဖိုပင်လယ်၌ ငါးဖမ်းပိုက်သင်၏ကော်ပိုရိတ်ကွန်ရက်ကို "ငါးများ" (ဖိုင်များ) ပြည့်နေသော သမုဒ္ဒရာတစ်ခုအဖြစ် မြင်ယောင်ကြည့်ပါ။ မင်းရဲ့စည်းမျဥ်းတွေက ပိုက်ကွန်ထဲက အကွက်တွေလိုပါပဲ၊ အကွက်တစ်ခုစီက သီးခြားဝိသေသလက္ခဏာတွေနဲ့ ကိုက်ညီတဲ့ ငါးတွေကို သိမ်းဆည်းထားတယ်။

ဆွဲပြီးသွားတဲ့အခါ မင်းမှာရှိတယ်။ သတ်သတ်မှတ်မှတ် မိသားစုများ သို့မဟုတ် တိုက်ခိုက်သူအုပ်စုများနှင့် ဆင်တူယိုးမှားဖြင့် အုပ်စုဖွဲ့ထားသော နမူနာများ: "မျိုးစိတ် X နှင့် ဆင်တူသည်"၊ "မျိုးစိတ် Y နှင့် ဆင်တူသည်" စသည်ဖြင့်၊ အချို့သောနမူနာများသည် သင့်အတွက် လုံးဝအသစ်ဖြစ်နိုင်သည် (ဒွိစုံအသစ်များ၊ ကမ်ပိန်းအသစ်များ)၊ သို့သော် ၎င်းတို့သည် သင်၏ အမျိုးအစားခွဲခြင်းနှင့် တုံ့ပြန်မှုကို အရှိန်မြှင့်ပေးသည့် လူသိများသည့်ပုံစံတစ်ခုနှင့် ကိုက်ညီပါသည်။

ဤအခြေအနေတွင် YARA ၏အကောင်းဆုံးကိုရယူရန်၊ အဖွဲ့အစည်းများစွာသည် ပေါင်းစပ်ထားသည်။ အဆင့်မြင့်သင်တန်းများ၊ လက်တွေ့ဓာတ်ခွဲခန်းများနှင့် ထိန်းချုပ်ထားသော လက်တွေ့စမ်းသပ်မှုပတ်ဝန်းကျင်များဆိုက်ဘာသူလျှိုလုပ်ခြင်း၏ တကယ့်ဖြစ်ရပ်မှန်များကို အခြေခံ၍ စည်းမျဉ်းကောင်းများရေးသားခြင်းအနုပညာအတွက် အထူးပြုအထူးပြုသင်တန်းများ ရှိပြီး ကျောင်းသားများသည် စစ်မှန်သောနမူနာများဖြင့် လေ့ကျင့်ကာ ၎င်းတို့ရှာဖွေနေသောအရာကို အတိအကျမသိသည့်တိုင် "တစ်စုံတစ်ခု" ကို ရှာဖွေရန် သင်ယူလေ့ရှိပါသည်။

YARA ကို အရန်သိမ်းခြင်းနှင့် ပြန်လည်ရယူခြင်း ပလပ်ဖောင်းများတွင် ပေါင်းစည်းပါ။

YARA တွင် လုံးဝအံဝင်ခွင်ကျဖြစ်ပြီး သတိမပြုမိဘဲ မကြာခဏသွားလေ့ရှိသော ဧရိယာတစ်ခုမှာ မိတ္တူကူးခြင်းကို ကာကွယ်ခြင်းဖြစ်သည်။ အရန်သိမ်းဆည်းမှုများသည် malware သို့မဟုတ် ransomware ဖြင့် ကူးစက်ပါက၊ ပြန်လည်ရယူခြင်းသည် ကမ်ပိန်းတစ်ခုလုံးကို ပြန်လည်စတင်နိုင်သည်။ထို့ကြောင့် အချို့သောထုတ်လုပ်သူများသည် YARA အင်ဂျင်များကို ၎င်းတို့၏ဖြေရှင်းချက်များတွင် တိုက်ရိုက်ထည့်သွင်းခဲ့ကြသည်။

