Как использовать YARA для расширенного обнаружения вредоносных программ

¿Как использовать YARA для расширенного обнаружения вредоносных программ? Когда традиционные антивирусные программы достигают предела своих возможностей и злоумышленники проскальзывают через все возможные щели, в дело вступает инструмент, который стал незаменимым в лабораториях реагирования на инциденты: YARA — «швейцарский нож» для борьбы с вредоносными программамиРазработанный для описания семейств вредоносного программного обеспечения с использованием текстовых и двоичных шаблонов, он позволяет выйти далеко за рамки простого сопоставления хешей.

В умелых руках YARA не просто помогает найти не только известные образцы вредоносного ПО, но и новые варианты, эксплойты нулевого дня и даже коммерческие инструменты нападенияВ этой статье мы подробно и на практике рассмотрим, как использовать YARA для обнаружения современных вредоносных программ, как писать надежные правила, как их тестировать, как интегрировать их в такие платформы, как Veeam, или в ваш собственный рабочий процесс анализа, а также каким передовым практикам следует профессиональное сообщество.

Что такое YARA и почему он так эффективен при обнаружении вредоносных программ?

YARA расшифровывается как «Еще одна рекурсивная аббревиатура» и стала фактическим стандартом в анализе угроз, потому что Позволяет описывать семейства вредоносных программ с помощью понятных, понятных и очень гибких правил.Вместо того чтобы полагаться исключительно на статические антивирусные сигнатуры, YARA работает с шаблонами, которые вы определяете самостоятельно.

Основная идея проста: правило YARA проверяет файл (или память, или поток данных) и проверяет, выполняется ли ряд условий. условия, основанные на текстовых строках, шестнадцатеричных последовательностях, регулярных выражениях или свойствах файлаЕсли условие выполняется, происходит «совпадение», и вы можете оповестить, заблокировать или выполнить более углубленный анализ.

Такой подход позволяет группам безопасности Выявляйте и классифицируйте вредоносные программы всех типов: классические вирусы, черви, трояны, программы-вымогатели, веб-шеллы, криптомайнеры, вредоносные макросы и многое другое.Он не ограничивается определенными расширениями или форматами файлов, поэтому также обнаруживает замаскированный исполняемый файл с расширением .pdf или HTML-файл, содержащий веб-оболочку.

Более того, YARA уже интегрирована во многие ключевые сервисы и инструменты экосистемы кибербезопасности: VirusTotal, «песочницы» типа Cuckoo, платформы резервного копирования типа Veeam или решения по поиску угроз от ведущих производителейТаким образом, освоение YARA стало практически обязательным требованием для продвинутых аналитиков и исследователей.

Расширенные варианты использования YARA для обнаружения вредоносных программ

Одно из преимуществ YARA заключается в том, что он легко адаптируется к различным сценариям безопасности — от SOC до лаборатории по исследованию вредоносных программ. Одни и те же правила применяются как к разовым охотам, так и к постоянному мониторингу..

Самый прямой случай включает создание специальные правила для конкретных вредоносных программ или целых семействЕсли ваша организация подвергается атаке, основанной на известном семействе (например, троян удаленного доступа или APT-угроза), вы можете профилировать характерные строки и шаблоны, а также создавать правила, которые быстро идентифицируют новые связанные образцы.

Другое классическое использование – это фокус YARA на основе подписейЭти правила предназначены для поиска хэшей, специфичных текстовых строк, фрагментов кода, ключей реестра или даже определённых последовательностей байтов, повторяющихся в нескольких вариантах одной и той же вредоносной программы. Однако имейте в виду, что при поиске только тривиальных строк существует риск ложных срабатываний.

YARA также блистает, когда дело доходит до фильтрации по типы файлов или структурные характеристикиМожно создавать правила, применяемые к исполняемым файлам PE, офисным документам, PDF-файлам или практически к любому формату, комбинируя строки с такими свойствами, как размер файла, определенные заголовки (например, 0x5A4D для исполняемых файлов PE) или подозрительный импорт функций.

