උසස් අනිෂ්ට මෘදුකාංග හඳුනාගැනීම සඳහා YARA භාවිතා කරන්නේ කෙසේද?

¿උසස් අනිෂ්ට මෘදුකාංග හඳුනාගැනීම සඳහා YARA භාවිතා කරන්නේ කෙසේද? සාම්ප්‍රදායික ප්‍රති-වයිරස වැඩසටහන් ඒවායේ සීමාවන් කරා ළඟා වූ විට සහ ප්‍රහාරකයින් හැකි සෑම ඉරිතැලීමක් හරහාම ලිස්සා ගිය විට, සිදුවීම් ප්‍රතිචාර රසායනාගාරවල අත්‍යවශ්‍ය වී ඇති මෙවලමක් ක්‍රියාත්මක වේ: යාරා, අනිෂ්ට මෘදුකාංග දඩයම් කිරීම සඳහා වූ “ස්විස් පිහිය”පෙළ සහ ද්විමය රටා භාවිතා කරමින් අනිෂ්ට මෘදුකාංග පවුල් විස්තර කිරීමට නිර්මාණය කර ඇති මෙය, සරල හැෂ් ගැලපීමෙන් ඔබ්බට යාමට ඉඩ සලසයි.

දකුණු අතේ, යාරා යනු ස්ථානගත කිරීම සඳහා පමණක් නොවේ දන්නා අනිෂ්ට මෘදුකාංග සාම්පල පමණක් නොව, නව ප්‍රභේද, ශුන්‍ය-දින සූරාකෑම් සහ වාණිජ ප්‍රහාරාත්මක මෙවලම් පවාමෙම ලිපියෙන්, උසස් අනිෂ්ට මෘදුකාංග හඳුනාගැනීම සඳහා YARA භාවිතා කරන්නේ කෙසේද, ශක්තිමත් නීති ලියන්නේ කෙසේද, ඒවා පරීක්ෂා කරන්නේ කෙසේද, Veeam වැනි වේදිකාවලට හෝ ඔබේම විශ්ලේෂණ වැඩ ප්‍රවාහයට ඒවා ඒකාබද්ධ කරන්නේ කෙසේද සහ වෘත්තීය ප්‍රජාව අනුගමනය කරන හොඳම භාවිතයන් මොනවාද යන්න අපි ගැඹුරින් සහ ප්‍රායෝගිකව ගවේෂණය කරන්නෙමු.

YARA යනු කුමක්ද සහ එය අනිෂ්ට මෘදුකාංග හඳුනාගැනීමේදී එතරම් බලවත් වන්නේ ඇයි?

YARA යනු "තවත් පුනරාවර්තන කෙටි යෙදුමක්" යන්නයි. එය තර්ජන විශ්ලේෂණයේ දී තථ්‍ය සම්මතයක් බවට පත්ව ඇත, මන්ද එය කියවිය හැකි, පැහැදිලි සහ ඉතා නම්‍යශීලී නීති භාවිතා කරමින් අනිෂ්ට මෘදුකාංග පවුල් විස්තර කිරීමට ඉඩ සලසයි.ස්ථිතික ප්‍රති-වයිරස අත්සන් මත පමණක් රඳා පැවතීම වෙනුවට, YARA ඔබ විසින්ම නිර්වචනය කරන රටා සමඟ ක්‍රියා කරයි.

මූලික අදහස සරලයි: YARA රීතියක් ගොනුවක් (හෝ මතකය හෝ දත්ත ප්‍රවාහයක්) පරීක්ෂා කර කොන්දේසි මාලාවක් සපුරා ඇත්දැයි පරීක්ෂා කරයි. පෙළ අනුලකුණු, ෂඩ් දශම අනුපිළිවෙල, නිත්‍ය ප්‍රකාශන හෝ ගොනු ගුණාංග මත පදනම් වූ කොන්දේසිකොන්දේසිය සපුරා ඇත්නම්, "ගැලපීමක්" ඇති අතර ඔබට අනතුරු ඇඟවීමට, අවහිර කිරීමට හෝ වඩාත් ගැඹුරු විශ්ලේෂණයක් සිදු කළ හැකිය.

මෙම ප්‍රවේශය ආරක්ෂක කණ්ඩායම් වලට ඉඩ සලසයි සියලු වර්ගවල අනිෂ්ට මෘදුකාංග හඳුනාගෙන වර්ගීකරණය කරන්න: සම්භාව්‍ය වෛරස්, පණුවන්, ට්‍රෝජන්, කප්පම් මෘදුකාංග, වෙබ් ෂෙල්, ගුප්තකේතන යන්ත්‍ර, අනිෂ්ට මැක්‍රෝ සහ තවත් බොහෝ දේ.එය නිශ්චිත ගොනු දිගු හෝ ආකෘති වලට සීමා නොවේ, එබැවින් එය .pdf දිගුවක් සහිත වෙස්වළාගත් ක්‍රියාත්මක කළ හැකි ගොනුවක් හෝ වෙබ් කවචයක් අඩංගු HTML ගොනුවක් ද හඳුනා ගනී.

තවද, YARA දැනටමත් සයිබර් ආරක්ෂණ පරිසර පද්ධතියේ බොහෝ ප්‍රධාන සේවාවන් සහ මෙවලම් සමඟ ඒකාබද්ධ වී ඇත: VirusTotal, Cuckoo වැනි වැලි පෙට්ටි, Veeam වැනි උපස්ථ වේදිකා, හෝ ඉහළ පෙළේ නිෂ්පාදකයින්ගෙන් තර්ජන දඩයම් විසඳුම්එබැවින්, YARA ප්‍රගුණ කිරීම උසස් විශ්ලේෂකයින් සහ පර්යේෂකයින් සඳහා අවශ්‍යතාවයක් බවට පත්ව ඇත.

