ਐਡਵਾਂਸਡ ਮਾਲਵੇਅਰ ਖੋਜ ਲਈ YARA ਦੀ ਵਰਤੋਂ ਕਿਵੇਂ ਕਰੀਏ

¿ਐਡਵਾਂਸਡ ਮਾਲਵੇਅਰ ਖੋਜ ਲਈ YARA ਦੀ ਵਰਤੋਂ ਕਿਵੇਂ ਕਰੀਏ? ਜਦੋਂ ਰਵਾਇਤੀ ਐਂਟੀਵਾਇਰਸ ਪ੍ਰੋਗਰਾਮ ਆਪਣੀਆਂ ਸੀਮਾਵਾਂ 'ਤੇ ਪਹੁੰਚ ਜਾਂਦੇ ਹਨ ਅਤੇ ਹਮਲਾਵਰ ਹਰ ਸੰਭਵ ਦਰਾੜ ਵਿੱਚੋਂ ਲੰਘ ਜਾਂਦੇ ਹਨ, ਤਾਂ ਇੱਕ ਸੰਦ ਜੋ ਘਟਨਾ ਪ੍ਰਤੀਕਿਰਿਆ ਪ੍ਰਯੋਗਸ਼ਾਲਾਵਾਂ ਵਿੱਚ ਲਾਜ਼ਮੀ ਬਣ ਗਿਆ ਹੈ, ਕੰਮ ਆਉਂਦਾ ਹੈ: ਯਾਰਾ, ਮਾਲਵੇਅਰ ਦਾ ਸ਼ਿਕਾਰ ਕਰਨ ਲਈ "ਸਵਿਸ ਚਾਕੂ"ਟੈਕਸਟੁਅਲ ਅਤੇ ਬਾਈਨਰੀ ਪੈਟਰਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਖਤਰਨਾਕ ਸੌਫਟਵੇਅਰ ਦੇ ਪਰਿਵਾਰਾਂ ਦਾ ਵਰਣਨ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ, ਇਹ ਸਧਾਰਨ ਹੈਸ਼ ਮੈਚਿੰਗ ਤੋਂ ਕਿਤੇ ਵੱਧ ਜਾਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।

ਸੱਜੇ ਹੱਥਾਂ ਵਿੱਚ, YARA ਸਿਰਫ਼ ਲੱਭਣ ਲਈ ਨਹੀਂ ਹੈ ਨਾ ਸਿਰਫ਼ ਜਾਣੇ-ਪਛਾਣੇ ਮਾਲਵੇਅਰ ਨਮੂਨੇ, ਸਗੋਂ ਨਵੇਂ ਰੂਪ, ਜ਼ੀਰੋ-ਡੇਅ ਸ਼ੋਸ਼ਣ, ਅਤੇ ਇੱਥੋਂ ਤੱਕ ਕਿ ਵਪਾਰਕ ਹਮਲਾਵਰ ਟੂਲ ਵੀਇਸ ਲੇਖ ਵਿੱਚ, ਅਸੀਂ ਡੂੰਘਾਈ ਨਾਲ ਅਤੇ ਵਿਹਾਰਕ ਤੌਰ 'ਤੇ ਖੋਜ ਕਰਾਂਗੇ ਕਿ ਉੱਨਤ ਮਾਲਵੇਅਰ ਖੋਜ ਲਈ YARA ਦੀ ਵਰਤੋਂ ਕਿਵੇਂ ਕਰਨੀ ਹੈ, ਮਜ਼ਬੂਤ ​​ਨਿਯਮ ਕਿਵੇਂ ਲਿਖਣੇ ਹਨ, ਉਹਨਾਂ ਦੀ ਜਾਂਚ ਕਿਵੇਂ ਕਰਨੀ ਹੈ, ਉਹਨਾਂ ਨੂੰ Veeam ਜਾਂ ਤੁਹਾਡੇ ਆਪਣੇ ਵਿਸ਼ਲੇਸ਼ਣ ਵਰਕਫਲੋ ਵਰਗੇ ਪਲੇਟਫਾਰਮਾਂ ਵਿੱਚ ਕਿਵੇਂ ਏਕੀਕ੍ਰਿਤ ਕਰਨਾ ਹੈ, ਅਤੇ ਪੇਸ਼ੇਵਰ ਭਾਈਚਾਰਾ ਕਿਹੜੇ ਵਧੀਆ ਅਭਿਆਸਾਂ ਦੀ ਪਾਲਣਾ ਕਰਦਾ ਹੈ।

YARA ਕੀ ਹੈ ਅਤੇ ਇਹ ਮਾਲਵੇਅਰ ਦਾ ਪਤਾ ਲਗਾਉਣ ਵਿੱਚ ਇੰਨਾ ਸ਼ਕਤੀਸ਼ਾਲੀ ਕਿਉਂ ਹੈ?

YARA ਦਾ ਅਰਥ ਹੈ "Yet Another Recursive Acronym" ਅਤੇ ਇਹ ਧਮਕੀ ਵਿਸ਼ਲੇਸ਼ਣ ਵਿੱਚ ਇੱਕ ਅਸਲ ਮਿਆਰ ਬਣ ਗਿਆ ਹੈ ਕਿਉਂਕਿ ਇਹ ਪੜ੍ਹਨਯੋਗ, ਸਪਸ਼ਟ ਅਤੇ ਬਹੁਤ ਹੀ ਲਚਕਦਾਰ ਨਿਯਮਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਦਾ ਵਰਣਨ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।ਸਿਰਫ਼ ਸਥਿਰ ਐਂਟੀਵਾਇਰਸ ਦਸਤਖਤਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਨ ਦੀ ਬਜਾਏ, YARA ਉਹਨਾਂ ਪੈਟਰਨਾਂ ਨਾਲ ਕੰਮ ਕਰਦਾ ਹੈ ਜੋ ਤੁਸੀਂ ਖੁਦ ਪਰਿਭਾਸ਼ਿਤ ਕਰਦੇ ਹੋ।

ਮੂਲ ਵਿਚਾਰ ਸਰਲ ਹੈ: ਇੱਕ YARA ਨਿਯਮ ਇੱਕ ਫਾਈਲ (ਜਾਂ ਮੈਮੋਰੀ, ਜਾਂ ਡੇਟਾ ਸਟ੍ਰੀਮ) ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ ਅਤੇ ਜਾਂਚ ਕਰਦਾ ਹੈ ਕਿ ਕੀ ਸ਼ਰਤਾਂ ਦੀ ਇੱਕ ਲੜੀ ਪੂਰੀਆਂ ਹੁੰਦੀਆਂ ਹਨ। ਟੈਕਸਟ ਸਟ੍ਰਿੰਗਾਂ, ਹੈਕਸਾਡੈਸੀਮਲ ਕ੍ਰਮਾਂ, ਨਿਯਮਤ ਸਮੀਕਰਨਾਂ, ਜਾਂ ਫਾਈਲ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ 'ਤੇ ਅਧਾਰਤ ਸ਼ਰਤਾਂਜੇਕਰ ਸ਼ਰਤ ਪੂਰੀ ਹੋ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਇੱਕ "ਮੈਚ" ਹੁੰਦਾ ਹੈ ਅਤੇ ਤੁਸੀਂ ਸੁਚੇਤ ਕਰ ਸਕਦੇ ਹੋ, ਬਲਾਕ ਕਰ ਸਕਦੇ ਹੋ, ਜਾਂ ਹੋਰ ਡੂੰਘਾਈ ਨਾਲ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰ ਸਕਦੇ ਹੋ।

ਇਹ ਪਹੁੰਚ ਸੁਰੱਖਿਆ ਟੀਮਾਂ ਨੂੰ ਆਗਿਆ ਦਿੰਦੀ ਹੈ ਸਾਰੀਆਂ ਕਿਸਮਾਂ ਦੇ ਮਾਲਵੇਅਰ ਦੀ ਪਛਾਣ ਕਰੋ ਅਤੇ ਵਰਗੀਕਰਨ ਕਰੋ: ਕਲਾਸਿਕ ਵਾਇਰਸ, ਕੀੜੇ, ਟਰੋਜਨ, ਰੈਨਸਮਵੇਅਰ, ਵੈੱਬਸ਼ੈਲ, ਕ੍ਰਿਪਟੋਮਾਈਨਰ, ਖਤਰਨਾਕ ਮੈਕਰੋ, ਅਤੇ ਹੋਰ ਬਹੁਤ ਕੁਝ।ਇਹ ਸਿਰਫ਼ ਖਾਸ ਫਾਈਲ ਐਕਸਟੈਂਸ਼ਨਾਂ ਜਾਂ ਫਾਰਮੈਟਾਂ ਤੱਕ ਸੀਮਿਤ ਨਹੀਂ ਹੈ, ਇਸ ਲਈ ਇਹ .pdf ਐਕਸਟੈਂਸ਼ਨ ਜਾਂ ਵੈੱਬਸ਼ੈੱਲ ਵਾਲੀ HTML ਫਾਈਲ ਦੇ ਨਾਲ ਇੱਕ ਭੇਸਵਧ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਦਾ ਵੀ ਪਤਾ ਲਗਾਉਂਦਾ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, YARA ਪਹਿਲਾਂ ਹੀ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਈਕੋਸਿਸਟਮ ਦੀਆਂ ਕਈ ਮੁੱਖ ਸੇਵਾਵਾਂ ਅਤੇ ਸਾਧਨਾਂ ਵਿੱਚ ਏਕੀਕ੍ਰਿਤ ਹੈ: VirusTotal, Cuckoo ਵਰਗੇ ਸੈਂਡਬੌਕਸ, Veeam ਵਰਗੇ ਬੈਕਅੱਪ ਪਲੇਟਫਾਰਮ, ਜਾਂ ਉੱਚ-ਪੱਧਰੀ ਨਿਰਮਾਤਾਵਾਂ ਤੋਂ ਧਮਕੀ ਸ਼ਿਕਾਰ ਹੱਲ।ਇਸ ਲਈ, YARA ਵਿੱਚ ਮੁਹਾਰਤ ਹਾਸਲ ਕਰਨਾ ਉੱਨਤ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਅਤੇ ਖੋਜਕਰਤਾਵਾਂ ਲਈ ਲਗਭਗ ਇੱਕ ਲੋੜ ਬਣ ਗਈ ਹੈ।

ਮਾਲਵੇਅਰ ਖੋਜ ਵਿੱਚ YARA ਦੇ ਉੱਨਤ ਵਰਤੋਂ ਦੇ ਮਾਮਲੇ

YARA ਦੀ ਇੱਕ ਖੂਬੀ ਇਹ ਹੈ ਕਿ ਇਹ SOC ਤੋਂ ਲੈ ਕੇ ਮਾਲਵੇਅਰ ਲੈਬ ਤੱਕ, ਕਈ ਸੁਰੱਖਿਆ ਦ੍ਰਿਸ਼ਾਂ ਲਈ ਇੱਕ ਦਸਤਾਨੇ ਵਾਂਗ ਢਲ ਜਾਂਦਾ ਹੈ। ਇਹੀ ਨਿਯਮ ਇੱਕ ਵਾਰ ਕੀਤੇ ਜਾਣ ਵਾਲੇ ਸ਼ਿਕਾਰ ਅਤੇ ਨਿਰੰਤਰ ਨਿਗਰਾਨੀ ਦੋਵਾਂ 'ਤੇ ਲਾਗੂ ਹੁੰਦੇ ਹਨ।.