မျိုးဆက်သစ် မိတ္တူပလပ်ဖောင်းများကို စတင်အသုံးပြုနိုင်သည်။ ပြန်လည်ရယူသည့် အမှတ်များဆိုင်ရာ YARA စည်းမျဉ်းအခြေခံ ခွဲခြမ်းစိတ်ဖြာခြင်း အစည်းအဝေးများရည်ရွယ်ချက်မှာ နှစ်ဆဖြစ်သည်- အဖြစ်အပျက်တစ်ခုမတိုင်မီ နောက်ဆုံး "သန့်ရှင်း" အချက်ကို ရှာဖွေရန်နှင့် အခြားစစ်ဆေးမှုများမှ အစပျိုးခြင်းမပြုနိုင်သော ဖိုင်များတွင် ဝှက်ထားသော အန္တရာယ်ရှိသော အကြောင်းအရာများကို ရှာဖွေရန်။

ဤပတ်ဝန်းကျင်များတွင် ပုံမှန်လုပ်ငန်းစဉ်တွင် “ရွေးချယ်စရာတစ်ခုကို ရွေးချယ်ခြင်းပါ၀င်သည်YARA ပေတံဖြင့် ပြန်လည်ရယူသည့် အမှတ်များကို စကင်ဖတ်ပါ။"ခွဲခြမ်းစိတ်ဖြာခြင်းဆိုင်ရာ အလုပ်တစ်ခု၏ ဖွဲ့စည်းမှုအတွင်း။ နောက်တစ်ခု၊ စည်းမျဉ်းဖိုင်သို့ လမ်းကြောင်းကို သတ်မှတ်ထားသည် (များသောအားဖြင့် တိုးချဲ့မှု .yara သို့မဟုတ် .yar) သည် ပုံမှန်အားဖြင့် အရန်သိမ်းဖြေရှင်းချက်အတွက် သီးခြားဖွဲ့စည်းပုံဖိုင်တွဲတစ်ခုတွင် သိမ်းဆည်းထားသည်။"

ကွပ်မျက်စဉ်အတွင်း အင်ဂျင်သည် မိတ္တူပါရှိသော အရာဝတ္ထုများမှတဆင့် ထပ်တလဲလဲ ပြုလုပ်ကာ စည်းမျဉ်းများကို လိုက်နာကာ၊ ၎င်းသည် တိကျသော YARA ခွဲခြမ်းစိတ်ဖြာမှုမှတ်တမ်းတွင် ကိုက်ညီမှုအားလုံးကို မှတ်တမ်းတင်သည်။စီမံခန့်ခွဲသူသည် ကွန်ဆိုးလ်မှ ဤမှတ်တမ်းများကို ကြည့်ရှုနိုင်သည်၊ စာရင်းဇယားများကို ပြန်လည်သုံးသပ်နိုင်သည်၊ မည်သည့်ဖိုင်များကို သတိပေးချက်ကို အစပျိုးထားသည်ကို ကြည့်ရှုနိုင်ပြီး ကိုက်ညီသည့် မည်သည့်စက်နှင့် တိကျသောရက်စွဲကိုမဆို ခြေရာခံနိုင်သည်။

ဤပေါင်းစပ်မှုကို ကဲ့သို့သော အခြားသော ယန္တရားများဖြင့် ဖြည့်စွက်ထားသည်။ မမှန်မကန်ရှာဖွေခြင်း၊ အရန်အရွယ်အစားစောင့်ကြည့်ခြင်း၊ သီးခြား IOCs ရှာဖွေခြင်း သို့မဟုတ် သံသယဖြစ်ဖွယ်ကိရိယာများကို ခွဲခြမ်းစိတ်ဖြာခြင်း။သို့သော် သတ်သတ်မှတ်မှတ် ransomware မိသားစု သို့မဟုတ် ကမ်ပိန်းအတွက် အံဝင်ခွင်ကျဖြစ်စေသော စည်းမျဉ်းများနှင့်ပတ်သက်လာလျှင် YARA သည် ထိုရှာဖွေမှုကို ပြန်လည်သန့်စင်ရန်အတွက် အကောင်းဆုံးကိရိယာဖြစ်သည်။