අනිෂ්ට මෘදුකාංග හඳුනාගැනීමේදී YARA හි උසස් භාවිත අවස්ථා

YARA හි ශක්තීන්ගෙන් එකක් නම්, එය SOC සිට malware lab දක්වා බහු ආරක්ෂක අවස්ථා වලට අත්වැසුම් මෙන් අනුවර්තනය වීමයි. එක් වරක් දඩයම් කිරීම සහ අඛණ්ඩ නිරීක්ෂණය යන දෙකටම එකම නීති අදාළ වේ..

වඩාත්ම සෘජු අවස්ථාව වන්නේ නිර්මාණය කිරීමයි නිශ්චිත අනිෂ්ට මෘදුකාංග හෝ සම්පූර්ණ පවුල් සඳහා නිශ්චිත නීතිදන්නා පවුලක් මත පදනම් වූ ව්‍යාපාරයකින් ඔබේ සංවිධානයට ප්‍රහාරයක් එල්ල වන්නේ නම් (උදාහරණයක් ලෙස, දුරස්ථ ප්‍රවේශ ට්‍රෝජන් එකක් හෝ APT තර්ජනයක්), ඔබට ලාක්ෂණික නූල් සහ රටා පැතිකඩ කර නව අදාළ සාම්පල ඉක්මනින් හඳුනා ගන්නා නීති මතු කළ හැකිය.

තවත් සම්භාව්‍ය භාවිතයක් වන්නේ අත්සන් මත පදනම් වූ YARAමෙම නීති නිර්මාණය කර ඇත්තේ එකම අනිෂ්ට මෘදුකාංගයේ බහුවිධ ප්‍රභේදවල පුනරාවර්තනය වන හැෂ්, ඉතා නිශ්චිත පෙළ අනුක්‍රම, කේත කොටස්, රෙජිස්ට්‍රි යතුරු හෝ නිශ්චිත බයිට් අනුපිළිවෙල පවා ස්ථානගත කිරීම සඳහා ය. කෙසේ වෙතත්, ඔබ සුළු අනුක්‍රම සඳහා පමණක් සොයන්නේ නම්, ඔබ ව්‍යාජ ධනාත්මක ප්‍රතිඵල ජනනය කිරීමේ අවදානමක් ඇති බව මතක තබා ගන්න.

පෙරහන් කිරීමේදී YARA ද බැබළෙයි ගොනු වර්ග හෝ ව්‍යුහාත්මක ලක්ෂණගොනු ප්‍රමාණය, නිශ්චිත ශීර්ෂ (උදා: PE ක්‍රියාත්මක කළ හැකි සඳහා 0x5A4D) හෝ සැක සහිත ශ්‍රිත ආයාත වැනි ගුණාංග සමඟ නූල් ඒකාබද්ධ කිරීමෙන් PE ක්‍රියාත්මක කළ හැකි ගොනු, කාර්යාල ලේඛන, PDF හෝ ඕනෑම ආකෘතියකට අදාළ වන නීති නිර්මාණය කළ හැකිය.

නූතන පරිසරවල, එහි භාවිතය සම්බන්ධ වන්නේ තර්ජන බුද්ධියපොදු ගබඩා, පර්යේෂණ වාර්තා සහ IOC සංග්‍රහ SIEM, EDR, උපස්ථ වේදිකා හෝ වැලි පෙට්ටිවලට ඒකාබද්ධ කර ඇති YARA නීතිවලට පරිවර්තනය කර ඇත. මෙය සංවිධානවලට ඉඩ සලසයි දැනටමත් විශ්ලේෂණය කර ඇති ව්‍යාපාර සමඟ ලක්ෂණ බෙදා ගන්නා නැගී එන තර්ජන ඉක්මනින් හඳුනා ගන්න..

YARA නීති වල වාක්‍ය ඛණ්ඩය තේරුම් ගැනීම

YARA හි වාක්‍ය ඛණ්ඩය C ට බොහෝ සෙයින් සමාන ය, නමුත් සරල හා වඩාත් අවධානය යොමු කළ ආකාරයකින්. සෑම රීතියක්ම නමක්, විකල්ප පාර-දත්ත කොටසක්, අනුලකුණු වැල් කොටසක් සහ, අනිවාර්යයෙන්ම, කොන්දේසි අංශයකින් සමන්විත වේ.මෙතැන් සිට, බලය පවතින්නේ ඔබ ඒ සියල්ල ඒකාබද්ධ කරන ආකාරය තුළ ය.

පළමුවැන්න නම් රීති නාමයඑය මූල පදයට පසුව යා යුතුය. නීතිය (o පාලකයා ඔබ ස්පාඤ්ඤ භාෂාවෙන් ලේඛනගත කරන්නේ නම්, ගොනුවේ මූල පදය වනුයේ නීතියසහ වලංගු හඳුනාගැනීමක් විය යුතුය: හිස්තැන් නැත, අංකයක් නැත, සහ යටි ඉරක් නැත. පැහැදිලි සම්මුතියක් අනුගමනය කිරීම හොඳ අදහසකි, උදාහරණයක් ලෙස අනිෂ්ට මෘදුකාංග_පවුල්_ප්‍රභේදය o APT_නළු_මෙවලම, එය අනාවරණය කිරීමට අදහස් කරන දේ බැලූ බැල්මට හඳුනා ගැනීමට ඔබට ඉඩ සලසයි.