ਸਭ ਤੋਂ ਸਿੱਧਾ ਮਾਮਲਾ ਬਣਾਉਣਾ ਸ਼ਾਮਲ ਹੈ ਖਾਸ ਮਾਲਵੇਅਰ ਜਾਂ ਪੂਰੇ ਪਰਿਵਾਰਾਂ ਲਈ ਖਾਸ ਨਿਯਮਜੇਕਰ ਤੁਹਾਡੇ ਸੰਗਠਨ 'ਤੇ ਕਿਸੇ ਜਾਣੇ-ਪਛਾਣੇ ਪਰਿਵਾਰ (ਉਦਾਹਰਨ ਲਈ, ਇੱਕ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ ਜਾਂ ਇੱਕ APT ਧਮਕੀ) 'ਤੇ ਅਧਾਰਤ ਮੁਹਿੰਮ ਦੁਆਰਾ ਹਮਲਾ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ, ਤਾਂ ਤੁਸੀਂ ਵਿਸ਼ੇਸ਼ ਤਾਰਾਂ ਅਤੇ ਪੈਟਰਨਾਂ ਨੂੰ ਪ੍ਰੋਫਾਈਲ ਕਰ ਸਕਦੇ ਹੋ ਅਤੇ ਨਿਯਮ ਬਣਾ ਸਕਦੇ ਹੋ ਜੋ ਨਵੇਂ ਸੰਬੰਧਿਤ ਨਮੂਨਿਆਂ ਦੀ ਜਲਦੀ ਪਛਾਣ ਕਰਦੇ ਹਨ।

ਇੱਕ ਹੋਰ ਕਲਾਸਿਕ ਵਰਤੋਂ ਦਾ ਧਿਆਨ ਕੇਂਦਰਿਤ ਹੈ ਦਸਤਖਤਾਂ ਦੇ ਆਧਾਰ 'ਤੇ YARAਇਹ ਨਿਯਮ ਹੈਸ਼ਾਂ, ਬਹੁਤ ਹੀ ਖਾਸ ਟੈਕਸਟ ਸਟ੍ਰਿੰਗਾਂ, ਕੋਡ ਸਨਿੱਪਟਾਂ, ਰਜਿਸਟਰੀ ਕੁੰਜੀਆਂ, ਜਾਂ ਇੱਥੋਂ ਤੱਕ ਕਿ ਖਾਸ ਬਾਈਟ ਕ੍ਰਮਾਂ ਨੂੰ ਲੱਭਣ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ ਜੋ ਇੱਕੋ ਮਾਲਵੇਅਰ ਦੇ ਕਈ ਰੂਪਾਂ ਵਿੱਚ ਦੁਹਰਾਏ ਜਾਂਦੇ ਹਨ। ਹਾਲਾਂਕਿ, ਇਹ ਯਾਦ ਰੱਖੋ ਕਿ ਜੇਕਰ ਤੁਸੀਂ ਸਿਰਫ਼ ਮਾਮੂਲੀ ਸਟ੍ਰਿੰਗਾਂ ਦੀ ਖੋਜ ਕਰਦੇ ਹੋ, ਤਾਂ ਤੁਹਾਨੂੰ ਗਲਤ ਸਕਾਰਾਤਮਕਤਾ ਪੈਦਾ ਹੋਣ ਦਾ ਜੋਖਮ ਹੁੰਦਾ ਹੈ।

YARA ਫਿਲਟਰਿੰਗ ਦੀ ਗੱਲ ਆਉਂਦੀ ਹੈ ਤਾਂ ਵੀ ਚਮਕਦਾ ਹੈ ਫਾਈਲ ਕਿਸਮਾਂ ਜਾਂ ਢਾਂਚਾਗਤ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂਫਾਈਲ ਸਾਈਜ਼, ਖਾਸ ਹੈਡਰ (ਜਿਵੇਂ ਕਿ PE ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਲਈ 0x5A4D), ਜਾਂ ਸ਼ੱਕੀ ਫੰਕਸ਼ਨ ਆਯਾਤ ਵਰਗੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨਾਲ ਸਟ੍ਰਿੰਗਾਂ ਨੂੰ ਜੋੜ ਕੇ, PE ਐਗਜ਼ੀਕਿਊਟੇਬਲ, ਆਫਿਸ ਦਸਤਾਵੇਜ਼, PDF, ਜਾਂ ਲਗਭਗ ਕਿਸੇ ਵੀ ਫਾਰਮੈਟ 'ਤੇ ਲਾਗੂ ਹੋਣ ਵਾਲੇ ਨਿਯਮ ਬਣਾਉਣਾ ਸੰਭਵ ਹੈ।

ਆਧੁਨਿਕ ਵਾਤਾਵਰਣ ਵਿੱਚ, ਇਸਦੀ ਵਰਤੋਂ ਨਾਲ ਜੁੜੀ ਹੋਈ ਹੈ ਧਮਕੀ ਖੁਫੀਆ ਜਾਣਕਾਰੀਜਨਤਕ ਭੰਡਾਰ, ਖੋਜ ਰਿਪੋਰਟਾਂ, ਅਤੇ IOC ਫੀਡਾਂ ਨੂੰ YARA ਨਿਯਮਾਂ ਵਿੱਚ ਅਨੁਵਾਦ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਜੋ SIEM, EDR, ਬੈਕਅੱਪ ਪਲੇਟਫਾਰਮਾਂ, ਜਾਂ ਸੈਂਡਬੌਕਸ ਵਿੱਚ ਏਕੀਕ੍ਰਿਤ ਹੁੰਦੇ ਹਨ। ਇਹ ਸੰਗਠਨਾਂ ਨੂੰ ਪਹਿਲਾਂ ਤੋਂ ਵਿਸ਼ਲੇਸ਼ਣ ਕੀਤੇ ਗਏ ਮੁਹਿੰਮਾਂ ਨਾਲ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਸਾਂਝੀਆਂ ਕਰਨ ਵਾਲੇ ਉੱਭਰ ਰਹੇ ਖਤਰਿਆਂ ਦਾ ਜਲਦੀ ਪਤਾ ਲਗਾਓ.

YARA ਨਿਯਮਾਂ ਦੇ ਸੰਟੈਕਸ ਨੂੰ ਸਮਝਣਾ

YARA ਦਾ ਸੰਟੈਕਸ ਕਾਫ਼ੀ ਹੱਦ ਤੱਕ C ਦੇ ਸਮਾਨ ਹੈ, ਪਰ ਇੱਕ ਸਰਲ ਅਤੇ ਵਧੇਰੇ ਕੇਂਦ੍ਰਿਤ ਤਰੀਕੇ ਨਾਲ। ਹਰੇਕ ਨਿਯਮ ਵਿੱਚ ਇੱਕ ਨਾਮ, ਇੱਕ ਵਿਕਲਪਿਕ ਮੈਟਾਡੇਟਾ ਭਾਗ, ਇੱਕ ਸਤਰ ਭਾਗ, ਅਤੇ, ਜ਼ਰੂਰੀ ਤੌਰ 'ਤੇ, ਇੱਕ ਸ਼ਰਤ ਭਾਗ ਹੁੰਦਾ ਹੈ।ਇੱਥੋਂ, ਸ਼ਕਤੀ ਇਸ ਗੱਲ ਵਿੱਚ ਹੈ ਕਿ ਤੁਸੀਂ ਇਸ ਸਭ ਨੂੰ ਕਿਵੇਂ ਜੋੜਦੇ ਹੋ।

ਪਹਿਲੀ ਹੈ ਨਿਯਮ ਦਾ ਨਾਮਇਸਨੂੰ ਕੀਵਰਡ ਦੇ ਠੀਕ ਬਾਅਦ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ। ਨਿਯਮ (o ਹਾਕਮ ਜੇਕਰ ਤੁਸੀਂ ਸਪੈਨਿਸ਼ ਵਿੱਚ ਦਸਤਾਵੇਜ਼ ਬਣਾਉਂਦੇ ਹੋ, ਹਾਲਾਂਕਿ ਫਾਈਲ ਵਿੱਚ ਕੀਵਰਡ ਹੋਵੇਗਾ ਨਿਯਮਅਤੇ ਇੱਕ ਵੈਧ ਪਛਾਣਕਰਤਾ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ: ਕੋਈ ਸਪੇਸ ਨਹੀਂ, ਕੋਈ ਨੰਬਰ ਨਹੀਂ, ਅਤੇ ਕੋਈ ਅੰਡਰਸਕੋਰ ਨਹੀਂ। ਇੱਕ ਸਪਸ਼ਟ ਪਰੰਪਰਾ ਦੀ ਪਾਲਣਾ ਕਰਨਾ ਇੱਕ ਚੰਗਾ ਵਿਚਾਰ ਹੈ, ਉਦਾਹਰਣ ਵਜੋਂ ਕੁਝ ਇਸ ਤਰ੍ਹਾਂ ਮਾਲਵੇਅਰ_ਫੈਮਿਲੀ_ਵੇਰੀਐਂਟ o APT_ਐਕਟਰ_ਟੂਲ, ਜੋ ਤੁਹਾਨੂੰ ਇੱਕ ਨਜ਼ਰ ਵਿੱਚ ਪਛਾਣਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ ਕਿ ਇਸਦਾ ਕੀ ਪਤਾ ਲਗਾਉਣਾ ਹੈ।

ਅੱਗੇ ਭਾਗ ਆਉਂਦਾ ਹੈ। ਸਤਰਜਿੱਥੇ ਤੁਸੀਂ ਉਹਨਾਂ ਪੈਟਰਨਾਂ ਨੂੰ ਪਰਿਭਾਸ਼ਿਤ ਕਰਦੇ ਹੋ ਜਿਨ੍ਹਾਂ ਦੀ ਤੁਸੀਂ ਖੋਜ ਕਰਨਾ ਚਾਹੁੰਦੇ ਹੋ। ਇੱਥੇ ਤੁਸੀਂ ਤਿੰਨ ਮੁੱਖ ਕਿਸਮਾਂ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹੋ: ਟੈਕਸਟ ਸਟ੍ਰਿੰਗਜ਼, ਹੈਕਸਾਡੈਸੀਮਲ ਕ੍ਰਮ, ਅਤੇ ਨਿਯਮਤ ਸਮੀਕਰਨਟੈਕਸਟ ਸਟ੍ਰਿੰਗ ਮਨੁੱਖੀ-ਪੜ੍ਹਨਯੋਗ ਕੋਡ ਸਨਿੱਪਟਾਂ, URL, ਅੰਦਰੂਨੀ ਸੁਨੇਹਿਆਂ, ਮਾਰਗ ਨਾਮਾਂ, ਜਾਂ PDB ਲਈ ਆਦਰਸ਼ ਹਨ। ਹੈਕਸਾਡੈਸੀਮਲ ਤੁਹਾਨੂੰ ਕੱਚੇ ਬਾਈਟ ਪੈਟਰਨਾਂ ਨੂੰ ਕੈਪਚਰ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੇ ਹਨ, ਜੋ ਕਿ ਬਹੁਤ ਉਪਯੋਗੀ ਹੁੰਦੇ ਹਨ ਜਦੋਂ ਕੋਡ ਅਸਪਸ਼ਟ ਹੁੰਦਾ ਹੈ ਪਰ ਕੁਝ ਸਥਿਰ ਕ੍ਰਮਾਂ ਨੂੰ ਬਰਕਰਾਰ ਰੱਖਦਾ ਹੈ।