В современных условиях его использование связано с разведка угрозПубличные репозитории, исследовательские отчёты и каналы IOC преобразуются в правила YARA, которые интегрируются в SIEM, EDR, платформы резервного копирования или песочницы. Это позволяет организациям быстро обнаруживать возникающие угрозы, которые имеют общие характеристики с уже проанализированными кампаниями.

Понимание синтаксиса правил YARA

Синтаксис YARA во многом похож на синтаксис C, но он проще и более целенаправленный. Каждое правило состоит из имени, необязательного раздела метаданных, раздела строк и, обязательно, раздела условий.С этого момента сила будет заключаться в том, как вы все это объедините.

Первый - это имя правилаОн должен располагаться сразу после ключевого слова. править (o правило Если вы документируете на испанском языке, хотя ключевое слово в файле будет правитьИдентификатор должен быть корректным: без пробелов, цифр и подчёркивания. Рекомендуется следовать чёткому соглашению, например, такому: Malware_Family_Variant o APT_Actor_Tool, что позволяет вам с первого взгляда определить, что именно он предназначен для обнаружения.

Далее следует раздел струныЗдесь вы определяете шаблоны, которые хотите найти. Здесь можно использовать три основных типа: текстовые строки, шестнадцатеричные последовательности и регулярные выраженияТекстовые строки идеально подходят для фрагментов кода, URL-адресов, внутренних сообщений, имён путей или PDB-файлов, доступных для чтения человеком. Шестнадцатеричные значения позволяют фиксировать необработанные шаблоны байтов, что очень полезно, когда код запутан, но сохраняет определённые постоянные последовательности.

Регулярные выражения обеспечивают гибкость, когда вам нужно учесть небольшие изменения в строке, например, изменение доменов или незначительно измененные части кода. Более того, как строки, так и регулярные выражения позволяют экранированным символам представлять произвольные байты., что открывает путь к очень точным гибридным шаблонам.

раздел состояние Это единственное обязательное правило, которое определяет, когда правило считается «соответствующим» файлу. Здесь используются булевы и арифметические операции (и, или, не, +, -, *, /, любой, все, содержит и т. д.) для выражения более тонкой логики обнаружения, чем простое «если появляется эта строка».

Например, можно указать, что правило действует только в том случае, если файл меньше определенного размера, если присутствуют все критические строки или если присутствует хотя бы одна из нескольких строк. Вы также можете комбинировать такие условия, как длина строки, количество совпадений, конкретные смещения в файле или размер самого файла.Именно креативность в данном случае определяет разницу между общими правилами и точечными обнаружениями.

Наконец, у вас есть дополнительный раздел цельИдеально подходит для документирования периода. Обычно включает автор, дата создания, описание, внутренняя версия, ссылка на отчеты или тикеты и, в целом, любая информация, помогающая поддерживать репозиторий организованным и понятным для других аналитиков.

Практические примеры расширенных правил YARA

Чтобы оценить все вышесказанное, полезно увидеть, как структурировано простое правило и как оно становится более сложным, когда в игру вступают исполняемые файлы, подозрительный импорт или повторяющиеся последовательности инструкций. Начнем с игрушечной линейки и постепенно увеличиваем размер..

Минимальное правило может содержать только строку и условие, делающее его обязательным. Например, можно искать определённую текстовую строку или последовательность байтов, представляющую фрагмент вредоносного ПО. В этом случае условие просто будет указывать на то, что правило выполняется, если появляется эта строка или шаблон., без дополнительных фильтров.

Однако в реальных условиях этого недостаточно, потому что Простые цепочки часто дают много ложных срабатыванийВот почему часто объединяют несколько строк (текстовых и шестнадцатеричных) с дополнительными ограничениями: файл не должен превышать определенный размер, должен содержать определенные заголовки или должен активироваться только в том случае, если найдена хотя бы одна строка из каждой определенной группы.

Типичный пример анализа исполняемого файла PE включает импорт модуля pe из YARA, который позволяет запрашивать внутренние свойства двоичного файла: импортированные функции, разделы, временные метки и т. д. Расширенное правило может потребовать, чтобы файл импортировался CreateProcess от Kernel32.dll и некоторые HTTP-функции из wininet.dll, а также содержащий определенную строку, указывающую на вредоносное поведение.