ඊළඟට කොටස පැමිණේ නූල්ඔබට සෙවීමට අවශ්‍ය රටා අර්ථ දක්වන තැන. මෙහිදී ඔබට ප්‍රධාන වර්ග තුනක් භාවිතා කළ හැකිය: පෙළ අනුක්‍රම, ෂඩ් දශම අනුපිළිවෙල සහ සාමාන්‍ය ප්‍රකාශනපෙළ අනුලකුණු, මිනිසුන්ට කියවිය හැකි කේත කොටස්, URL, අභ්‍යන්තර පණිවිඩ, මාර්ග නාම හෝ PDB සඳහා කදිම වේ. ෂඩ් දශම මඟින් ඔබට අමු බයිට් රටා ග්‍රහණය කර ගැනීමට ඉඩ සලසයි, කේතය අපැහැදිලි වූ විට ඉතා ප්‍රයෝජනවත් වන නමුත් ඇතැම් නියත අනුපිළිවෙලවල් රඳවා ගනී.

ඩොමේන් වෙනස් කිරීම හෝ කේතයේ කොටස් තරමක් වෙනස් කිරීම වැනි තන්තුවක කුඩා වෙනස්කම් ආවරණය කිරීමට අවශ්‍ය වූ විට නිත්‍ය ප්‍රකාශන නම්‍යශීලී බවක් ලබා දෙයි. තවද, strings සහ regex යන දෙකම escapes වලට අත්තනෝමතික බයිට් නිරූපණය කිරීමට ඉඩ සලසයි., එය ඉතා නිරවද්‍ය දෙමුහුන් රටා සඳහා දොර විවර කරයි.

කොටස තත්ත්වය එය එකම අනිවාර්ය එක වන අතර රීතියක් ගොනුවක් "ගැලපීම" ලෙස සලකන විට එය නිර්වචනය කරයි. එහිදී ඔබ බූලියන් සහ අංක ගණිත මෙහෙයුම් භාවිතා කරයි (සහ, හෝ, නැත, +, -, *, /, ඕනෑම, සියල්ල, අඩංගු, ආදිය.) සරල "මෙම නූල දිස්වන්නේ නම්" යන්නට වඩා සියුම් හඳුනාගැනීමේ තර්කනය ප්‍රකාශ කිරීමට.

උදාහරණයක් ලෙස, රීතිය වලංගු වන්නේ ගොනුව යම් ප්‍රමාණයකට වඩා කුඩා නම්, සියලුම තීරණාත්මක නූල් දිස්වන්නේ නම්, හෝ අවම වශයෙන් නූල් කිහිපයකින් එකක් හෝ තිබේ නම් පමණක් බව ඔබට නියම කළ හැකිය. ඔබට තන්තු දිග, ගැලපීම් ගණන, ගොනුවේ නිශ්චිත ඕෆ්සෙට් හෝ ගොනුවේ ප්‍රමාණය වැනි කොන්දේසි ඒකාබද්ධ කළ හැකිය.මෙහි නිර්මාණශීලිත්වය සාමාන්‍ය නීති සහ ශල්‍ය හඳුනාගැනීම් අතර වෙනස ඇති කරයි.

අවසාන වශයෙන්, ඔබට විකල්ප අංශය තිබේ ඉලක්කයකාල පරිච්ඡේදය ලේඛනගත කිරීම සඳහා කදිමයි. ඇතුළත් කිරීම සාමාන්‍ය දෙයකි කර්තෘ, නිර්මාණ දිනය, විස්තරය, අභ්‍යන්තර අනුවාදය, වාර්තා හෝ ටිකට්පත් සඳහා යොමුව සහ, සාමාන්‍යයෙන්, ගබඩාව සංවිධානාත්මකව තබා ගැනීමට සහ අනෙකුත් විශ්ලේෂකයින්ට තේරුම් ගත හැකි ලෙස තබා ගැනීමට උපකාරී වන ඕනෑම තොරතුරක්.

උසස් YARA නීති සඳහා ප්‍රායෝගික උදාහරණ

ඉහත සියල්ල ඉදිරිදර්ශනයකට ගෙන ඒම සඳහා, සරල රීතියක් ව්‍යුහගත කර ඇති ආකාරය සහ ක්‍රියාත්මක කළ හැකි ගොනු, සැක සහිත ආනයන හෝ පුනරාවර්තන උපදෙස් අනුපිළිවෙල ක්‍රියාත්මක වන විට එය වඩාත් සංකීර්ණ වන්නේ කෙසේදැයි බැලීම ප්‍රයෝජනවත් වේ. අපි සෙල්ලම් බඩු රූලකින් පටන් ගෙන ක්‍රමයෙන් ප්‍රමාණය වැඩි කරමු..

අවම රීතියක අඩංගු විය හැක්කේ එය අනිවාර්ය කරන නූලක් සහ කොන්දේසියක් පමණි. උදාහරණයක් ලෙස, ඔබට නිශ්චිත පෙළ නූලක් හෝ අනිෂ්ට මෘදුකාංග කොටසක බයිට් අනුක්‍රමික නියෝජිතයෙකු සෙවිය හැකිය. එවැනි අවස්ථාවක, කොන්දේසියෙන් කියැවෙන්නේ එම නූල හෝ රටාව දිස්වන්නේ නම් රීතිය සපුරා ඇති බවයි., තවදුරටත් පෙරහන් නොමැතිව.

කෙසේ වෙතත්, සැබෑ ලෝක සැකසුම් වලදී මෙය අඩු වේ, මන්ද සරල දාම බොහෝ විට බොහෝ ව්‍යාජ ධනාත්මක ප්‍රතිඵල ජනනය කරයි.එම නිසා, අමතර සීමාවන් සමඟ බහු අකුරු (පෙළ සහ ෂඩ් දශම) ඒකාබද්ධ කිරීම සාමාන්‍ය දෙයකි: ගොනුව නිශ්චිත ප්‍රමාණයක් නොඉක්මවන බව, එහි නිශ්චිත ශීර්ෂයන් අඩංගු බව හෝ එය සක්‍රිය වන්නේ එක් එක් අර්ථ දක්වා ඇති කණ්ඩායමෙන් අවම වශයෙන් එක් අකුරක් හෝ හමු වුවහොත් පමණි.