ਜਦੋਂ ਤੁਹਾਨੂੰ ਕਿਸੇ ਸਟ੍ਰਿੰਗ ਵਿੱਚ ਛੋਟੀਆਂ ਭਿੰਨਤਾਵਾਂ ਨੂੰ ਕਵਰ ਕਰਨ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ, ਜਿਵੇਂ ਕਿ ਡੋਮੇਨ ਬਦਲਣਾ ਜਾਂ ਕੋਡ ਦੇ ਥੋੜ੍ਹੇ ਜਿਹੇ ਬਦਲੇ ਹੋਏ ਹਿੱਸੇ, ਤਾਂ ਨਿਯਮਤ ਸਮੀਕਰਨ ਲਚਕਤਾ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਸਟ੍ਰਿੰਗ ਅਤੇ ਰੇਜੈਕਸ ਦੋਵੇਂ ਐਸਕੇਪ ਨੂੰ ਮਨਮਾਨੇ ਬਾਈਟਾਂ ਨੂੰ ਦਰਸਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦੇ ਹਨ।, ਜੋ ਕਿ ਬਹੁਤ ਹੀ ਸਟੀਕ ਹਾਈਬ੍ਰਿਡ ਪੈਟਰਨਾਂ ਲਈ ਦਰਵਾਜ਼ਾ ਖੋਲ੍ਹਦਾ ਹੈ।

ਭਾਗ ਹਾਲਤ ਇਹ ਇੱਕੋ ਇੱਕ ਲਾਜ਼ਮੀ ਹੈ ਅਤੇ ਇਹ ਪਰਿਭਾਸ਼ਿਤ ਕਰਦਾ ਹੈ ਕਿ ਕਦੋਂ ਇੱਕ ਨਿਯਮ ਨੂੰ ਇੱਕ ਫਾਈਲ ਨੂੰ "ਮੇਲ" ਕਰਨ ਲਈ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ। ਉੱਥੇ ਤੁਸੀਂ ਬੂਲੀਅਨ ਅਤੇ ਅੰਕਗਣਿਤ ਕਾਰਜਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋ (ਅਤੇ, ਜਾਂ, ਨਹੀਂ, +, -, *, /, ਕੋਈ ਵੀ, ਸਭ, ਰੱਖਦਾ ਹੈ, ਆਦਿ।) ਇੱਕ ਸਧਾਰਨ "ਜੇ ਇਹ ਸਤਰ ਦਿਖਾਈ ਦਿੰਦੀ ਹੈ" ਨਾਲੋਂ ਵਧੀਆ ਖੋਜ ਤਰਕ ਨੂੰ ਪ੍ਰਗਟ ਕਰਨ ਲਈ।

ਉਦਾਹਰਨ ਲਈ, ਤੁਸੀਂ ਇਹ ਨਿਰਧਾਰਤ ਕਰ ਸਕਦੇ ਹੋ ਕਿ ਨਿਯਮ ਸਿਰਫ਼ ਤਾਂ ਹੀ ਵੈਧ ਹੈ ਜੇਕਰ ਫਾਈਲ ਇੱਕ ਖਾਸ ਆਕਾਰ ਤੋਂ ਛੋਟੀ ਹੈ, ਜੇਕਰ ਸਾਰੀਆਂ ਮਹੱਤਵਪੂਰਨ ਸਤਰਾਂ ਦਿਖਾਈ ਦਿੰਦੀਆਂ ਹਨ, ਜਾਂ ਜੇਕਰ ਘੱਟੋ-ਘੱਟ ਕਈ ਸਤਰਾਂ ਵਿੱਚੋਂ ਇੱਕ ਮੌਜੂਦ ਹੈ। ਤੁਸੀਂ ਸਟ੍ਰਿੰਗ ਦੀ ਲੰਬਾਈ, ਮੈਚਾਂ ਦੀ ਗਿਣਤੀ, ਫਾਈਲ ਵਿੱਚ ਖਾਸ ਆਫਸੈੱਟ, ਜਾਂ ਫਾਈਲ ਦੇ ਆਕਾਰ ਵਰਗੀਆਂ ਸਥਿਤੀਆਂ ਨੂੰ ਵੀ ਜੋੜ ਸਕਦੇ ਹੋ।ਇੱਥੇ ਰਚਨਾਤਮਕਤਾ ਆਮ ਨਿਯਮਾਂ ਅਤੇ ਸਰਜੀਕਲ ਖੋਜਾਂ ਵਿੱਚ ਅੰਤਰ ਬਣਾਉਂਦੀ ਹੈ।

ਅੰਤ ਵਿੱਚ, ਤੁਹਾਡੇ ਕੋਲ ਵਿਕਲਪਿਕ ਭਾਗ ਹੈ ਮੈਟਾਮਿਆਦ ਦੇ ਦਸਤਾਵੇਜ਼ੀਕਰਨ ਲਈ ਆਦਰਸ਼। ਇਸ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰਨਾ ਆਮ ਹੈ ਲੇਖਕ, ਰਚਨਾ ਦੀ ਮਿਤੀ, ਵਰਣਨ, ਅੰਦਰੂਨੀ ਸੰਸਕਰਣ, ਰਿਪੋਰਟਾਂ ਜਾਂ ਟਿਕਟਾਂ ਦਾ ਹਵਾਲਾ ਅਤੇ, ਆਮ ਤੌਰ 'ਤੇ, ਕੋਈ ਵੀ ਜਾਣਕਾਰੀ ਜੋ ਰਿਪੋਜ਼ਟਰੀ ਨੂੰ ਸੰਗਠਿਤ ਰੱਖਣ ਅਤੇ ਦੂਜੇ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਲਈ ਸਮਝਣ ਯੋਗ ਬਣਾਉਣ ਵਿੱਚ ਮਦਦ ਕਰਦੀ ਹੈ।

ਉੱਨਤ YARA ਨਿਯਮਾਂ ਦੀਆਂ ਵਿਹਾਰਕ ਉਦਾਹਰਣਾਂ

ਉਪਰੋਕਤ ਸਾਰੀਆਂ ਗੱਲਾਂ ਨੂੰ ਦ੍ਰਿਸ਼ਟੀਕੋਣ ਵਿੱਚ ਰੱਖਣ ਲਈ, ਇਹ ਦੇਖਣਾ ਮਦਦਗਾਰ ਹੈ ਕਿ ਇੱਕ ਸਧਾਰਨ ਨਿਯਮ ਕਿਵੇਂ ਬਣਤਰਿਆ ਜਾਂਦਾ ਹੈ ਅਤੇ ਜਦੋਂ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਫਾਈਲਾਂ, ਸ਼ੱਕੀ ਆਯਾਤ, ਜਾਂ ਦੁਹਰਾਉਣ ਵਾਲੇ ਨਿਰਦੇਸ਼ ਕ੍ਰਮ ਲਾਗੂ ਹੁੰਦੇ ਹਨ ਤਾਂ ਇਹ ਕਿਵੇਂ ਹੋਰ ਗੁੰਝਲਦਾਰ ਹੋ ਜਾਂਦਾ ਹੈ। ਆਓ ਇੱਕ ਖਿਡੌਣੇ ਦੇ ਰੂਲਰ ਨਾਲ ਸ਼ੁਰੂਆਤ ਕਰੀਏ ਅਤੇ ਹੌਲੀ-ਹੌਲੀ ਆਕਾਰ ਵਧਾਏ।.

ਇੱਕ ਘੱਟੋ-ਘੱਟ ਨਿਯਮ ਵਿੱਚ ਸਿਰਫ਼ ਇੱਕ ਸਤਰ ਅਤੇ ਇੱਕ ਸ਼ਰਤ ਹੋ ਸਕਦੀ ਹੈ ਜੋ ਇਸਨੂੰ ਲਾਜ਼ਮੀ ਬਣਾਉਂਦੀ ਹੈ। ਉਦਾਹਰਨ ਲਈ, ਤੁਸੀਂ ਇੱਕ ਖਾਸ ਟੈਕਸਟ ਸਤਰ ਜਾਂ ਮਾਲਵੇਅਰ ਫਰੈਗਮੈਂਟ ਦੇ ਪ੍ਰਤੀਨਿਧੀ ਬਾਈਟ ਕ੍ਰਮ ਦੀ ਖੋਜ ਕਰ ਸਕਦੇ ਹੋ। ਉਸ ਸਥਿਤੀ ਵਿੱਚ, ਸ਼ਰਤ ਸਿਰਫ਼ ਇਹ ਦੱਸੇਗੀ ਕਿ ਜੇਕਰ ਉਹ ਸਤਰ ਜਾਂ ਪੈਟਰਨ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ ਤਾਂ ਨਿਯਮ ਪੂਰਾ ਹੋ ਜਾਂਦਾ ਹੈ।, ਬਿਨਾਂ ਹੋਰ ਫਿਲਟਰਾਂ ਦੇ।

ਹਾਲਾਂਕਿ, ਅਸਲ-ਸੰਸਾਰ ਸੈਟਿੰਗਾਂ ਵਿੱਚ ਇਹ ਘੱਟ ਪੈਂਦਾ ਹੈ, ਕਿਉਂਕਿ ਸਾਧਾਰਨ ਚੇਨਾਂ ਅਕਸਰ ਬਹੁਤ ਸਾਰੇ ਝੂਠੇ ਸਕਾਰਾਤਮਕ ਪੈਦਾ ਕਰਦੀਆਂ ਹਨ।ਇਸੇ ਲਈ ਕਈ ਸਟ੍ਰਿੰਗਾਂ (ਟੈਕਸਟ ਅਤੇ ਹੈਕਸਾਡੈਸੀਮਲ) ਨੂੰ ਵਾਧੂ ਪਾਬੰਦੀਆਂ ਨਾਲ ਜੋੜਨਾ ਆਮ ਗੱਲ ਹੈ: ਕਿ ਫਾਈਲ ਇੱਕ ਖਾਸ ਆਕਾਰ ਤੋਂ ਵੱਧ ਨਾ ਹੋਵੇ, ਕਿ ਇਸ ਵਿੱਚ ਖਾਸ ਹੈਡਰ ਹੋਣ, ਜਾਂ ਇਹ ਸਿਰਫ਼ ਤਾਂ ਹੀ ਕਿਰਿਆਸ਼ੀਲ ਹੁੰਦੀ ਹੈ ਜੇਕਰ ਹਰੇਕ ਪਰਿਭਾਸ਼ਿਤ ਸਮੂਹ ਵਿੱਚੋਂ ਘੱਟੋ-ਘੱਟ ਇੱਕ ਸਟ੍ਰਿੰਗ ਮਿਲਦੀ ਹੈ।