သင့်ကွန်ရက်ကို မချိုးဖျက်ဘဲ YARA စည်းမျဉ်းများကို မည်သို့စမ်းသပ်ပြီး အတည်ပြုနိုင်မည်နည်း။

သင်၏ကိုယ်ပိုင်စည်းမျဉ်းများကိုစတင်ရေးသားပြီးသည်နှင့်နောက်တဆင့်အရေးကြီးသည်မှာ၎င်းတို့ကိုသေချာစွာစမ်းသပ်ရန်ဖြစ်သည်။ အလွန်အကျွံ ပြင်းထန်သော စည်းမျဉ်းတစ်ခုသည် မှားယွင်းသော အပြုသဘောများ လွှမ်းမိုးမှုကို ဖြစ်ပေါ်စေနိုင်ပြီး အလွန်ပေါ့လျော့မှုသည် တကယ့်ခြိမ်းခြောက်မှုများကို ဖြတ်ကျော်သွားနိုင်သည်။ထို့ကြောင့် စာမေးပွဲအဆင့်သည် စာရေးသည့်အဆင့်ကဲ့သို့ပင် အရေးကြီးသည်။

သတင်းကောင်းမှာ အလုပ်လုပ်နေသော malware အပြည့်ရှိသော ဓာတ်ခွဲခန်းကို သင်တပ်ဆင်ရန် မလိုအပ်ဘဲ ၎င်းကိုလုပ်ဆောင်ရန် ကွန်ရက်တစ်ဝက်ကို ကူးစက်စေခြင်းဖြစ်သည်။ ဤအချက်အလက်ကို ပေးဆောင်သော သိုလှောင်ရုံများနှင့် ဒေတာအတွဲများ ရှိနှင့်ပြီးဖြစ်သည်။ သုတေသနရည်ရွယ်ချက်အတွက် လူသိများပြီး ထိန်းချုပ်ထားသော malware နမူနာများအဆိုပါနမူနာများကို သီးခြားပတ်ဝန်းကျင်တစ်ခုတွင် ဒေါင်းလုဒ်လုပ်နိုင်ပြီး သင့်စည်းမျဉ်းများအတွက် စမ်းသပ်မှုတစ်ခုအဖြစ် ၎င်းတို့ကို အသုံးပြုနိုင်သည်။

ပုံမှန်ချဉ်းကပ်နည်းမှာ သံသယဖြစ်ဖွယ်ဖိုင်များပါရှိသော ဖိုင်များပါရှိသော လမ်းညွှန်တစ်ခုအား အမိန့်ပေးစာလိုင်းမှ YARA စက်တွင်းတွင် စတင်လုပ်ဆောင်ခြင်းဖြစ်သည်။ သင့်စည်းမျဉ်းများသည် ၎င်းတို့လုပ်သင့်သည့်နေရာနှင့် ကိုက်ညီပြီး သန့်ရှင်းသောဖိုင်များကို ချိုးဖျက်နိုင်လျှင် သင်သည် လမ်းကြောင်းမှန်ပေါ်ရောက်နေပြီဖြစ်သည်။၎င်းတို့သည် အလွန်အကျွံ လှုံ့ဆော်နေပါက၊ လိုင်းများကို ပြန်လည်သုံးသပ်ရန်၊ အခြေအနေများကို ပြန်လည်ပြင်ဆင်ရန် သို့မဟုတ် နောက်ထပ်ကန့်သတ်ချက်များ (အရွယ်အစား၊ တင်သွင်းမှု၊ အော့ဖ်ဆက်များ စသည်) ကို မိတ်ဆက်ရန် အချိန်ရောက်ပြီဖြစ်သည်။