PE ක්‍රියාත්මක කළ හැකි විශ්ලේෂණයේ සාමාන්‍ය උදාහරණයක් වන්නේ මොඩියුලය ආයාත කිරීමයි. pe YARA වෙතින්, එය ඔබට ද්විමය අභ්‍යන්තර ගුණාංග විමසීමට ඉඩ සලසයි: ආයාත කළ ශ්‍රිත, කොටස්, කාලරාමු ආදිය. උසස් රීතියක් මඟින් ගොනුව ආයාත කිරීමට අවශ්‍ය විය හැකිය. ක්‍රියාවලිය සාදන්න සිට Kernel32.dll සහ සමහර HTTP ශ්‍රිත වලින් විනිනෙට්.ඩීඑල්එල්, ද්වේෂසහගත හැසිරීම් පෙන්නුම් කරන නිශ්චිත නූලක් අඩංගු කිරීමට අමතරව.

මෙම ආකාරයේ තර්කනය ස්ථානගත කිරීම සඳහා පරිපූර්ණයි දුරස්ථ සම්බන්ධතාවයක් හෝ පිටකිරීමේ හැකියාවන් සහිත ට්‍රෝජන්ගොනු නාම හෝ මාර්ග එක් ව්‍යාපාරයකින් තවත් ව්‍යාපාරයකට වෙනස් වන විට පවා. වැදගත් දෙය නම් යටින් පවතින හැසිරීම කෙරෙහි අවධානය යොමු කිරීමයි: ක්‍රියාවලි නිර්මාණය, HTTP ඉල්ලීම්, සංකේතනය, නොනැසී පැවතීම, ආදිය.

තවත් ඉතා ඵලදායී තාක්‍ෂණයක් වන්නේ නැවත නැවතත් ලැබෙන උපදෙස් අනුපිළිවෙල එකම පවුලේ සාම්පල අතර. ප්‍රහාරකයින් ද්විමය ඇසුරුම් කළත් හෝ අපැහැදිලි කළත්, ඔවුන් බොහෝ විට වෙනස් කිරීමට අපහසු කේත කොටස් නැවත භාවිතා කරයි. ස්ථිතික විශ්ලේෂණයෙන් පසු, ඔබට නිරන්තර උපදෙස් කොටස් හමු වුවහොත්, ඔබට රීතියක් සකස් කළ හැකිය. ෂඩ් දශම අකුරු වල වයිල්ඩ්කාඩ් එය යම් ඉවසීමක් පවත්වා ගනිමින් එම රටාව ග්‍රහණය කරයි.

මෙම "කේත හැසිරීම් මත පදනම් වූ" නීති සමඟ එය කළ හැකිය PlugX/Korplug හෝ අනෙකුත් APT පවුල්වල වැනි සම්පූර්ණ අනිෂ්ට මෘදුකාංග ව්‍යාපාර නිරීක්ෂණය කරන්න.ඔබ නිශ්චිත හැෂ් එකක් හඳුනා ගැනීම පමණක් නොව, ප්‍රහාරකයන්ගේ සංවර්ධන විලාසය අනුගමනය කරයි.

සැබෑ ව්‍යාපාර සහ ශුන්‍ය-දින තර්ජන වලදී YARA භාවිතය

YARA විශේෂයෙන් දියුණු තර්ජන සහ ශුන්‍ය-දින සූරාකෑම් ක්ෂේත්‍රයේ එහි වටිනාකම ඔප්පු කර ඇත, එහිදී සම්භාව්‍ය ආරක්ෂණ යාන්ත්‍රණයන් ප්‍රමාද වැඩියි. අවම කාන්දු වූ බුද්ධි තොරතුරු වලින් Silverlight හි සූරාකෑමක් සොයා ගැනීමට YARA භාවිතා කිරීම ප්‍රසිද්ධ උදාහරණයකි..

එම අවස්ථාවේ දී, ප්‍රහාරාත්මක මෙවලම් සංවර්ධනය සඳහා කැප වූ සමාගමකින් සොරකම් කරන ලද ඊමේල් වලින්, නිශ්චිත සූරාකෑමකට නැඹුරු වූ රීතියක් ගොඩනැගීමට ප්‍රමාණවත් රටා නිගමනය කරන ලදී. එම තනි රීතිය සමඟින්, පර්යේෂකයන්ට සැක සහිත ලිපිගොනු රාශියක් හරහා නියැදිය සොයා ගැනීමට හැකි විය.සූරාකෑම හඳුනාගෙන එහි පැච් කිරීම බලහත්කාරයෙන් කරන්න, වඩාත් බරපතල හානි වළක්වා ගන්න.

මෙම ආකාරයේ කථා මගින් YARA ක්‍රියා කළ හැකි ආකාරය නිරූපණය කෙරේ ලිපිගොනු මුහුදක ධීවර දැලක්ඔබේ ආයතනික ජාලය සියලු වර්ගවල "මාළු" (ගොනු) වලින් පිරුණු සාගරයක් ලෙස සිතන්න. ඔබේ නීති ට්‍රෝල් දැලක මැදිරි වැනි ය: සෑම මැදිරියක්ම නිශ්චිත ලක්ෂණ වලට ගැලපෙන මාළු තබා ගනී.

ඔබ ඇදගෙන යාම අවසන් කළ විට, ඔබට ඇත්තේ නිශ්චිත පවුල් හෝ ප්‍රහාරක කණ්ඩායම් වලට සමානකම් අනුව කාණ්ඩගත කරන ලද සාම්පල: “X විශේෂයට සමාන”, “Y විශේෂයට සමාන” යනාදිය. මෙම සාම්පලවලින් සමහරක් ඔබට සම්පූර්ණයෙන්ම අලුත් විය හැකිය (නව ද්විමය, නව ව්‍යාපාර), නමුත් ඒවා දන්නා රටාවකට ගැලපේ, එය ඔබේ වර්ගීකරණය සහ ප්‍රතිචාරය වේගවත් කරයි.