PE ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਵਿਸ਼ਲੇਸ਼ਣ ਵਿੱਚ ਇੱਕ ਆਮ ਉਦਾਹਰਣ ਵਿੱਚ ਮੋਡੀਊਲ ਨੂੰ ਆਯਾਤ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ pe YARA ਤੋਂ, ਜੋ ਤੁਹਾਨੂੰ ਬਾਈਨਰੀ ਦੀਆਂ ਅੰਦਰੂਨੀ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੀ ਪੁੱਛਗਿੱਛ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ: ਆਯਾਤ ਕੀਤੇ ਫੰਕਸ਼ਨ, ਭਾਗ, ਟਾਈਮਸਟੈਂਪ, ਆਦਿ। ਇੱਕ ਉੱਨਤ ਨਿਯਮ ਲਈ ਫਾਈਲ ਨੂੰ ਆਯਾਤ ਕਰਨ ਦੀ ਲੋੜ ਹੋ ਸਕਦੀ ਹੈ ਪ੍ਰਕਿਰਿਆ ਬਣਾਓ ਤੋਂ Kernel32.dll ਅਤੇ ਕੁਝ HTTP ਫੰਕਸ਼ਨ ਤੋਂ wininet.dll ਡਾਊਨਲੋਡ ਕਰੋ, ਇਸ ਤੋਂ ਇਲਾਵਾ, ਜਿਸ ਵਿੱਚ ਇੱਕ ਖਾਸ ਸਤਰ ਸ਼ਾਮਲ ਹੈ ਜੋ ਖਤਰਨਾਕ ਵਿਵਹਾਰ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ।

ਇਸ ਕਿਸਮ ਦਾ ਤਰਕ ਲੱਭਣ ਲਈ ਸੰਪੂਰਨ ਹੈ ਰਿਮੋਟ ਕਨੈਕਸ਼ਨ ਜਾਂ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਸਮਰੱਥਾਵਾਂ ਵਾਲੇ ਟ੍ਰੋਜਨਭਾਵੇਂ ਫਾਈਲ ਨਾਮ ਜਾਂ ਮਾਰਗ ਇੱਕ ਮੁਹਿੰਮ ਤੋਂ ਦੂਜੀ ਮੁਹਿੰਮ ਵਿੱਚ ਬਦਲਦੇ ਹੋਣ। ਮਹੱਤਵਪੂਰਨ ਗੱਲ ਇਹ ਹੈ ਕਿ ਅੰਤਰੀਵ ਵਿਵਹਾਰ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕੀਤਾ ਜਾਵੇ: ਪ੍ਰਕਿਰਿਆ ਬਣਾਉਣਾ, HTTP ਬੇਨਤੀਆਂ, ਏਨਕ੍ਰਿਪਸ਼ਨ, ਸਥਿਰਤਾ, ਆਦਿ।

ਇੱਕ ਹੋਰ ਬਹੁਤ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਤਕਨੀਕ ਹੈ ਇਹ ਦੇਖਣਾ ਕਿ ਦੁਹਰਾਏ ਜਾਣ ਵਾਲੇ ਨਿਰਦੇਸ਼ਾਂ ਦੇ ਕ੍ਰਮ ਇੱਕੋ ਪਰਿਵਾਰ ਦੇ ਨਮੂਨਿਆਂ ਵਿਚਕਾਰ। ਭਾਵੇਂ ਹਮਲਾਵਰ ਬਾਈਨਰੀ ਨੂੰ ਪੈਕੇਜ ਕਰਦੇ ਹਨ ਜਾਂ ਅਸਪਸ਼ਟ ਕਰਦੇ ਹਨ, ਉਹ ਅਕਸਰ ਕੋਡ ਦੇ ਉਹਨਾਂ ਹਿੱਸਿਆਂ ਦੀ ਮੁੜ ਵਰਤੋਂ ਕਰਦੇ ਹਨ ਜਿਨ੍ਹਾਂ ਨੂੰ ਬਦਲਣਾ ਮੁਸ਼ਕਲ ਹੁੰਦਾ ਹੈ। ਜੇਕਰ, ਸਥਿਰ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਬਾਅਦ, ਤੁਹਾਨੂੰ ਨਿਰਦੇਸ਼ਾਂ ਦੇ ਨਿਰੰਤਰ ਬਲਾਕ ਮਿਲਦੇ ਹਨ, ਤਾਂ ਤੁਸੀਂ ਇੱਕ ਨਿਯਮ ਤਿਆਰ ਕਰ ਸਕਦੇ ਹੋ ਹੈਕਸਾਡੈਸੀਮਲ ਸਟ੍ਰਿੰਗਾਂ ਵਿੱਚ ਵਾਈਲਡਕਾਰਡ ਜੋ ਇੱਕ ਖਾਸ ਸਹਿਣਸ਼ੀਲਤਾ ਬਣਾਈ ਰੱਖਦੇ ਹੋਏ ਉਸ ਪੈਟਰਨ ਨੂੰ ਹਾਸਲ ਕਰਦਾ ਹੈ।

ਇਹਨਾਂ "ਕੋਡ ਵਿਵਹਾਰ-ਅਧਾਰਤ" ਨਿਯਮਾਂ ਨਾਲ ਇਹ ਸੰਭਵ ਹੈ PlugX/Korplug ਜਾਂ ਹੋਰ APT ਪਰਿਵਾਰਾਂ ਵਰਗੇ ਪੂਰੇ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮਾਂ ਨੂੰ ਟਰੈਕ ਕਰੋਤੁਸੀਂ ਸਿਰਫ਼ ਇੱਕ ਖਾਸ ਹੈਸ਼ ਦਾ ਪਤਾ ਨਹੀਂ ਲਗਾਉਂਦੇ, ਸਗੋਂ ਤੁਸੀਂ ਹਮਲਾਵਰਾਂ ਦੇ ਵਿਕਾਸ ਸ਼ੈਲੀ, ਜਿਵੇਂ ਕਿ ਬੋਲਣਾ ਹੈ, ਦੀ ਪਾਲਣਾ ਕਰਦੇ ਹੋ।

ਅਸਲ ਮੁਹਿੰਮਾਂ ਅਤੇ ਜ਼ੀਰੋ-ਡੇ ਧਮਕੀਆਂ ਵਿੱਚ YARA ਦੀ ਵਰਤੋਂ

YARA ਨੇ ਖਾਸ ਤੌਰ 'ਤੇ ਉੱਨਤ ਖਤਰਿਆਂ ਅਤੇ ਜ਼ੀਰੋ-ਡੇਅ ਸ਼ੋਸ਼ਣ ਦੇ ਖੇਤਰ ਵਿੱਚ ਆਪਣੀ ਕੀਮਤ ਸਾਬਤ ਕੀਤੀ ਹੈ, ਜਿੱਥੇ ਕਲਾਸਿਕ ਸੁਰੱਖਿਆ ਵਿਧੀਆਂ ਬਹੁਤ ਦੇਰ ਨਾਲ ਪਹੁੰਚਦੀਆਂ ਹਨ। ਇੱਕ ਜਾਣੀ-ਪਛਾਣੀ ਉਦਾਹਰਣ ਘੱਟੋ-ਘੱਟ ਲੀਕ ਹੋਈ ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਤੋਂ ਸਿਲਵਰਲਾਈਟ ਵਿੱਚ ਇੱਕ ਸ਼ੋਸ਼ਣ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ YARA ਦੀ ਵਰਤੋਂ ਹੈ।.

ਉਸ ਸਥਿਤੀ ਵਿੱਚ, ਅਪਮਾਨਜਨਕ ਸਾਧਨਾਂ ਦੇ ਵਿਕਾਸ ਲਈ ਸਮਰਪਿਤ ਇੱਕ ਕੰਪਨੀ ਤੋਂ ਚੋਰੀ ਕੀਤੀਆਂ ਈਮੇਲਾਂ ਤੋਂ, ਇੱਕ ਖਾਸ ਸ਼ੋਸ਼ਣ ਲਈ ਅਧਾਰਤ ਇੱਕ ਨਿਯਮ ਬਣਾਉਣ ਲਈ ਕਾਫ਼ੀ ਪੈਟਰਨ ਕੱਢੇ ਗਏ ਸਨ। ਉਸ ਇੱਕਲੇ ਨਿਯਮ ਨਾਲ, ਖੋਜਕਰਤਾ ਸ਼ੱਕੀ ਫਾਈਲਾਂ ਦੇ ਸਮੁੰਦਰ ਵਿੱਚੋਂ ਨਮੂਨੇ ਨੂੰ ਟਰੇਸ ਕਰਨ ਦੇ ਯੋਗ ਹੋ ਗਏ।ਸ਼ੋਸ਼ਣ ਦੀ ਪਛਾਣ ਕਰੋ ਅਤੇ ਇਸਦੀ ਪੈਚਿੰਗ ਨੂੰ ਜ਼ਬਰਦਸਤੀ ਕਰੋ, ਜਿਸ ਨਾਲ ਬਹੁਤ ਜ਼ਿਆਦਾ ਗੰਭੀਰ ਨੁਕਸਾਨ ਨੂੰ ਰੋਕਿਆ ਜਾ ਸਕੇ।

ਇਸ ਤਰ੍ਹਾਂ ਦੀਆਂ ਕਹਾਣੀਆਂ ਦਰਸਾਉਂਦੀਆਂ ਹਨ ਕਿ ਯਾਰਾ ਕਿਵੇਂ ਕੰਮ ਕਰ ਸਕਦੀ ਹੈ ਫਾਈਲਾਂ ਦੇ ਸਮੁੰਦਰ ਵਿੱਚ ਮੱਛੀਆਂ ਫੜਨ ਦਾ ਜਾਲਆਪਣੇ ਕਾਰਪੋਰੇਟ ਨੈੱਟਵਰਕ ਦੀ ਕਲਪਨਾ ਕਰੋ ਕਿ ਇਹ ਹਰ ਤਰ੍ਹਾਂ ਦੀਆਂ "ਮੱਛੀਆਂ" (ਫਾਈਲਾਂ) ਨਾਲ ਭਰਿਆ ਇੱਕ ਸਮੁੰਦਰ ਹੈ। ਤੁਹਾਡੇ ਨਿਯਮ ਇੱਕ ਟਰਾਲ ਜਾਲ ਵਿੱਚ ਡੱਬਿਆਂ ਵਾਂਗ ਹਨ: ਹਰੇਕ ਡੱਬਾ ਉਨ੍ਹਾਂ ਮੱਛੀਆਂ ਨੂੰ ਰੱਖਦਾ ਹੈ ਜੋ ਖਾਸ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੇ ਅਨੁਕੂਲ ਹੁੰਦੀਆਂ ਹਨ।