နောက်ထပ်အဓိကအချက်မှာ သင်၏စည်းမျဉ်းများသည် စွမ်းဆောင်ရည်ကို အလျှော့မပေးကြောင်း သေချာစေရန်ဖြစ်သည်။ ကြီးမားသော လမ်းညွှန်များကို စကင်န်ဖတ်သောအခါ၊ အကောင်းဆုံးမွမ်းမံထားသော စည်းမျဉ်းများ ညံ့ဖျင်းခြင်းက ခွဲခြမ်းစိတ်ဖြာမှုကို နှေးကွေးစေနိုင်သည် သို့မဟုတ် အရင်းအမြစ်များကို အလိုရှိသည်ထက် ပိုမိုသုံးစွဲနိုင်သည်။ထို့ကြောင့်၊ အချိန်များကိုတိုင်းတာရန်၊ ရှုပ်ထွေးသောအသုံးအနှုန်းများကို ရိုးရှင်းစေရန်နှင့် အလွန်လေးလံသော regex ကိုရှောင်ရှားရန် အကြံပြုလိုပါသည်။

အဆိုပါဓာတ်ခွဲခန်းစမ်းသပ်မှုအဆင့်ကိုဖြတ်သန်းပြီးနောက်, သင်လုပ်နိုင်ပါလိမ့်မည်။ ထုတ်လုပ်မှုပတ်ဝန်းကျင်တွင် စည်းကမ်းများကို မြှင့်တင်ပါ။၎င်းသည် သင်၏ SIEM တွင်ဖြစ်စေ၊ သင်၏ အရန်စနစ်များ၊ အီးမေးလ်ဆာဗာများ သို့မဟုတ် ၎င်းတို့ကို သင်ပေါင်းစည်းလိုသည့် နေရာတိုင်းတွင်ဖြစ်စေ။ စဉ်ဆက်မပြတ် ပြန်လည်သုံးသပ်မှုစက်ဝန်းကို ထိန်းသိမ်းထားရန် မမေ့ပါနှင့်- ကမ်ပိန်းများ တိုးတက်ပြောင်းလဲလာသည်နှင့်အမျှ သင့်စည်းမျဉ်းများသည် အချိန်အခါအလိုက် ပြုပြင်ပြောင်းလဲမှုများ လိုအပ်မည်ဖြစ်ပါသည်။

YARA နှင့်အတူ ကိရိယာများ၊ ပရိုဂရမ်များနှင့် အလုပ်အသွားအလာများ

တရားဝင် binary အပြင်၊ ပရော်ဖက်ရှင်နယ်များစွာသည် ၎င်း၏နေ့စဉ်အသုံးပြုမှုကို လွယ်ကူချောမွေ့စေရန် YARA တစ်ဝိုက်တွင် ပရိုဂရမ်ငယ်များနှင့် script များကို တီထွင်ခဲ့ကြသည်။ ပုံမှန်ချဉ်းကပ်နည်းတစ်ခုသည် အက်ပလီကေးရှင်းတစ်ခုဖန်တီးခြင်း ပါဝင်သည်။ သင်၏ကိုယ်ပိုင်လုံခြုံရေးကိရိယာကို တပ်ဆင်ပါ။ ၎င်းသည် ဖိုင်တွဲတစ်ခုရှိ စည်းမျဉ်းအားလုံးကို အလိုအလျောက်ဖတ်ပြီး ခွဲခြမ်းစိတ်ဖြာမှုလမ်းညွှန်တစ်ခုသို့ သက်ရောက်သည်။.

ဤအိမ်လုပ်ကိရိယာ အမျိုးအစားများသည် အများအားဖြင့် ရိုးရှင်းသော လမ်းညွှန်ဖွဲ့စည်းပုံနှင့် အလုပ်လုပ်သည်- ဖိုဒါတစ်ခုအတွက် ဖြစ်သည်။ စည်းကမ်းများကို အင်တာနက်မှ ဒေါင်းလုဒ်လုပ်ထားသည်။ (ဥပမာ၊ "rulesyar") နှင့် အခြားဖိုင်တွဲ ခွဲခြမ်းစိတ်ဖြာမည့် သံသယရှိသောဖိုင်များ (ဥပမာ၊ "malware")။ ပရိုဂရမ်စတင်သောအခါ၊ ဖိုင်တွဲနှစ်ခုစလုံးရှိမရှိစစ်ဆေးပြီး၊ စခရင်ပေါ်ရှိ စည်းမျဉ်းများကို စာရင်းပြုစုကာ လုပ်ဆောင်ရန် ပြင်ဆင်သည်။