මෙම සන්දර්භය තුළ YARA වෙතින් උපරිම ප්‍රයෝජන ලබා ගැනීම සඳහා, බොහෝ සංවිධාන ඒකාබද්ධ වේ උසස් පුහුණුව, ප්‍රායෝගික රසායනාගාර සහ පාලිත අත්හදා බැලීම් පරිසරයන්හොඳ නීති ලිවීමේ කලාවට පමණක් කැප වූ ඉතා විශේෂිත පාඨමාලා ඇත, බොහෝ විට සයිබර් ඔත්තු බැලීමේ සැබෑ අවස්ථා මත පදනම් වේ, එහිදී සිසුන් සත්‍ය සාම්පල සමඟ පුහුණුවීම් කරන අතර ඔවුන් සොයන දේ හරියටම නොදන්නා විට පවා "යමක්" සෙවීමට ඉගෙන ගනී.

YARA උපස්ථ සහ ප්‍රතිසාධන වේදිකාවලට ඒකාබද්ධ කරන්න

YARA පරිපූර්ණව ගැලපෙන සහ බොහෝ විට තරමක් අවධානයට ලක් නොවන එක් ක්ෂේත්‍රයක් වන්නේ උපස්ථ ආරක්ෂා කිරීමයි. උපස්ථ මෘදුකාංග හෝ ransomware වලින් ආසාදනය වී ඇත්නම්, ප්‍රතිසාධනයක් මඟින් සම්පූර්ණ ව්‍යාපාරයක්ම නැවත ආරම්භ කළ හැකිය.ඒ නිසා සමහර නිෂ්පාදකයින් ඔවුන්ගේ විසඳුම් වලට YARA එන්ජින් කෙලින්ම ඇතුළත් කර ඇත.

ඊළඟ පරම්පරාවේ උපස්ථ වේදිකා දියත් කළ හැකිය ප්‍රතිස්ථාපන ලක්ෂ්‍ය පිළිබඳ YARA රීති-පාදක විශ්ලේෂණ සැසිඉලක්කය දෙයාකාර ය: සිදුවීමකට පෙර අවසන් "පිරිසිදු" ලක්ෂ්‍යය සොයා ගැනීම සහ වෙනත් පරීක්ෂාවන් මගින් ක්‍රියාත්මක නොකළ ලිපිගොනු තුළ සැඟවී ඇති ද්වේෂසහගත අන්තර්ගතයන් හඳුනා ගැනීම.

මෙම පරිසරයන් තුළ සාමාන්‍ය ක්‍රියාවලියට "" විකල්පය තෝරා ගැනීම ඇතුළත් වේ.YARA රූලරයක් භාවිතයෙන් ප්‍රතිස්ථාපන ස්ථාන පරිලෝකනය කරන්න."විශ්ලේෂණ කාර්යයක වින්‍යාසය අතරතුර. ඊළඟට, නීති ගොනුවට මාර්ගය නිශ්චිතව දක්වා ඇත (සාමාන්‍යයෙන් .yara හෝ .yar දිගුව සමඟ), එය සාමාන්‍යයෙන් උපස්ථ විසඳුමට විශේෂිත වූ වින්‍යාස ෆෝල්ඩරයක ගබඩා කර ඇත."

ක්‍රියාත්මක කිරීමේදී, එන්ජිම පිටපතෙහි අඩංගු වස්තූන් හරහා පුනරාවර්තනය වේ, නීති අදාළ කරයි, සහ එය සියලුම ගැලපීම් නිශ්චිත YARA විශ්ලේෂණ ලොගයක සටහන් කරයි.පරිපාලකයාට කොන්සෝලයෙන් මෙම ලොග් බැලීමට, සංඛ්‍යාලේඛන සමාලෝචනය කිරීමට, අනතුරු ඇඟවීම අවුලුවන ලද ගොනු බැලීමට සහ එක් එක් ගැලපීම අනුරූප වන යන්ත්‍ර සහ නිශ්චිත දිනය පවා සොයා ගැනීමට හැකිය.

මෙම ඒකාබද්ධ කිරීම අනෙකුත් යාන්ත්‍රණ මගින් අනුපූරක වේ, උදාහරණයක් ලෙස විෂමතා හඳුනාගැනීම, උපස්ථ ප්‍රමාණය නිරීක්ෂණය, නිශ්චිත IOC සෙවීම හෝ සැක සහිත මෙවලම් විශ්ලේෂණය කිරීමනමුත් නිශ්චිත ransomware පවුලකට හෝ ව්‍යාපාරයකට ගැලපෙන නීති සම්බන්ධයෙන් ගත් කල, එම සෙවුම පිරිපහදු කිරීම සඳහා හොඳම මෙවලම YARA වේ.

ඔබේ ජාලය බිඳ දැමීමකින් තොරව YARA නීති පරීක්ෂා කර වලංගු කරන්නේ කෙසේද?

ඔබ ඔබේම නීති ලිවීමට පටන් ගත් පසු, ඊළඟ තීරණාත්මක පියවර වන්නේ ඒවා හොඳින් පරීක්ෂා කිරීමයි. ඕනෑවට වඩා ආක්‍රමණශීලී රීතියක් මඟින් ව්‍යාජ ධනාත්මක ප්‍රතිඵල රාශියක් ජනනය කළ හැකි අතර, ඕනෑවට වඩා ලිහිල් රීතියක් මඟින් සැබෑ තර්ජන මඟ හැරිය හැක.ඒ නිසා පරීක්ෂණ අවධිය ලිවීමේ අවධිය තරම්ම වැදගත්.