ਜਦੋਂ ਤੁਸੀਂ ਡਰੈਗ ਪੂਰਾ ਕਰਦੇ ਹੋ, ਤਾਂ ਤੁਹਾਡੇ ਕੋਲ ਖਾਸ ਪਰਿਵਾਰਾਂ ਜਾਂ ਹਮਲਾਵਰਾਂ ਦੇ ਸਮੂਹਾਂ ਨਾਲ ਸਮਾਨਤਾ ਦੁਆਰਾ ਸਮੂਹਬੱਧ ਕੀਤੇ ਗਏ ਨਮੂਨੇ: “ਸਪੀਸੀਜ਼ ਐਕਸ ਦੇ ਸਮਾਨ”, “ਸਪੀਸੀਜ਼ ਵਾਈ ਦੇ ਸਮਾਨ”, ਆਦਿ। ਇਹਨਾਂ ਵਿੱਚੋਂ ਕੁਝ ਨਮੂਨੇ ਤੁਹਾਡੇ ਲਈ ਬਿਲਕੁਲ ਨਵੇਂ ਹੋ ਸਕਦੇ ਹਨ (ਨਵੀਆਂ ਬਾਈਨਰੀਆਂ, ਨਵੀਆਂ ਮੁਹਿੰਮਾਂ), ਪਰ ਉਹ ਇੱਕ ਜਾਣੇ-ਪਛਾਣੇ ਪੈਟਰਨ ਵਿੱਚ ਫਿੱਟ ਹੁੰਦੇ ਹਨ, ਜੋ ਤੁਹਾਡੇ ਵਰਗੀਕਰਨ ਅਤੇ ਜਵਾਬ ਨੂੰ ਤੇਜ਼ ਕਰਦਾ ਹੈ।

ਇਸ ਸੰਦਰਭ ਵਿੱਚ YARA ਦਾ ਵੱਧ ਤੋਂ ਵੱਧ ਲਾਭ ਉਠਾਉਣ ਲਈ, ਬਹੁਤ ਸਾਰੀਆਂ ਸੰਸਥਾਵਾਂ ਇਕੱਠੀਆਂ ਹੁੰਦੀਆਂ ਹਨ ਉੱਨਤ ਸਿਖਲਾਈ, ਵਿਹਾਰਕ ਪ੍ਰਯੋਗਸ਼ਾਲਾਵਾਂ ਅਤੇ ਨਿਯੰਤਰਿਤ ਪ੍ਰਯੋਗ ਵਾਤਾਵਰਣਚੰਗੇ ਨਿਯਮ ਲਿਖਣ ਦੀ ਕਲਾ ਲਈ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਸਮਰਪਿਤ ਬਹੁਤ ਹੀ ਵਿਸ਼ੇਸ਼ ਕੋਰਸ ਹਨ, ਜੋ ਅਕਸਰ ਸਾਈਬਰ ਜਾਸੂਸੀ ਦੇ ਅਸਲ ਮਾਮਲਿਆਂ 'ਤੇ ਅਧਾਰਤ ਹੁੰਦੇ ਹਨ, ਜਿਸ ਵਿੱਚ ਵਿਦਿਆਰਥੀ ਪ੍ਰਮਾਣਿਕ ​​ਨਮੂਨਿਆਂ ਨਾਲ ਅਭਿਆਸ ਕਰਦੇ ਹਨ ਅਤੇ "ਕੁਝ" ਦੀ ਖੋਜ ਕਰਨਾ ਸਿੱਖਦੇ ਹਨ ਭਾਵੇਂ ਉਹਨਾਂ ਨੂੰ ਬਿਲਕੁਲ ਨਹੀਂ ਪਤਾ ਹੁੰਦਾ ਕਿ ਉਹ ਕੀ ਲੱਭ ਰਹੇ ਹਨ।

YARA ਨੂੰ ਬੈਕਅੱਪ ਅਤੇ ਰਿਕਵਰੀ ਪਲੇਟਫਾਰਮਾਂ ਵਿੱਚ ਏਕੀਕ੍ਰਿਤ ਕਰੋ

ਇੱਕ ਖੇਤਰ ਜਿੱਥੇ YARA ਪੂਰੀ ਤਰ੍ਹਾਂ ਫਿੱਟ ਬੈਠਦਾ ਹੈ, ਅਤੇ ਜੋ ਅਕਸਰ ਕੁਝ ਹੱਦ ਤੱਕ ਅਣਦੇਖਿਆ ਜਾਂਦਾ ਹੈ, ਉਹ ਹੈ ਬੈਕਅੱਪ ਦੀ ਸੁਰੱਖਿਆ। ਜੇਕਰ ਬੈਕਅੱਪ ਮਾਲਵੇਅਰ ਜਾਂ ਰੈਨਸਮਵੇਅਰ ਨਾਲ ਸੰਕਰਮਿਤ ਹਨ, ਤਾਂ ਇੱਕ ਰੀਸਟੋਰ ਇੱਕ ਪੂਰੀ ਮੁਹਿੰਮ ਨੂੰ ਮੁੜ ਚਾਲੂ ਕਰ ਸਕਦਾ ਹੈ।ਇਸੇ ਲਈ ਕੁਝ ਨਿਰਮਾਤਾਵਾਂ ਨੇ YARA ਇੰਜਣਾਂ ਨੂੰ ਸਿੱਧੇ ਆਪਣੇ ਹੱਲਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤਾ ਹੈ।

ਅਗਲੀ ਪੀੜ੍ਹੀ ਦੇ ਬੈਕਅੱਪ ਪਲੇਟਫਾਰਮ ਲਾਂਚ ਕੀਤੇ ਜਾ ਸਕਦੇ ਹਨ ਰੀਸਟੋਰ ਪੁਆਇੰਟਾਂ 'ਤੇ YARA ਨਿਯਮ-ਅਧਾਰਤ ਵਿਸ਼ਲੇਸ਼ਣ ਸੈਸ਼ਨਟੀਚਾ ਦੋਹਰਾ ਹੈ: ਕਿਸੇ ਘਟਨਾ ਤੋਂ ਪਹਿਲਾਂ ਆਖਰੀ "ਸਾਫ਼" ਬਿੰਦੂ ਦਾ ਪਤਾ ਲਗਾਉਣਾ ਅਤੇ ਫਾਈਲਾਂ ਵਿੱਚ ਛੁਪੀ ਹੋਈ ਖਤਰਨਾਕ ਸਮੱਗਰੀ ਦਾ ਪਤਾ ਲਗਾਉਣਾ ਜੋ ਸ਼ਾਇਦ ਹੋਰ ਜਾਂਚਾਂ ਦੁਆਰਾ ਸ਼ੁਰੂ ਨਾ ਕੀਤੀ ਗਈ ਹੋਵੇ।

ਇਹਨਾਂ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਆਮ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ "" ਦਾ ਵਿਕਲਪ ਚੁਣਨਾ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ।YARA ਰੂਲਰ ਨਾਲ ਰੀਸਟੋਰ ਪੁਆਇੰਟ ਸਕੈਨ ਕਰੋ"ਇੱਕ ਵਿਸ਼ਲੇਸ਼ਣ ਕੰਮ ਦੀ ਸੰਰਚਨਾ ਦੌਰਾਨ। ਅੱਗੇ, ਨਿਯਮ ਫਾਈਲ ਦਾ ਮਾਰਗ ਨਿਰਧਾਰਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ (ਆਮ ਤੌਰ 'ਤੇ ਐਕਸਟੈਂਸ਼ਨ .yara ਜਾਂ .yar ਦੇ ਨਾਲ), ਜੋ ਕਿ ਆਮ ਤੌਰ 'ਤੇ ਬੈਕਅੱਪ ਹੱਲ ਲਈ ਖਾਸ ਸੰਰਚਨਾ ਫੋਲਡਰ ਵਿੱਚ ਸਟੋਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।"

ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੌਰਾਨ, ਇੰਜਣ ਕਾਪੀ ਵਿੱਚ ਮੌਜੂਦ ਵਸਤੂਆਂ ਰਾਹੀਂ ਦੁਹਰਾਉਂਦਾ ਹੈ, ਨਿਯਮਾਂ ਨੂੰ ਲਾਗੂ ਕਰਦਾ ਹੈ, ਅਤੇ ਇਹ ਇੱਕ ਖਾਸ YARA ਵਿਸ਼ਲੇਸ਼ਣ ਲੌਗ ਵਿੱਚ ਸਾਰੇ ਮੈਚਾਂ ਨੂੰ ਰਿਕਾਰਡ ਕਰਦਾ ਹੈ।ਪ੍ਰਸ਼ਾਸਕ ਕੰਸੋਲ ਤੋਂ ਇਹਨਾਂ ਲੌਗਾਂ ਨੂੰ ਦੇਖ ਸਕਦਾ ਹੈ, ਅੰਕੜਿਆਂ ਦੀ ਸਮੀਖਿਆ ਕਰ ਸਕਦਾ ਹੈ, ਦੇਖ ਸਕਦਾ ਹੈ ਕਿ ਕਿਹੜੀਆਂ ਫਾਈਲਾਂ ਨੇ ਚੇਤਾਵਨੀ ਸ਼ੁਰੂ ਕੀਤੀ, ਅਤੇ ਇਹ ਵੀ ਪਤਾ ਲਗਾ ਸਕਦਾ ਹੈ ਕਿ ਹਰੇਕ ਮੈਚ ਕਿਹੜੀਆਂ ਮਸ਼ੀਨਾਂ ਅਤੇ ਖਾਸ ਮਿਤੀ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ।

ਇਹ ਏਕੀਕਰਨ ਹੋਰ ਵਿਧੀਆਂ ਦੁਆਰਾ ਪੂਰਕ ਹੈ ਜਿਵੇਂ ਕਿ ਅਸੰਗਤੀ ਖੋਜ, ਬੈਕਅੱਪ ਆਕਾਰ ਦੀ ਨਿਗਰਾਨੀ, ਖਾਸ IOC ਦੀ ਖੋਜ, ਜਾਂ ਸ਼ੱਕੀ ਔਜ਼ਾਰਾਂ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣਪਰ ਜਦੋਂ ਕਿਸੇ ਖਾਸ ਰੈਨਸਮਵੇਅਰ ਪਰਿਵਾਰ ਜਾਂ ਮੁਹਿੰਮ ਦੇ ਅਨੁਸਾਰ ਬਣਾਏ ਗਏ ਨਿਯਮਾਂ ਦੀ ਗੱਲ ਆਉਂਦੀ ਹੈ, ਤਾਂ YARA ਉਸ ਖੋਜ ਨੂੰ ਸੁਧਾਰਨ ਲਈ ਸਭ ਤੋਂ ਵਧੀਆ ਸਾਧਨ ਹੈ।

ਆਪਣੇ ਨੈੱਟਵਰਕ ਨੂੰ ਤੋੜੇ ਬਿਨਾਂ YARA ਨਿਯਮਾਂ ਦੀ ਜਾਂਚ ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਕਿਵੇਂ ਕਰੀਏ