ခလုတ်တစ်ခုနှိပ်လိုက်တဲ့အခါ “စတင်စစ်ဆေးပါ။ထို့နောက် အပလီကေးရှင်းသည် YARA ကို အလိုရှိသော ကန့်သတ်ဘောင်များဖြင့် စတင်လုပ်ဆောင်သည်- ဖိုင်တွဲရှိ ဖိုင်အားလုံးကို စကင်န်ဖတ်ခြင်း၊ လမ်းကြောင်းခွဲများ၏ ထပ်တလဲလဲ ခွဲခြမ်းစိတ်ဖြာခြင်း၊ ကိန်းဂဏန်းများ ထုတ်ပေးခြင်း၊ မက်တာဒေတာ ပုံနှိပ်ခြင်းစသည်ဖြင့် ကိုက်ညီမှုအားလုံးကို ရလဒ်ဝင်းဒိုးတွင် ပြသမည်ဖြစ်ပြီး မည်သည့်ဖိုင်နှင့် ကိုက်ညီသည်ကို ညွှန်ပြပါသည်။

ဤအလုပ်အသွားအလာသည် ဥပမာအားဖြင့်၊ တင်ပို့လိုက်သော အီးမေးလ်များ အစုအဝေးအတွင်း ပြဿနာများကို ရှာဖွေတွေ့ရှိနိုင်စေပါသည်။ အန္တရာယ်ရှိသော ထည့်သွင်းထားသော ရုပ်ပုံများ၊ အန္တရာယ်ရှိသော ပူးတွဲပါဖိုင်များ၊ သို့မဟုတ် အပြစ်ကင်းသည်ဟု ထင်ရသော ဖိုင်များတွင် ဝှက်ထားသော ဝဘ်ရှဲလ်များကော်ပိုရိတ်ပတ်၀န်းကျင်ရှိ မှုခင်းဆိုင်ရာစုံစမ်းစစ်ဆေးမှုများစွာသည် ဤယန္တရားအမျိုးအစားအပေါ် အတိအကျမှီခိုသည်။

YARA ကိုခေါ်သောအခါတွင် အသုံးအများဆုံး ဘောင်များနှင့်ပတ်သက်၍၊ အောက်ပါကဲ့သို့သော ရွေးချယ်မှုများသည် ထင်ရှားပေါ်လွင်သည်- -r ထပ်ခါတလဲလဲ ရှာဖွေရန်၊ -S ကိန်းဂဏန်းများကို ပြသရန်၊ -m မက်တာဒေတာကို ထုတ်ယူရန်နှင့် သတိပေးချက်များကို လျစ်လျူရှုရန် -wဤအလံများကို ပေါင်းစပ်ခြင်းဖြင့် သင်သည် သင့်ကိစ္စနှင့် အပြုအမူကို ချိန်ညှိနိုင်သည်- တိကျသောလမ်းညွှန်ချက်တစ်ခုရှိ အမြန်ခွဲခြမ်းစိတ်ဖြာမှုမှ ရှုပ်ထွေးသောဖိုင်တွဲဖွဲ့စည်းပုံကို ပြီးပြည့်စုံသောစကန်ဖတ်ခြင်းအထိ။

YARA စည်းမျဥ်းများကို ရေးသားထိန်းသိမ်းရာတွင် အကောင်းဆုံးအလေ့အကျင့်များ

သင်၏ စည်းမျဉ်းများ သိုလှောင်ရာနေရာသည် စီမံခန့်ခွဲ၍မရသော အရှုပ်အထွေးများ ဖြစ်လာခြင်းမှ ကာကွယ်ရန်၊ အကောင်းဆုံး အလေ့အကျင့်များကို ဆက်တိုက်ကျင့်သုံးရန် အကြံပြုလိုပါသည်။ ပထမအချက်မှာ တသမတ်တည်း ပုံစံများနှင့် အမည်ပေးသည့် သဘောတူညီချက်များဖြင့် လုပ်ဆောင်ရန်ဖြစ်သည်။သို့မှသာ စည်းမျဉ်းတစ်ခုစီသည် မည်သို့လုပ်ဆောင်သည်ကို အကဲခတ်သိရှိနိုင်မည်ဖြစ်သည်။