ශුභාරංචිය නම්, මෙය සිදු කිරීම සඳහා ඔබට ක්‍රියාකාරී අනිෂ්ට මෘදුකාංගවලින් පිරුණු රසායනාගාරයක් පිහිටුවීමට සහ ජාලයෙන් අඩක් ආසාදනය කිරීමට අවශ්‍ය නොවන බවයි. මෙම තොරතුරු සපයන ගබඩා සහ දත්ත කට්ටල දැනටමත් පවතී. පර්යේෂණ අරමුණු සඳහා දන්නා සහ පාලිත අනිෂ්ට මෘදුකාංග සාම්පලඔබට එම සාම්පල හුදකලා පරිසරයකට බාගත කර ඔබේ නීති සඳහා පරීක්ෂණ ඇඳක් ලෙස භාවිතා කළ හැකිය.

සාමාන්‍ය ප්‍රවේශය වන්නේ සැක සහිත ගොනු අඩංගු නාමාවලියකට එරෙහිව විධාන රේඛාවෙන් දේශීයව YARA ධාවනය කිරීමෙන් ආරම්භ කිරීමයි. ඔබේ නීති ඒවා තිබිය යුතු තැනට ගැලපෙන අතර පිරිසිදු ගොනු යන්තම් බිඳ දමන්නේ නම්, ඔබ නිවැරදි මාර්ගයේ ය.ඒවා ඕනෑවට වඩා ක්‍රියාරම්භ කරන්නේ නම්, නූල් සමාලෝචනය කිරීමට, කොන්දේසි පිරිපහදු කිරීමට හෝ අමතර සීමාවන් (ප්‍රමාණය, ආනයන, ඕෆ්සෙට් ආදිය) හඳුන්වා දීමට කාලයයි.

තවත් ප්‍රධාන කරුණක් වන්නේ ඔබේ නීති කාර්ය සාධනය අඩු නොකරන බවට වග බලා ගැනීමයි. විශාල නාමාවලි, සම්පූර්ණ උපස්ථ හෝ දැවැන්ත සාම්පල එකතු කිරීම් පරිලෝකනය කරන විට, දුර්වල ලෙස ප්‍රශස්තිකරණය කරන ලද නීති මඟින් විශ්ලේෂණය මන්දගාමී කිරීමට හෝ අවශ්‍ය ප්‍රමාණයට වඩා සම්පත් පරිභෝජනය කිරීමට හැකිය.එමනිසා, කාල නිර්ණයන් මැනීම, සංකීර්ණ ප්‍රකාශන සරල කිරීම සහ අධික ලෙස බර රීජෙක්ස් වළක්වා ගැනීම සුදුසුය.

එම රසායනාගාර පරීක්ෂණ අදියර පසු කිරීමෙන් පසු, ඔබට හැකි වනු ඇත නිෂ්පාදන පරිසරයට නීති ප්‍රවර්ධනය කරන්නඑය ඔබගේ SIEM, ඔබගේ උපස්ථ පද්ධති, විද්‍යුත් තැපැල් සේවාදායකයන් හෝ ඔබට ඒවා ඒකාබද්ධ කිරීමට අවශ්‍ය ඕනෑම තැනක වේවා. අඛණ්ඩ සමාලෝචන චක්‍රයක් පවත්වා ගැනීමට අමතක නොකරන්න: ව්‍යාපාර පරිණාමය වන විට, ඔබේ නීතිවලට වරින් වර ගැලපීම් අවශ්‍ය වනු ඇත.

YARA සමඟ මෙවලම්, වැඩසටහන් සහ වැඩ ප්‍රවාහය

නිල ද්විමය භාෂාවෙන් ඔබ්බට, බොහෝ වෘත්තිකයන් YARA වටා කුඩා වැඩසටහන් සහ ස්ක්‍රිප්ට් සංවර්ධනය කර ඇති අතර එය එහි දෛනික භාවිතය පහසු කරයි. සාමාන්‍ය ප්‍රවේශයක් වන්නේ අයදුම්පතක් නිර්මාණය කිරීමයි ඔබේම ආරක්ෂක කට්ටලය එකලස් කරන්න එය ෆෝල්ඩරයක ඇති සියලුම නීති ස්වයංක්‍රීයව කියවා විශ්ලේෂණ නාමාවලියකට යොදයි..

මෙම වර්ගයේ ගෙදර හැදූ මෙවලම් සාමාන්‍යයෙන් සරල නාමාවලි ව්‍යුහයක් සමඟ ක්‍රියා කරයි: එක් ෆෝල්ඩරයක් සඳහා අන්තර්ජාලයෙන් බාගත කළ නීති (උදාහරණයක් ලෙස, "rulesyar") සහ තවත් ෆෝල්ඩරයක් සඳහා විශ්ලේෂණය කරනු ලබන සැක සහිත ගොනු (උදාහරණයක් ලෙස, "අනිෂ්ට මෘදුකාංග"). වැඩසටහන ආරම්භ වූ විට, එය ෆෝල්ඩර දෙකම පවතින බව පරීක්ෂා කර, තිරයේ නීති ලැයිස්තුගත කර, ක්‍රියාත්මක කිරීමට සූදානම් වේ.