ਇੱਕ ਵਾਰ ਜਦੋਂ ਤੁਸੀਂ ਆਪਣੇ ਨਿਯਮ ਲਿਖਣੇ ਸ਼ੁਰੂ ਕਰ ਦਿੰਦੇ ਹੋ, ਤਾਂ ਅਗਲਾ ਮਹੱਤਵਪੂਰਨ ਕਦਮ ਉਹਨਾਂ ਦੀ ਚੰਗੀ ਤਰ੍ਹਾਂ ਜਾਂਚ ਕਰਨਾ ਹੁੰਦਾ ਹੈ। ਇੱਕ ਬਹੁਤ ਜ਼ਿਆਦਾ ਹਮਲਾਵਰ ਨਿਯਮ ਝੂਠੇ ਸਕਾਰਾਤਮਕ ਵਿਚਾਰਾਂ ਦਾ ਹੜ੍ਹ ਪੈਦਾ ਕਰ ਸਕਦਾ ਹੈ, ਜਦੋਂ ਕਿ ਇੱਕ ਬਹੁਤ ਜ਼ਿਆਦਾ ਢਿੱਲਾ ਅਸਲ ਖ਼ਤਰਿਆਂ ਨੂੰ ਲੰਘਣ ਦੇ ਸਕਦਾ ਹੈ।ਇਸੇ ਲਈ ਟੈਸਟਿੰਗ ਪੜਾਅ ਲਿਖਣ ਦੇ ਪੜਾਅ ਵਾਂਗ ਹੀ ਮਹੱਤਵਪੂਰਨ ਹੈ।

ਚੰਗੀ ਖ਼ਬਰ ਇਹ ਹੈ ਕਿ ਅਜਿਹਾ ਕਰਨ ਲਈ ਤੁਹਾਨੂੰ ਕੰਮ ਕਰਨ ਵਾਲੇ ਮਾਲਵੇਅਰ ਨਾਲ ਭਰੀ ਲੈਬ ਸਥਾਪਤ ਕਰਨ ਅਤੇ ਅੱਧੇ ਨੈੱਟਵਰਕ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਦੀ ਜ਼ਰੂਰਤ ਨਹੀਂ ਹੈ। ਰਿਪੋਜ਼ਟਰੀਆਂ ਅਤੇ ਡੇਟਾਸੈੱਟ ਪਹਿਲਾਂ ਹੀ ਮੌਜੂਦ ਹਨ ਜੋ ਇਹ ਜਾਣਕਾਰੀ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ। ਖੋਜ ਉਦੇਸ਼ਾਂ ਲਈ ਜਾਣੇ-ਪਛਾਣੇ ਅਤੇ ਨਿਯੰਤਰਿਤ ਮਾਲਵੇਅਰ ਨਮੂਨੇਤੁਸੀਂ ਉਹਨਾਂ ਨਮੂਨਿਆਂ ਨੂੰ ਇੱਕ ਵੱਖਰੇ ਵਾਤਾਵਰਣ ਵਿੱਚ ਡਾਊਨਲੋਡ ਕਰ ਸਕਦੇ ਹੋ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਆਪਣੇ ਨਿਯਮਾਂ ਲਈ ਇੱਕ ਟੈਸਟਬੈੱਡ ਵਜੋਂ ਵਰਤ ਸਕਦੇ ਹੋ।

ਆਮ ਤਰੀਕਾ ਇਹ ਹੈ ਕਿ ਸ਼ੱਕੀ ਫਾਈਲਾਂ ਵਾਲੀ ਡਾਇਰੈਕਟਰੀ ਦੇ ਵਿਰੁੱਧ, ਕਮਾਂਡ ਲਾਈਨ ਤੋਂ, ਸਥਾਨਕ ਤੌਰ 'ਤੇ YARA ਚਲਾ ਕੇ ਸ਼ੁਰੂਆਤ ਕੀਤੀ ਜਾਵੇ। ਜੇਕਰ ਤੁਹਾਡੇ ਨਿਯਮ ਉੱਥੇ ਮੇਲ ਖਾਂਦੇ ਹਨ ਜਿੱਥੇ ਉਹਨਾਂ ਨੂੰ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ ਅਤੇ ਸਾਫ਼ ਫਾਈਲਾਂ ਵਿੱਚ ਮੁਸ਼ਕਿਲ ਨਾਲ ਟੁੱਟਦੇ ਹਨ, ਤਾਂ ਤੁਸੀਂ ਸਹੀ ਰਸਤੇ 'ਤੇ ਹੋ।ਜੇਕਰ ਉਹ ਬਹੁਤ ਜ਼ਿਆਦਾ ਟਰਿੱਗਰ ਕਰ ਰਹੇ ਹਨ, ਤਾਂ ਇਹ ਸਮਾਂ ਹੈ ਕਿ ਸਟ੍ਰਿੰਗਾਂ ਦੀ ਸਮੀਖਿਆ ਕੀਤੀ ਜਾਵੇ, ਸ਼ਰਤਾਂ ਨੂੰ ਸੁਧਾਰਿਆ ਜਾਵੇ, ਜਾਂ ਵਾਧੂ ਪਾਬੰਦੀਆਂ (ਆਕਾਰ, ਆਯਾਤ, ਆਫਸੈੱਟ, ਆਦਿ) ਲਾਗੂ ਕੀਤੀਆਂ ਜਾਣ।

ਇੱਕ ਹੋਰ ਮੁੱਖ ਨੁਕਤਾ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣਾ ਹੈ ਕਿ ਤੁਹਾਡੇ ਨਿਯਮ ਪ੍ਰਦਰਸ਼ਨ ਨਾਲ ਸਮਝੌਤਾ ਨਾ ਕਰਨ। ਵੱਡੀਆਂ ਡਾਇਰੈਕਟਰੀਆਂ, ਪੂਰੇ ਬੈਕਅੱਪ, ਜਾਂ ਵੱਡੇ ਨਮੂਨੇ ਸੰਗ੍ਰਹਿ ਨੂੰ ਸਕੈਨ ਕਰਦੇ ਸਮੇਂ, ਮਾੜੇ ਢੰਗ ਨਾਲ ਅਨੁਕੂਲਿਤ ਨਿਯਮ ਵਿਸ਼ਲੇਸ਼ਣ ਨੂੰ ਹੌਲੀ ਕਰ ਸਕਦੇ ਹਨ ਜਾਂ ਲੋੜ ਤੋਂ ਵੱਧ ਸਰੋਤਾਂ ਦੀ ਖਪਤ ਕਰ ਸਕਦੇ ਹਨ।ਇਸ ਲਈ, ਸਮੇਂ ਨੂੰ ਮਾਪਣ, ਗੁੰਝਲਦਾਰ ਸਮੀਕਰਨਾਂ ਨੂੰ ਸਰਲ ਬਣਾਉਣ, ਅਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਭਾਰੀ ਰੇਜੈਕਸ ਤੋਂ ਬਚਣ ਦੀ ਸਲਾਹ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ।

ਉਸ ਪ੍ਰਯੋਗਸ਼ਾਲਾ ਟੈਸਟਿੰਗ ਪੜਾਅ ਵਿੱਚੋਂ ਲੰਘਣ ਤੋਂ ਬਾਅਦ, ਤੁਸੀਂ ਯੋਗ ਹੋਵੋਗੇ ਉਤਪਾਦਨ ਵਾਤਾਵਰਣ ਵਿੱਚ ਨਿਯਮਾਂ ਨੂੰ ਉਤਸ਼ਾਹਿਤ ਕਰੋਭਾਵੇਂ ਇਹ ਤੁਹਾਡੇ SIEM ਵਿੱਚ ਹੋਵੇ, ਤੁਹਾਡੇ ਬੈਕਅੱਪ ਸਿਸਟਮ, ਈਮੇਲ ਸਰਵਰ, ਜਾਂ ਜਿੱਥੇ ਵੀ ਤੁਸੀਂ ਉਹਨਾਂ ਨੂੰ ਏਕੀਕ੍ਰਿਤ ਕਰਨਾ ਚਾਹੁੰਦੇ ਹੋ। ਅਤੇ ਇੱਕ ਨਿਰੰਤਰ ਸਮੀਖਿਆ ਚੱਕਰ ਬਣਾਈ ਰੱਖਣਾ ਨਾ ਭੁੱਲੋ: ਜਿਵੇਂ-ਜਿਵੇਂ ਮੁਹਿੰਮਾਂ ਵਿਕਸਤ ਹੁੰਦੀਆਂ ਹਨ, ਤੁਹਾਡੇ ਨਿਯਮਾਂ ਨੂੰ ਸਮੇਂ-ਸਮੇਂ 'ਤੇ ਸਮਾਯੋਜਨ ਦੀ ਲੋੜ ਪਵੇਗੀ।

YARA ਨਾਲ ਟੂਲ, ਪ੍ਰੋਗਰਾਮ ਅਤੇ ਵਰਕਫਲੋ

ਅਧਿਕਾਰਤ ਬਾਈਨਰੀ ਤੋਂ ਪਰੇ, ਬਹੁਤ ਸਾਰੇ ਪੇਸ਼ੇਵਰਾਂ ਨੇ YARA ਦੇ ਆਲੇ-ਦੁਆਲੇ ਛੋਟੇ ਪ੍ਰੋਗਰਾਮ ਅਤੇ ਸਕ੍ਰਿਪਟਾਂ ਵਿਕਸਤ ਕੀਤੀਆਂ ਹਨ ਤਾਂ ਜੋ ਇਸਦੀ ਰੋਜ਼ਾਨਾ ਵਰਤੋਂ ਨੂੰ ਆਸਾਨ ਬਣਾਇਆ ਜਾ ਸਕੇ। ਇੱਕ ਆਮ ਪਹੁੰਚ ਵਿੱਚ ਇੱਕ ਐਪਲੀਕੇਸ਼ਨ ਬਣਾਉਣਾ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ ਆਪਣੀ ਸੁਰੱਖਿਆ ਕਿੱਟ ਖੁਦ ਬਣਾਓ ਜੋ ਆਪਣੇ ਆਪ ਇੱਕ ਫੋਲਡਰ ਵਿੱਚ ਸਾਰੇ ਨਿਯਮਾਂ ਨੂੰ ਪੜ੍ਹਦਾ ਹੈ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਇੱਕ ਵਿਸ਼ਲੇਸ਼ਣ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਲਾਗੂ ਕਰਦਾ ਹੈ.