Этот тип логики идеально подходит для поиска Трояны с возможностью удаленного подключения или эксфильтрацииДаже если имена файлов или пути к ним меняются от одной кампании к другой. Важно сосредоточиться на базовом поведении: создании процесса, HTTP-запросах, шифровании, сохранении и т. д.

Другой очень эффективный метод — это посмотреть на последовательности инструкций, которые повторяются между образцами из одного семейства. Даже если злоумышленники упаковывают или обфусцируют двоичный файл, они часто повторно используют части кода, которые сложно изменить. Если после статического анализа вы обнаружите повторяющиеся блоки инструкций, вы можете сформулировать правило с помощью подстановочные знаки в шестнадцатеричных строках который улавливает этот шаблон, сохраняя при этом определенную толерантность.

С помощью этих правил, основанных на «поведении кода», возможно отслеживать целые вредоносные кампании, такие как кампании PlugX/Korplug или других семейств APTВы не просто обнаруживаете конкретный хэш, но и отслеживаете, так сказать, стиль разработки злоумышленников.

Использование YARA в реальных кампаниях и угрозах нулевого дня

YARA особенно доказала свою ценность в области продвинутых угроз и эксплойтов нулевого дня, где классические механизмы защиты срабатывают слишком поздно. Хорошо известным примером является использование YARA для обнаружения эксплойта в Silverlight на основе минимальной утечки информации..

В этом случае из электронных писем, украденных у компании, занимающейся разработкой инструментов для нападения, было выведено достаточно шаблонов для создания правила, ориентированного на конкретную уязвимость. Используя это единственное правило, исследователи смогли отследить выборку среди множества подозрительных файлов.Определите уязвимость и принудительно исправьте ее, предотвратив более серьезный ущерб.

Эти типы историй иллюстрируют, как YARA может функционировать как рыболовная сеть в море файловПредставьте себе свою корпоративную сеть как океан, полный «рыбы» (файлов) всех видов. Ваши правила подобны отсекам в трале: в каждом отсеке находится рыба, соответствующая определённым характеристикам.

Когда вы закончите перетаскивание, у вас будет образцы, сгруппированные по сходству с определенными семьями или группами нападавших: «аналогично виду X», «аналогично виду Y» и т. д. Некоторые из этих образцов могут быть для вас совершенно новыми (новые двоичные файлы, новые кампании), но они вписываются в известную схему, что ускоряет вашу классификацию и ответ.

Чтобы получить максимальную отдачу от YARA в этом контексте, многие организации объединяют углубленное обучение, практические лаборатории и контролируемые экспериментальные средыСуществуют узкоспециализированные курсы, посвященные исключительно искусству написания хороших правил, часто основанных на реальных случаях кибершпионажа, на которых студенты практикуются с подлинными образцами и учатся искать «что-то», даже если они не знают точно, что именно ищут.

Интеграция YARA в платформы резервного копирования и восстановления

Одной из областей, где YARA подходит идеально и которая часто остается незамеченной, является защита резервных копий. Если резервные копии заражены вредоносным ПО или программой-вымогателем, восстановление может привести к перезапуску всей кампании.Вот почему некоторые производители встраивают двигатели YARA непосредственно в свои решения.

Возможен запуск платформ резервного копирования следующего поколения Сеансы анализа на основе правил YARA в точках восстановленияЦель двойная: найти последнюю «чистую» точку перед инцидентом и обнаружить вредоносный контент, скрытый в файлах, который мог не быть обнаружен другими проверками.

В таких условиях типичный процесс включает выбор варианта «Сканирование точек восстановления с помощью линейки YARA«во время настройки задания анализа. Затем указывается путь к файлу правил (обычно с расширением .yara или .yar), который обычно хранится в папке конфигурации, соответствующей решению для резервного копирования».