အသင်းများစွာပါဝင်သည့် စံပုံစံတစ်ခုကို လက်ခံသည်။ မက်တာဒေတာ၊ ခြိမ်းခြောက်မှုအမျိုးအစား၊ သရုပ်ဆောင် သို့မဟုတ် ပလက်ဖောင်းကို ညွှန်ပြသည့် တဂ်များနှင့် ရှာဖွေတွေ့ရှိထားသည်များကို ရှင်းလင်းဖော်ပြချက်ပါရှိသော ခေါင်းစီး၎င်းသည် ပြည်တွင်းတွင်သာမက၊ အသိုင်းအဝိုင်းနှင့် စည်းမျဉ်းများကို မျှဝေသည့်အခါ သို့မဟုတ် အများသူငှာ သိုလှောင်မှုများကို ပံ့ပိုးပေးသည့်အခါတွင်လည်း ကူညီပေးသည်။

နောက်ထပ်အကြံပြုချက်ကတော့ အဲဒါကို အမြဲအမှတ်ရနေဖို့ပါပဲ။ YARA သည် နောက်ထပ်ကာကွယ်ရေးအလွှာတစ်ခုသာဖြစ်သည်။၎င်းသည် ဗိုင်းရပ်စ်နှိမ်နင်းရေးဆော့ဖ်ဝဲလ် သို့မဟုတ် EDR ကို အစားမထိုးဘဲ ၎င်းတို့ကို ဗျူဟာများဖြင့် ဖြည့်စွက်ပေးသည်။ သင်၏ Windows PC ကိုကာကွယ်ပါ။အကောင်းဆုံးမှာ၊ YARA သည် ပိုင်ဆိုင်မှု ခွဲခြားသတ်မှတ်ခြင်း၊ ကာကွယ်ခြင်း၊ ထောက်လှမ်းခြင်း၊ တုံ့ပြန်ခြင်းနှင့် ပြန်လည်ရယူခြင်းတို့ကို ကိုင်တွယ်ဖြေရှင်းပေးသည့် NIST မူဘောင်ကဲ့သို့သော ကျယ်ပြန့်သော ကိုးကားမှုဘောင်အတွင်း အံဝင်ခွင်ကျဖြစ်သင့်သည်။

နည်းပညာရှုထောင့်မှကြည့်လျှင် အချိန်ကုန်ခံရန် ထိုက်တန်ပါသည်။ မှားယွင်းသောအပြုသဘောများကိုရှောင်ကြဉ်ပါ။၎င်းတွင် အလွန်အကျွံ ယေဘုယျစာကြောင်းများကို ရှောင်ရှားခြင်း၊ အခြေအနေများစွာကို ပေါင်းစပ်ခြင်းနှင့် ကဲ့သို့သော အော်ပရေတာများကို အသုံးပြုခြင်းတို့ ပါဝင်ပါသည်။ အားလုံး o တစ်ခုခု သင်၏ဦးခေါင်းကိုအသုံးပြုပြီး ဖိုင်၏ဖွဲ့စည်းပုံဆိုင်ရာ ဂုဏ်သတ္တိများကို အခွင့်ကောင်းယူပါ။ Malware ၏ အပြုအမူနှင့် ပတ်၀န်းကျင်ရှိ ယုတ္တိဗေဒ တိကျလေလေ၊ ပိုကောင်းလေဖြစ်သည်။