ਇਸ ਕਿਸਮ ਦੇ ਘਰੇਲੂ ਟੂਲ ਆਮ ਤੌਰ 'ਤੇ ਇੱਕ ਸਧਾਰਨ ਡਾਇਰੈਕਟਰੀ ਢਾਂਚੇ ਨਾਲ ਕੰਮ ਕਰਦੇ ਹਨ: ਇੱਕ ਫੋਲਡਰ ਲਈ ਇੰਟਰਨੈੱਟ ਤੋਂ ਡਾਊਨਲੋਡ ਕੀਤੇ ਨਿਯਮ (ਉਦਾਹਰਣ ਵਜੋਂ, “rulesyar”) ਅਤੇ ਇਸਦੇ ਲਈ ਇੱਕ ਹੋਰ ਫੋਲਡਰ ਸ਼ੱਕੀ ਫਾਈਲਾਂ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕੀਤਾ ਜਾਵੇਗਾ (ਉਦਾਹਰਣ ਵਜੋਂ, "ਮਾਲਵੇਅਰ")। ਜਦੋਂ ਪ੍ਰੋਗਰਾਮ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ, ਇਹ ਜਾਂਚ ਕਰਦਾ ਹੈ ਕਿ ਦੋਵੇਂ ਫੋਲਡਰ ਮੌਜੂਦ ਹਨ, ਸਕ੍ਰੀਨ 'ਤੇ ਨਿਯਮਾਂ ਦੀ ਸੂਚੀ ਬਣਾਉਂਦਾ ਹੈ, ਅਤੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਲਈ ਤਿਆਰੀ ਕਰਦਾ ਹੈ।

ਜਦੋਂ ਤੁਸੀਂ " ਵਰਗਾ ਬਟਨ ਦਬਾਉਂਦੇ ਹੋਪੁਸ਼ਟੀਕਰਨ ਸ਼ੁਰੂ ਕਰੋਫਿਰ ਐਪਲੀਕੇਸ਼ਨ ਲੋੜੀਂਦੇ ਪੈਰਾਮੀਟਰਾਂ ਨਾਲ YARA ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਲਾਂਚ ਕਰਦੀ ਹੈ: ਫੋਲਡਰ ਵਿੱਚ ਸਾਰੀਆਂ ਫਾਈਲਾਂ ਨੂੰ ਸਕੈਨ ਕਰਨਾ, ਸਬ-ਡਾਇਰੈਕਟਰੀਆਂ ਦਾ ਰਿਕਰਸਿਵ ਵਿਸ਼ਲੇਸ਼ਣ, ਅੰਕੜੇ ਆਉਟਪੁੱਟ ਕਰਨਾ, ਮੈਟਾਡੇਟਾ ਪ੍ਰਿੰਟ ਕਰਨਾ, ਆਦਿ। ਕੋਈ ਵੀ ਮੇਲ ਨਤੀਜਾ ਵਿੰਡੋ ਵਿੱਚ ਪ੍ਰਦਰਸ਼ਿਤ ਹੁੰਦਾ ਹੈ, ਜੋ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਕਿਹੜੀ ਫਾਈਲ ਕਿਸ ਨਿਯਮ ਨਾਲ ਮੇਲ ਖਾਂਦੀ ਹੈ।

ਇਹ ਵਰਕਫਲੋ, ਉਦਾਹਰਨ ਲਈ, ਨਿਰਯਾਤ ਕੀਤੀਆਂ ਈਮੇਲਾਂ ਦੇ ਇੱਕ ਸਮੂਹ ਵਿੱਚ ਸਮੱਸਿਆਵਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਖਤਰਨਾਕ ਏਮਬੈਡਡ ਤਸਵੀਰਾਂ, ਖਤਰਨਾਕ ਅਟੈਚਮੈਂਟਾਂ, ਜਾਂ ਵੈੱਬਸ਼ੈੱਲ ਜੋ ਕਿ ਜਾਪਦੀਆਂ ਮਾਸੂਮ ਫਾਈਲਾਂ ਵਿੱਚ ਲੁਕੀਆਂ ਹੋਈਆਂ ਹਨਕਾਰਪੋਰੇਟ ਵਾਤਾਵਰਣ ਵਿੱਚ ਬਹੁਤ ਸਾਰੀਆਂ ਫੋਰੈਂਸਿਕ ਜਾਂਚਾਂ ਇਸ ਕਿਸਮ ਦੀ ਵਿਧੀ 'ਤੇ ਨਿਰਭਰ ਕਰਦੀਆਂ ਹਨ।

YARA ਨੂੰ ਬੁਲਾਉਂਦੇ ਸਮੇਂ ਸਭ ਤੋਂ ਉਪਯੋਗੀ ਮਾਪਦੰਡਾਂ ਦੇ ਸੰਬੰਧ ਵਿੱਚ, ਹੇਠਾਂ ਦਿੱਤੇ ਵਿਕਲਪ ਵੱਖਰੇ ਹਨ: -r ਨਾਲ ਲਗਾਤਾਰ ਖੋਜ ਕਰਨ ਲਈ, -S ਨਾਲ ਅੰਕੜੇ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨ ਲਈ, -m ਨਾਲ ਮੈਟਾਡੇਟਾ ਕੱਢਣ ਲਈ, ਅਤੇ -w ਨਾਲ ਚੇਤਾਵਨੀਆਂ ਨੂੰ ਅਣਡਿੱਠਾ ਕਰਨ ਲਈ।ਇਹਨਾਂ ਫਲੈਗਾਂ ਨੂੰ ਜੋੜ ਕੇ ਤੁਸੀਂ ਆਪਣੇ ਕੇਸ ਦੇ ਅਨੁਸਾਰ ਵਿਵਹਾਰ ਨੂੰ ਅਨੁਕੂਲ ਕਰ ਸਕਦੇ ਹੋ: ਇੱਕ ਖਾਸ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਇੱਕ ਤੇਜ਼ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਲੈ ਕੇ ਇੱਕ ਗੁੰਝਲਦਾਰ ਫੋਲਡਰ ਢਾਂਚੇ ਦੇ ਪੂਰੇ ਸਕੈਨ ਤੱਕ।

YARA ਨਿਯਮਾਂ ਨੂੰ ਲਿਖਣ ਅਤੇ ਕਾਇਮ ਰੱਖਣ ਲਈ ਸਭ ਤੋਂ ਵਧੀਆ ਅਭਿਆਸ

ਆਪਣੇ ਨਿਯਮਾਂ ਦੇ ਭੰਡਾਰ ਨੂੰ ਇੱਕ ਬੇਕਾਬੂ ਗੜਬੜ ਬਣਨ ਤੋਂ ਰੋਕਣ ਲਈ, ਵਧੀਆ ਅਭਿਆਸਾਂ ਦੀ ਇੱਕ ਲੜੀ ਨੂੰ ਲਾਗੂ ਕਰਨ ਦੀ ਸਲਾਹ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ। ਪਹਿਲਾ ਹੈ ਇਕਸਾਰ ਟੈਂਪਲੇਟਾਂ ਅਤੇ ਨਾਮਕਰਨ ਪਰੰਪਰਾਵਾਂ ਨਾਲ ਕੰਮ ਕਰਨਾ।ਤਾਂ ਜੋ ਕੋਈ ਵੀ ਵਿਸ਼ਲੇਸ਼ਕ ਇੱਕ ਨਜ਼ਰ ਵਿੱਚ ਸਮਝ ਸਕੇ ਕਿ ਹਰੇਕ ਨਿਯਮ ਕੀ ਕਰਦਾ ਹੈ।

ਬਹੁਤ ਸਾਰੀਆਂ ਟੀਮਾਂ ਇੱਕ ਮਿਆਰੀ ਫਾਰਮੈਟ ਅਪਣਾਉਂਦੀਆਂ ਹਨ ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ ਮੈਟਾਡੇਟਾ ਵਾਲਾ ਹੈਡਰ, ਧਮਕੀ ਦੀ ਕਿਸਮ, ਐਕਟਰ ਜਾਂ ਪਲੇਟਫਾਰਮ ਨੂੰ ਦਰਸਾਉਣ ਵਾਲੇ ਟੈਗ, ਅਤੇ ਖੋਜੀ ਜਾ ਰਹੀ ਚੀਜ਼ ਦਾ ਸਪਸ਼ਟ ਵੇਰਵਾਇਹ ਨਾ ਸਿਰਫ਼ ਅੰਦਰੂਨੀ ਤੌਰ 'ਤੇ ਮਦਦ ਕਰਦਾ ਹੈ, ਸਗੋਂ ਜਦੋਂ ਤੁਸੀਂ ਭਾਈਚਾਰੇ ਨਾਲ ਨਿਯਮ ਸਾਂਝੇ ਕਰਦੇ ਹੋ ਜਾਂ ਜਨਤਕ ਭੰਡਾਰਾਂ ਵਿੱਚ ਯੋਗਦਾਨ ਪਾਉਂਦੇ ਹੋ ਤਾਂ ਵੀ ਮਦਦ ਕਰਦਾ ਹੈ।

ਇੱਕ ਹੋਰ ਸਿਫ਼ਾਰਸ਼ ਇਹ ਹੈ ਕਿ ਹਮੇਸ਼ਾ ਯਾਦ ਰੱਖੋ ਕਿ YARA ਬਚਾਅ ਦੀ ਸਿਰਫ਼ ਇੱਕ ਹੋਰ ਪਰਤ ਹੈਇਹ ਐਂਟੀਵਾਇਰਸ ਸੌਫਟਵੇਅਰ ਜਾਂ EDR ਦੀ ਥਾਂ ਨਹੀਂ ਲੈਂਦਾ, ਸਗੋਂ ਉਹਨਾਂ ਨੂੰ ਰਣਨੀਤੀਆਂ ਵਿੱਚ ਪੂਰਕ ਕਰਦਾ ਹੈ ਆਪਣੇ ਵਿੰਡੋਜ਼ ਪੀਸੀ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰੋਆਦਰਸ਼ਕ ਤੌਰ 'ਤੇ, YARA ਨੂੰ ਵਿਆਪਕ ਸੰਦਰਭ ਢਾਂਚੇ ਦੇ ਅੰਦਰ ਫਿੱਟ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ NIST ਫਰੇਮਵਰਕ, ਜੋ ਕਿ ਸੰਪਤੀ ਪਛਾਣ, ਸੁਰੱਖਿਆ, ਖੋਜ, ਪ੍ਰਤੀਕਿਰਿਆ ਅਤੇ ਰਿਕਵਰੀ ਨੂੰ ਵੀ ਸੰਬੋਧਿਤ ਕਰਦਾ ਹੈ।

ਤਕਨੀਕੀ ਦ੍ਰਿਸ਼ਟੀਕੋਣ ਤੋਂ, ਇਹ ਸਮਾਂ ਸਮਰਪਿਤ ਕਰਨ ਦੇ ਯੋਗ ਹੈ ਝੂਠੇ ਸਕਾਰਾਤਮਕ ਤੋਂ ਬਚੋਇਸ ਵਿੱਚ ਬਹੁਤ ਜ਼ਿਆਦਾ ਆਮ ਸਟਰਿੰਗਾਂ ਤੋਂ ਬਚਣਾ, ਕਈ ਸ਼ਰਤਾਂ ਨੂੰ ਜੋੜਨਾ, ਅਤੇ ਓਪਰੇਟਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ ਜਿਵੇਂ ਕਿ ਸਾਰੇ o ਕੋਈ ਵੀ ਆਪਣੇ ਦਿਮਾਗ ਦੀ ਵਰਤੋਂ ਕਰੋ ਅਤੇ ਫਾਈਲ ਦੀਆਂ ਢਾਂਚਾਗਤ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦਾ ਫਾਇਦਾ ਉਠਾਓ। ਮਾਲਵੇਅਰ ਦੇ ਵਿਵਹਾਰ ਦੇ ਆਲੇ ਦੁਆਲੇ ਜਿੰਨਾ ਜ਼ਿਆਦਾ ਖਾਸ ਤਰਕ ਹੋਵੇਗਾ, ਓਨਾ ਹੀ ਵਧੀਆ।