Во время выполнения движок перебирает объекты, содержащиеся в копии, применяет правила и Все совпадения записываются в специальный журнал анализа YARA.Администратор может просматривать эти журналы с консоли, просматривать статистику, видеть, какие файлы вызвали оповещение, и даже отслеживать, каким машинам и конкретной дате соответствует каждое совпадение.

Эта интеграция дополняется другими механизмами, такими как обнаружение аномалий, мониторинг размера резервных копий, поиск определенных IOC или анализ подозрительных инструментовНо когда дело доходит до правил, разработанных для конкретного семейства или кампании программ-вымогателей, YARA является лучшим инструментом для уточнения поиска.

Как протестировать и проверить правила YARA, не нарушая работу сети

Как только вы начнете писать собственные правила, следующим важным шагом станет их тщательное тестирование. Слишком агрессивное правило может сгенерировать поток ложных срабатываний, в то время как слишком слабое правило может упустить из виду реальные угрозы.Вот почему этап тестирования так же важен, как и этап написания.

Хорошая новость в том, что для этого вам не нужно создавать лабораторию, полную работающего вредоносного ПО, и заражать половину сети. Репозитории и наборы данных, предоставляющие такую ​​информацию, уже существуют. известные и контролируемые образцы вредоносных программ для исследовательских целейВы можете загрузить эти примеры в изолированную среду и использовать их в качестве испытательного полигона для своих правил.

Обычный подход заключается в запуске YARA локально из командной строки в каталоге, содержащем подозрительные файлы. Если ваши правила соответствуют тем, где они должны быть, и практически не нарушаются в чистых файлах, вы на правильном пути.Если они вызывают слишком много сбоев, пришло время пересмотреть строки, уточнить условия или ввести дополнительные ограничения (размер, импорт, смещения и т. д.).

Ещё один важный момент — убедиться, что ваши правила не снижают производительность. При сканировании больших каталогов, полных резервных копий или массивов образцов Плохо оптимизированные правила могут замедлить анализ или потреблять больше ресурсов, чем хотелось бы.Поэтому рекомендуется измерять время, упрощать сложные выражения и избегать чрезмерно громоздких регулярных выражений.

После прохождения этого этапа лабораторных испытаний вы сможете Внедрение правил в производственную средуБудь то ваша SIEM-система, системы резервного копирования, почтовые серверы или любое другое место, куда вы хотите их интегрировать. И не забывайте поддерживать непрерывный цикл проверки: по мере развития кампаний ваши правила будут нуждаться в периодической корректировке.

Инструменты, программы и рабочий процесс с YARA

Помимо официального двоичного файла, многие специалисты разработали небольшие программы и скрипты на основе YARA для облегчения его повседневного использования. Типичный подход предполагает создание приложения для соберите свой собственный комплект безопасности который автоматически считывает все правила в папке и применяет их к каталогу анализа.

Такие типы самодельных инструментов обычно работают с простой структурой каталогов: одна папка для правила, скачанные из интернета (например, «rulesyar») и еще одна папка для подозрительные файлы, которые будут проанализированы (например, «вредоносное ПО»). При запуске программа проверяет наличие обеих папок, выводит список правил на экран и готовится к выполнению.

Когда вы нажимаете кнопку типа «Начать проверкуЗатем приложение запускает исполняемый файл YARA с требуемыми параметрами: сканирование всех файлов в папке, рекурсивный анализ подкаталогов, вывод статистики, печать метаданных и т. д. Все совпадения отображаются в окне результатов с указанием того, какой файл соответствует какому правилу.

Этот рабочий процесс позволяет, например, обнаруживать проблемы в пакете экспортированных писем. вредоносные встроенные изображения, опасные вложения или веб-оболочки, скрытые в, казалось бы, безобидных файлахМногие судебные расследования в корпоративной среде опираются именно на этот тип механизмов.

Что касается наиболее полезных параметров при вызове YARA, то выделяются такие опции, как: -r для рекурсивного поиска, -S для отображения статистики, -m для извлечения метаданных и -w для игнорирования предупреждений.Комбинируя эти флаги, вы можете настроить поведение под свой случай: от быстрого анализа в определенном каталоге до полного сканирования сложной структуры папок.