ඔබ "" වැනි බොත්තමක් එබූ විටසත්‍යාපනය ආරම්භ කරන්නඉන්පසු යෙදුම අපේක්ෂිත පරාමිතීන් සමඟ YARA ක්‍රියාත්මක කළ හැකි ගොනුව දියත් කරයි: ෆෝල්ඩරයේ ඇති සියලුම ගොනු පරිලෝකනය කිරීම, උප බහලුම්වල පුනරාවර්තන විශ්ලේෂණය, සංඛ්‍යාලේඛන ප්‍රතිදානය කිරීම, පාර-දත්ත මුද්‍රණය කිරීම යනාදිය. ඕනෑම ගැලපීමක් ප්‍රතිඵල කවුළුවක පෙන්වනු ලැබේ, එමඟින් කුමන ගොනුව කුමන රීතියට ගැළපෙනවාද යන්න දක්වයි.

මෙම කාර්ය ප්‍රවාහය, උදාහරණයක් ලෙස, අපනයනය කරන ලද ඊමේල් සමූහයක ගැටළු හඳුනා ගැනීමට ඉඩ සලසයි. හානිකර නොවන බව පෙනෙන ගොනු තුළ සැඟවී ඇති ද්වේෂසහගත එබ්බවූ රූප, භයානක ඇමුණුම් හෝ වෙබ් කවචආයතනික පරිසරයන්හි බොහෝ අධිකරණ වෛද්‍ය පරීක්ෂණ මෙම ආකාරයේ යාන්ත්‍රණය මත නිශ්චිතවම රඳා පවතී.

YARA භාවිතා කිරීමේදී වඩාත් ප්‍රයෝජනවත් පරාමිතීන් සම්බන්ධයෙන්, පහත සඳහන් විකල්ප කැපී පෙනේ: -r යනු පුනරාවර්තන ලෙස සෙවීමට, -S යනු සංඛ්‍යාලේඛන පෙන්වීමට, -m යනු පාර-දත්ත උපුටා ගැනීමට සහ -w යනු අනතුරු ඇඟවීම් නොසලකා හැරීමට ය.මෙම කොඩි ඒකාබද්ධ කිරීමෙන් ඔබට ඔබේ නඩුවට හැසිරීම සකස් කළ හැකිය: නිශ්චිත නාමාවලියක ඉක්මන් විශ්ලේෂණයක සිට සංකීර්ණ ෆෝල්ඩර ව්‍යුහයක සම්පූර්ණ ස්කෑන් කිරීම දක්වා.

YARA නීති ලිවීමේදී සහ පවත්වාගෙන යාමේදී හොඳම පිළිවෙත්

ඔබේ නීති ගබඩාව කළමනාකරණය කළ නොහැකි අවුල් ජාලයක් බවට පත්වීම වැළැක්වීම සඳහා, හොඳම භාවිතයන් මාලාවක් යෙදීම සුදුසුය. පළමුවැන්න නම් ස්ථාවර සැකිලි සහ නම් කිරීමේ සම්මුතීන් සමඟ වැඩ කිරීමයි.ඕනෑම විශ්ලේෂකයෙකුට එක් එක් රීතිය කරන්නේ කුමක්ද යන්න බැලූ බැල්මට තේරුම් ගත හැකි වන පරිදි.

බොහෝ කණ්ඩායම් සම්මත ආකෘතියක් අනුගමනය කරන අතර එයට ඇතුළත් වන්නේ පාර-දත්ත සහිත ශීර්ෂකය, තර්ජන වර්ගය, නළුවා හෝ වේදිකාව දැක්වෙන ටැග් සහ අනාවරණය වන දේ පිළිබඳ පැහැදිලි විස්තරයක්මෙය අභ්‍යන්තරව පමණක් නොව, ඔබ ප්‍රජාව සමඟ නීති බෙදා ගන්නා විට හෝ පොදු ගබඩාවලට දායක වන විටද උපකාරී වේ.

තවත් නිර්දේශයක් නම් එය සැමවිටම මතක තබා ගැනීමයි යාරා යනු තවත් එක් ආරක්ෂක ස්ථරයක් පමණි.එය ප්‍රති-වයිරස මෘදුකාංග හෝ EDR ප්‍රතිස්ථාපනය නොකරයි, නමුත් ඒවා උපාය මාර්ග වලින් අනුපූරක කරයි ඔබේ Windows පරිගණකය ආරක්ෂා කරගන්නඉතා මැනවින්, YARA, වත්කම් හඳුනාගැනීම, ආරක්ෂාව, අනාවරණය, ප්‍රතිචාර දැක්වීම සහ ප්‍රතිසාධනය යන අංශ ද ආවරණය කරන NIST රාමුව වැනි පුළුල් විමර්ශන රාමු තුළට ගැළපිය යුතුය.

තාක්ෂණික දෘෂ්ටි කෝණයකින්, කාලය කැප කිරීම වටී වැරදි ධනාත්මක දේවලින් වළකින්නමෙයට අධික ලෙස සාමාන්‍ය නූල් වළක්වා ගැනීම, කොන්දේසි කිහිපයක් ඒකාබද්ධ කිරීම සහ වැනි ක්‍රියාකරුවන් භාවිතා කිරීම ඇතුළත් වේ. සියල්ලම o ඕනෑම ඔබේ හිස භාවිතා කර ගොනුවේ ව්‍යුහාත්මක ගුණාංගවලින් ප්‍රයෝජන ගන්න. අනිෂ්ට මෘදුකාංගයේ හැසිරීම වටා ඇති තර්කනය වඩාත් නිශ්චිත වන තරමට වඩා හොඳය.

අවසාන වශයෙන්, විනයක් පවත්වා ගන්න අනුවාදකරණය සහ කාලානුරූප සමාලෝචනය එය ඉතා වැදගත්. අනිෂ්ට මෘදුකාංග පවුල් පරිණාමය වෙමින් පවතී, දර්ශක වෙනස් වෙමින් පවතී, සහ අද ක්‍රියාත්මක වන නීති දුර්වල වීමට හෝ යල් පැන යාමට ඉඩ ඇත. ඔබේ නීති මාලාව වරින් වර සමාලෝචනය කිරීම සහ පිරිපහදු කිරීම සයිබර් ආරක්ෂණයේ බළලා සහ මීයා ක්‍රීඩාවේ කොටසකි.