ਅੰਤ ਵਿੱਚ, ਇੱਕ ਅਨੁਸ਼ਾਸਨ ਬਣਾਈ ਰੱਖੋ ਸੰਸਕਰਣ ਅਤੇ ਸਮੇਂ-ਸਮੇਂ 'ਤੇ ਸਮੀਖਿਆ ਇਹ ਬਹੁਤ ਜ਼ਰੂਰੀ ਹੈ। ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਵਿਕਸਤ ਹੁੰਦੇ ਹਨ, ਸੂਚਕ ਬਦਲਦੇ ਹਨ, ਅਤੇ ਅੱਜ ਕੰਮ ਕਰਨ ਵਾਲੇ ਨਿਯਮ ਘੱਟ ਜਾਂ ਪੁਰਾਣੇ ਹੋ ਸਕਦੇ ਹਨ। ਸਮੇਂ-ਸਮੇਂ 'ਤੇ ਆਪਣੇ ਨਿਯਮ ਸੈੱਟ ਦੀ ਸਮੀਖਿਆ ਅਤੇ ਸੁਧਾਰ ਕਰਨਾ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਦੀ ਬਿੱਲੀ-ਚੂਹੇ ਦੀ ਖੇਡ ਦਾ ਹਿੱਸਾ ਹੈ।

YARA ਭਾਈਚਾਰਾ ਅਤੇ ਉਪਲਬਧ ਸਰੋਤ

YARA ਦੇ ਹੁਣ ਤੱਕ ਆਉਣ ਦਾ ਇੱਕ ਮੁੱਖ ਕਾਰਨ ਇਸਦੇ ਭਾਈਚਾਰੇ ਦੀ ਤਾਕਤ ਹੈ। ਦੁਨੀਆ ਭਰ ਦੇ ਖੋਜਕਰਤਾ, ਸੁਰੱਖਿਆ ਫਰਮਾਂ ਅਤੇ ਪ੍ਰਤੀਕਿਰਿਆ ਟੀਮਾਂ ਲਗਾਤਾਰ ਨਿਯਮਾਂ, ਉਦਾਹਰਣਾਂ ਅਤੇ ਦਸਤਾਵੇਜ਼ਾਂ ਨੂੰ ਸਾਂਝਾ ਕਰਦੀਆਂ ਹਨ।ਇੱਕ ਬਹੁਤ ਹੀ ਅਮੀਰ ਈਕੋਸਿਸਟਮ ਬਣਾਉਣਾ।

ਮੁੱਖ ਸੰਦਰਭ ਬਿੰਦੂ ਇਹ ਹੈ ਕਿ GitHub 'ਤੇ YARA ਦਾ ਅਧਿਕਾਰਤ ਭੰਡਾਰਉੱਥੇ ਤੁਹਾਨੂੰ ਟੂਲ ਦੇ ਨਵੀਨਤਮ ਸੰਸਕਰਣ, ਸਰੋਤ ਕੋਡ, ਅਤੇ ਦਸਤਾਵੇਜ਼ਾਂ ਦੇ ਲਿੰਕ ਮਿਲਣਗੇ। ਉੱਥੋਂ ਤੁਸੀਂ ਪ੍ਰੋਜੈਕਟ ਦੀ ਪ੍ਰਗਤੀ ਦੀ ਪਾਲਣਾ ਕਰ ਸਕਦੇ ਹੋ, ਮੁੱਦਿਆਂ ਦੀ ਰਿਪੋਰਟ ਕਰ ਸਕਦੇ ਹੋ, ਜਾਂ ਜੇਕਰ ਤੁਸੀਂ ਚਾਹੋ ਤਾਂ ਸੁਧਾਰਾਂ ਵਿੱਚ ਯੋਗਦਾਨ ਪਾ ਸਕਦੇ ਹੋ।

ReadTheDocs ਵਰਗੇ ਪਲੇਟਫਾਰਮਾਂ 'ਤੇ ਉਪਲਬਧ ਅਧਿਕਾਰਤ ਦਸਤਾਵੇਜ਼, ਪੇਸ਼ਕਸ਼ ਕਰਦੇ ਹਨ ਇੱਕ ਸੰਪੂਰਨ ਸੰਟੈਕਸ ਗਾਈਡ, ਉਪਲਬਧ ਮੋਡੀਊਲ, ਨਿਯਮ ਉਦਾਹਰਣਾਂ, ਅਤੇ ਵਰਤੋਂ ਹਵਾਲੇਇਹ ਸਭ ਤੋਂ ਉੱਨਤ ਫੰਕਸ਼ਨਾਂ, ਜਿਵੇਂ ਕਿ PE ਨਿਰੀਖਣ, ELF, ਮੈਮੋਰੀ ਨਿਯਮ, ਜਾਂ ਹੋਰ ਸਾਧਨਾਂ ਨਾਲ ਏਕੀਕਰਨ ਦਾ ਲਾਭ ਲੈਣ ਲਈ ਇੱਕ ਜ਼ਰੂਰੀ ਸਰੋਤ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, YARA ਨਿਯਮਾਂ ਅਤੇ ਦਸਤਖਤਾਂ ਦੇ ਕਮਿਊਨਿਟੀ ਭੰਡਾਰ ਹਨ ਜਿੱਥੇ ਦੁਨੀਆ ਭਰ ਦੇ ਵਿਸ਼ਲੇਸ਼ਕ ਉਹ ਵਰਤੋਂ ਲਈ ਤਿਆਰ ਸੰਗ੍ਰਹਿ ਜਾਂ ਸੰਗ੍ਰਹਿ ਪ੍ਰਕਾਸ਼ਿਤ ਕਰਦੇ ਹਨ ਜੋ ਤੁਹਾਡੀਆਂ ਜ਼ਰੂਰਤਾਂ ਅਨੁਸਾਰ ਢਾਲਿਆ ਜਾ ਸਕਦਾ ਹੈ।ਇਹਨਾਂ ਭੰਡਾਰਾਂ ਵਿੱਚ ਆਮ ਤੌਰ 'ਤੇ ਖਾਸ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਲਈ ਨਿਯਮ, ਐਕਸਪਲਾਈਟ ਕਿੱਟਾਂ, ਬਦਨੀਤੀ ਨਾਲ ਵਰਤੇ ਗਏ ਪੈਂਟੈਸਟਿੰਗ ਟੂਲ, ਵੈੱਬਸ਼ੈੱਲ, ਕ੍ਰਿਪਟੋਮਾਈਨਰ, ਅਤੇ ਹੋਰ ਬਹੁਤ ਕੁਝ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ।

ਸਮਾਨਾਂਤਰ, ਬਹੁਤ ਸਾਰੇ ਨਿਰਮਾਤਾ ਅਤੇ ਖੋਜ ਸਮੂਹ ਪੇਸ਼ ਕਰਦੇ ਹਨ YARA ਵਿਖੇ ਖਾਸ ਸਿਖਲਾਈ, ਮੁੱਢਲੇ ਪੱਧਰਾਂ ਤੋਂ ਲੈ ਕੇ ਬਹੁਤ ਹੀ ਉੱਨਤ ਕੋਰਸਾਂ ਤੱਕਇਹਨਾਂ ਪਹਿਲਕਦਮੀਆਂ ਵਿੱਚ ਅਕਸਰ ਅਸਲ-ਸੰਸਾਰ ਦੇ ਦ੍ਰਿਸ਼ਾਂ 'ਤੇ ਆਧਾਰਿਤ ਵਰਚੁਅਲ ਲੈਬਾਂ ਅਤੇ ਵਿਹਾਰਕ ਅਭਿਆਸ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ। ਕੁਝ ਤਾਂ ਗੈਰ-ਮੁਨਾਫ਼ਾ ਸੰਗਠਨਾਂ ਜਾਂ ਸੰਸਥਾਵਾਂ ਨੂੰ ਵੀ ਮੁਫਤ ਵਿੱਚ ਪੇਸ਼ ਕੀਤੇ ਜਾਂਦੇ ਹਨ ਜੋ ਖਾਸ ਤੌਰ 'ਤੇ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਹਮਲਿਆਂ ਲਈ ਕਮਜ਼ੋਰ ਹਨ।

ਇਸ ਪੂਰੇ ਈਕੋਸਿਸਟਮ ਦਾ ਮਤਲਬ ਹੈ ਕਿ, ਥੋੜ੍ਹੀ ਜਿਹੀ ਲਗਨ ਨਾਲ, ਤੁਸੀਂ ਆਪਣੇ ਪਹਿਲੇ ਬੁਨਿਆਦੀ ਨਿਯਮਾਂ ਨੂੰ ਲਿਖਣ ਤੋਂ ਲੈ ਕੇ ਗੁੰਝਲਦਾਰ ਮੁਹਿੰਮਾਂ ਨੂੰ ਟਰੈਕ ਕਰਨ ਅਤੇ ਬੇਮਿਸਾਲ ਖਤਰਿਆਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਦੇ ਸਮਰੱਥ ਸੂਟ ਵਿਕਸਤ ਕਰੋਅਤੇ, YARA ਨੂੰ ਰਵਾਇਤੀ ਐਂਟੀਵਾਇਰਸ, ਸੁਰੱਖਿਅਤ ਬੈਕਅੱਪ, ਅਤੇ ਧਮਕੀ ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਨਾਲ ਜੋੜ ਕੇ, ਤੁਸੀਂ ਇੰਟਰਨੈੱਟ 'ਤੇ ਘੁੰਮ ਰਹੇ ਖਤਰਨਾਕ ਅਦਾਕਾਰਾਂ ਲਈ ਚੀਜ਼ਾਂ ਨੂੰ ਕਾਫ਼ੀ ਮੁਸ਼ਕਲ ਬਣਾਉਂਦੇ ਹੋ।

ਉਪਰੋਕਤ ਸਭ ਦੇ ਨਾਲ, ਇਹ ਸਪੱਸ਼ਟ ਹੈ ਕਿ YARA ਇੱਕ ਸਧਾਰਨ ਕਮਾਂਡ-ਲਾਈਨ ਉਪਯੋਗਤਾ ਤੋਂ ਕਿਤੇ ਵੱਧ ਹੈ: ਇਹ ਇੱਕ ਕੁੰਜੀ ਟੁਕੜਾ ਕਿਸੇ ਵੀ ਉੱਨਤ ਮਾਲਵੇਅਰ ਖੋਜ ਰਣਨੀਤੀ ਵਿੱਚ, ਇੱਕ ਲਚਕਦਾਰ ਟੂਲ ਜੋ ਇੱਕ ਵਿਸ਼ਲੇਸ਼ਕ ਦੇ ਤੌਰ 'ਤੇ ਤੁਹਾਡੇ ਸੋਚਣ ਦੇ ਤਰੀਕੇ ਦੇ ਅਨੁਕੂਲ ਹੁੰਦਾ ਹੈ ਅਤੇ ਇੱਕ ਆਮ ਭਾਸ਼ਾ ਜੋ ਦੁਨੀਆ ਭਰ ਦੀਆਂ ਪ੍ਰਯੋਗਸ਼ਾਲਾਵਾਂ, SOCs ਅਤੇ ਖੋਜ ਭਾਈਚਾਰਿਆਂ ਨੂੰ ਜੋੜਦਾ ਹੈ, ਹਰੇਕ ਨਵੇਂ ਨਿਯਮ ਨੂੰ ਵਧਦੀ ਸੂਝਵਾਨ ਮੁਹਿੰਮਾਂ ਦੇ ਵਿਰੁੱਧ ਸੁਰੱਖਿਆ ਦੀ ਇੱਕ ਹੋਰ ਪਰਤ ਜੋੜਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।