Лучшие практики написания и поддержки правил YARA

Чтобы не допустить превращения вашего хранилища правил в неуправляемый беспорядок, желательно применять ряд передовых методов. Первый — работать с едиными шаблонами и соглашениями об именовании.так что любой аналитик может сразу понять, что делает каждое правило.

Многие команды используют стандартный формат, который включает заголовок с метаданными, тегами, указывающими тип угрозы, субъекта или платформу, а также четким описанием того, что обнаруженоЭто помогает не только внутри компании, но и при обмене правилами с сообществом или внесении вклада в публичные репозитории.

Еще одна рекомендация — всегда помнить, что YARA — это всего лишь еще один уровень защитыОн не заменяет антивирусное программное обеспечение или EDR, а скорее дополняет их в стратегиях Защитите свой ПК с WindowsВ идеале YARA должна вписываться в более широкие справочные рамки, такие как рамка NIST, которая также охватывает идентификацию, защиту, обнаружение, реагирование и восстановление активов.

С технической точки зрения стоит посвятить время избежать ложных срабатыванийЭто предполагает избегание слишком общих строк, объединение нескольких условий и использование таких операторов, как все o любой из Используйте свой интеллект и структурные особенности файла. Чем конкретнее логика поведения вредоносной программы, тем лучше.

Наконец, поддерживайте дисциплину управление версиями и периодический обзор Это критически важно. Семейства вредоносных программ развиваются, индикаторы меняются, и правила, которые работают сегодня, могут оказаться неэффективными или устареть. Периодический пересмотр и уточнение набора правил — часть игры в кошки-мышки в сфере кибербезопасности.

Сообщество YARA и доступные ресурсы

Одной из главных причин, по которой YARA достигла таких высот, является сила ее сообщества. Исследователи, охранные компании и группы реагирования со всего мира постоянно обмениваются правилами, примерами и документацией.создавая очень богатую экосистему.

Основной точкой отсчета является Официальный репозиторий YARA на GitHubТам вы найдёте последние версии инструмента, исходный код и ссылки на документацию. Там вы можете следить за ходом проекта, сообщать о проблемах или вносить улучшения, если захотите.

Официальная документация, доступная на таких платформах, как ReadTheDocs, предлагает полное руководство по синтаксису, доступные модули, примеры правил и ссылки на использованиеЭто важный ресурс для использования самых современных функций, таких как PE-инспекция, ELF, правила памяти или интеграция с другими инструментами.

Кроме того, существуют общественные репозитории правил и сигнатур YARA, где аналитики со всего мира Они публикуют готовые к использованию коллекции или коллекции, которые можно адаптировать под ваши нужды.Эти репозитории обычно включают правила для определенных семейств вредоносных программ, наборы эксплойтов, вредоносные инструменты для тестирования на проникновение, веб-шеллы, криптомайнеры и многое другое.

Параллельно многие производители и исследовательские группы предлагают Специализированное обучение в YARA: от базовых уровней до очень продвинутых курсовЧасто это виртуальные лабораторные работы и практические упражнения, основанные на реальных примерах. Некоторые из этих инициатив даже предлагаются бесплатно некоммерческим организациям или организациям, особенно уязвимым к целевым атакам.

Вся эта экосистема означает, что с небольшой самоотдачей вы можете перейти от написания своих первых базовых правил к разрабатывать сложные комплексы, способные отслеживать сложные кампании и обнаруживать беспрецедентные угрозыА объединив YARA с традиционным антивирусом, надежным резервным копированием и аналитикой угроз, вы значительно усложните работу злоумышленников, бродящих по Интернету.

Учитывая все вышесказанное, становится ясно, что YARA — это нечто большее, чем просто утилита командной строки: это ключевой элемент в любой передовой стратегии обнаружения вредоносных программ, гибкий инструмент, который адаптируется к вашему образу мышления как аналитика и общий язык которая объединяет лаборатории, SOC и исследовательские сообщества по всему миру, позволяя каждому новому правилу добавлять еще один уровень защиты от все более изощренных кампаний.