နောက်ဆုံးတွင် စည်းကမ်းရှိရန် ဗားရှင်းနှင့် အချိန်အခါအလိုက် ပြန်လည်သုံးသပ်ခြင်း။ အရေးကြီးတယ်။ မဲလ်ဝဲမိသားစုများ ဆင့်ကဲပြောင်းလဲလာခြင်း၊ ညွှန်းကိန်းများ ပြောင်းလဲခြင်းနှင့် ယနေ့လုပ်ဆောင်သည့် စည်းမျဉ်းများသည် တိုတောင်းသွားခြင်း သို့မဟုတ် အသုံးမပြုတော့ခြင်း ဖြစ်နိုင်သည်။ အခါအားလျော်စွာ သတ်မှတ်ထားသော သင်၏စည်းမျဉ်းကို ပြန်လည်သုံးသပ်ခြင်းနှင့် ပြန်လည်ပြင်ဆင်ခြင်းသည် ဆိုက်ဘာလုံခြုံရေး၏ ကြောင်နှင့်ကြွက်ဂိမ်း၏ တစ်စိတ်တစ်ပိုင်းဖြစ်သည်။

YARA အသိုင်းအဝိုင်းနှင့် ရရှိနိုင်သောအရင်းအမြစ်များ

YARA သည် ယခုအချိန်အထိ ရောက်ရှိလာရခြင်း၏ အဓိကအကြောင်းရင်းများထဲမှတစ်ခုမှာ ၎င်း၏အသိုင်းအဝိုင်း၏ အင်အားဖြစ်သည်။ သုတေသီများ၊ လုံခြုံရေးကုမ္ပဏီများနှင့် ကမ္ဘာတစ်ဝှမ်းမှ တုံ့ပြန်ရေးအဖွဲ့များသည် စည်းမျဉ်းများ၊ နမူနာများနှင့် စာရွက်စာတမ်းများကို စဉ်ဆက်မပြတ် မျှဝေပါသည်။အလွန်ကြွယ်ဝသော ဂေဟစနစ်ကို ဖန်တီးသည်။

ကိုးကားချက်၏အဓိကအချက်မှာ GitHub ရှိ YARA ၏တရားဝင်သိုလှောင်မှုထိုနေရာတွင် tool ၏နောက်ဆုံးထွက်ဗားရှင်းများ၊ အရင်းအမြစ်ကုဒ်နှင့် စာရွက်စာတမ်းဆိုင်ရာလင့်ခ်များကို တွေ့ရပါမည်။ ထိုနေရာမှ သင်သည် ပရောဂျက်၏ တိုးတက်မှုကို လိုက်ကြည့်နိုင်သည်၊ ပြဿနာများကို သတင်းပို့နိုင်သည်၊ သို့မဟုတ် မြှင့်တင်လိုပါက ပံ့ပိုးကူညီနိုင်ပါသည်။

ReadTheDocs ကဲ့သို့သော ပလပ်ဖောင်းများတွင် ရရှိနိုင်သော တရားဝင်စာရွက်စာတမ်းများကို ကမ်းလှမ်းထားသည်။ ပြီးပြည့်စုံသော syntax လမ်းညွှန်၊ ရရှိနိုင်သော modules၊ စည်းမျဉ်းနမူနာများနှင့် အသုံးပြုမှု ကိုးကားချက်များ၎င်းသည် PE စစ်ဆေးခြင်း၊ ELF၊ မှတ်ဉာဏ်စည်းမျဉ်းများ သို့မဟုတ် အခြားကိရိယာများနှင့် ပေါင်းစည်းခြင်းကဲ့သို့သော အဆင့်မြင့်လုပ်ဆောင်ချက်များကို အခွင့်ကောင်းယူရန်အတွက် မရှိမဖြစ်အရင်းအမြစ်တစ်ခုဖြစ်သည်။

ထို့အပြင် YARA စည်းမျဉ်းများနှင့် လက်မှတ်များကို ကမ္ဘာတစ်ဝှမ်းမှ လေ့လာသုံးသပ်သူများ၏ အသိုက်အဝန်းတွင် သိုလှောင်ထားရှိမှုများလည်း ရှိပါသည်။ ၎င်းတို့သည် သင့်လိုအပ်ချက်များနှင့် လိုက်လျောညီထွေဖြစ်စေနိုင်သော အဆင်သင့်သုံးနိုင်သော စုစည်းမှုများ သို့မဟုတ် စုစည်းမှုများကို ထုတ်ဝေသည်။ဤသိမ်းဆည်းမှုများတွင် ပုံမှန်အားဖြင့် သတ်မှတ်ထားသော malware မိသားစုများအတွက် စည်းမျဉ်းများ၊ exploit kits၊ pentesting tools၊ webshells၊ cryptominers နှင့် အခြားအရာများစွာ ပါဝင်ပါသည်။