යාරා ප්‍රජාව සහ පවතින සම්පත්

YARA මෙතරම් දුරක් පැමිණීමට එක් ප්‍රධාන හේතුවක් වන්නේ එහි ප්‍රජාවේ ශක්තියයි. ලොව පුරා සිටින පර්යේෂකයින්, ආරක්ෂක සමාගම් සහ ප්‍රතිචාර කණ්ඩායම් අඛණ්ඩව නීති, උදාහරණ සහ ලියකියවිලි බෙදා ගනී.ඉතා පොහොසත් පරිසර පද්ධතියක් නිර්මාණය කිරීම.

ප්‍රධාන යොමු ලක්ෂ්‍යය වන්නේ GitHub හි YARA හි නිල ගබඩාවඑහිදී ඔබට මෙවලමෙහි නවතම අනුවාදයන්, මූලාශ්‍ර කේතය සහ ලේඛන සඳහා සබැඳි සොයාගත හැකිය. එතැන් සිට ඔබට ව්‍යාපෘතියේ ප්‍රගතිය අනුගමනය කිරීමට, ගැටළු වාර්තා කිරීමට හෝ ඔබට අවශ්‍ය නම් වැඩිදියුණු කිරීම් සඳහා දායක විය හැකිය.

ReadTheDocs වැනි වේදිකාවල ඇති නිල ලියකියවිලි, ඉදිරිපත් කරන්නේ සම්පූර්ණ වාක්‍ය ඛණ්ඩ මාර්ගෝපදේශයක්, ලබා ගත හැකි මොඩියුල, රීති උදාහරණ සහ භාවිත යොමුPE පරීක්ෂාව, ELF, මතක නීති හෝ වෙනත් මෙවලම් සමඟ ඒකාබද්ධ කිරීම් වැනි වඩාත්ම දියුණු කාර්යයන්ගෙන් ප්‍රයෝජන ගැනීම සඳහා එය අත්‍යවශ්‍ය සම්පතකි.

ඊට අමතරව, ලොව පුරා විශ්ලේෂකයින් පැමිණෙන YARA නීති සහ අත්සන් වල ප්‍රජා ගබඩාවන් ඇත ඔවුන් භාවිතයට සූදානම් එකතු කිරීම් හෝ ඔබේ අවශ්‍යතාවලට අනුවර්තනය කළ හැකි එකතු කිරීම් ප්‍රකාශයට පත් කරයි.මෙම ගබඩාවල සාමාන්‍යයෙන් නිශ්චිත අනිෂ්ට මෘදුකාංග පවුල් සඳහා නීති, සූරාකෑමේ කට්ටල, ද්වේෂ සහගත ලෙස භාවිතා කරන පෙන්ටෙස්ටින් මෙවලම්, වෙබ් ෂෙල්, ගුප්ත කේතන යන්ත්‍ර සහ තවත් බොහෝ දේ ඇතුළත් වේ.

සමාන්තරව, බොහෝ නිෂ්පාදකයින් සහ පර්යේෂණ කණ්ඩායම් ඉදිරිපත් කරයි යාරා හි මූලික මට්ටමේ සිට ඉතා උසස් පාඨමාලා දක්වා විශේෂිත පුහුණුවක්මෙම මුලපිරීම්වලට බොහෝ විට අතථ්‍ය රසායනාගාර සහ සැබෑ ලෝක අවස්ථා මත පදනම් වූ ප්‍රායෝගික අභ්‍යාස ඇතුළත් වේ. සමහරක් ලාභ නොලබන සංවිධාන හෝ ඉලක්කගත ප්‍රහාරවලට විශේෂයෙන් ගොදුරු විය හැකි ආයතන සඳහා නොමිලේ පිරිනමනු ලැබේ.

මෙම සමස්ත පරිසර පද්ධතියෙන් අදහස් වන්නේ, සුළු කැපවීමකින්, ඔබට ඔබේ පළමු මූලික නීති ලිවීමේ සිට සංකීර්ණ ව්‍යාපාර නිරීක්ෂණය කිරීමට සහ පෙර නොවූ විරූ තර්ජන හඳුනා ගැනීමට හැකියාව ඇති නවීන කට්ටල සංවර්ධනය කරන්න.තවද, YARA සාම්ප්‍රදායික ප්‍රති-වයිරස, ආරක්ෂිත උපස්ථ සහ තර්ජන බුද්ධිය සමඟ ඒකාබද්ධ කිරීමෙන්, අන්තර්ජාලයේ සැරිසරන ද්වේෂසහගත ක්‍රියාකාරීන්ට දේවල් සැලකිය යුතු ලෙස දුෂ්කර කරයි.

ඉහත සියල්ල සමඟ, YARA යනු සරල විධාන රේඛා උපයෝගීතාවයකට වඩා බොහෝ සෙයින් වැඩි බව පැහැදිලිය: එය a යතුරු කෑල්ල ඕනෑම දියුණු අනිෂ්ට මෘදුකාංග හඳුනාගැනීමේ උපාය මාර්ගයක, විශ්ලේෂකයෙකු ලෙස ඔබේ චින්තන ක්‍රමයට අනුවර්තනය වන නම්‍යශීලී මෙවලමක් සහ a පොදු භාෂාව ලොව පුරා රසායනාගාර, SOC සහ පර්යේෂණ ප්‍රජාවන් සම්බන්ධ කරන අතර, සෑම නව රීතියකටම වඩ වඩාත් සංකීර්ණ ව්‍යාපාරවලට එරෙහිව තවත් ආරක්ෂිත ස්ථරයක් එක් කිරීමට ඉඩ සලසයි.