တဆက်တည်းတွင်၊ များစွာသောထုတ်လုပ်သူနှင့်သုတေသနအဖွဲ့များကကမ်းလှမ်းသည်။ YARA တွင် အခြေခံအဆင့်မှ အလွန်အဆင့်မြင့်သင်တန်းများဤအစပျိုးမှုများတွင် လက်တွေ့ကမ္ဘာအခြေအနေများကို အခြေခံ၍ လက်တွေ့စမ်းသပ်ခန်းများနှင့် လက်-လက်လေ့ကျင့်ခန်းများ ပါဝင်လေ့ရှိသည်။ အချို့သော အကျိုးအမြတ်မယူသောအဖွဲ့အစည်းများ သို့မဟုတ် အထူးသဖြင့် ပစ်မှတ်ထားတိုက်ခိုက်မှုများကို ခံနိုင်ရည်ရှိသော အဖွဲ့အစည်းများအတွက်ပင် အခမဲ့ပေးဆောင်ထားပါသည်။

ဤဂေဟစနစ်တစ်ခုလုံးသည် အနည်းငယ်သော အပ်နှံမှုဖြင့်၊ သင်၏ပထမအခြေခံစည်းမျဉ်းများကို ရေးသားခြင်းမှ သင်သွားနိုင်သည်ဟု ဆိုလိုသည်။ ရှုပ်ထွေးသောကမ်ပိန်းများကို ခြေရာခံကာ မကြုံစဖူးခြိမ်းခြောက်မှုများကို ရှာဖွေဖော်ထုတ်နိုင်သည့် ခေတ်မီဆန်းပြားသောအတွဲများကို တီထွင်ပါ။YARA ကို သမားရိုးကျ ဗိုင်းရပ်စ် တိုက်ဖျက်ရေး၊ လုံခြုံသော မိတ္တူကူးမှုနှင့် ခြိမ်းခြောက်မှုဆိုင်ရာ ထောက်လှမ်းရေးတို့နှင့် ပေါင်းစပ်ခြင်းဖြင့်၊ သင်သည် အင်တာနက်ပေါ်တွင် roaming ပြုလုပ်နေသော အန္တရာယ်ရှိသော သရုပ်ဆောင်များအတွက် သိသိသာသာ ပိုမိုခက်ခဲစေသည်။

အထက်ပါအချက်များအားလုံးနှင့် YARA သည် ရိုးရှင်းသော command-line utility တစ်ခုထက် များစွာပိုကြောင်း ရှင်းရှင်းလင်းလင်းသိရသည်။ သော့ချက်အပိုင်းအစ မည်သည့်အဆင့်မြင့် malware ထောက်လှမ်းမှုနည်းဗျူဟာတွင်မဆို၊ လေ့လာသုံးသပ်သူအနေနှင့် သင်၏တွေးခေါ်ပုံနှင့် လိုက်လျောညီထွေဖြစ်စေသော လိုက်လျောညီထွေရှိသောကိရိယာတစ်ခုဖြစ်သည်။ ဘုံဘာသာစကား ဓာတ်ခွဲခန်းများ၊ SOC များနှင့် သုတေသနအသိုက်အဝန်းများကို ချိတ်ဆက်ပေးသော စည်းမျဉ်းသစ်တစ်ခုစီသည် ပိုမိုခေတ်မီဆန်းပြားသော လှုပ်ရှားမှုများကို ဆန့်ကျင်သည့် ကာကွယ်မှုနောက်ထပ်အလွှာတစ်ခုကို ထည့်သွင်းခွင့်ပြုသည်။