Ako používať YARA na pokročilú detekciu škodlivého softvéru

¿Ako používať YARA na pokročilú detekciu škodlivého softvéru? Keď tradičné antivírusové programy dosiahnu svoje limity a útočníci sa prešmyknú cez každú možnú škáru, prichádza na rad nástroj, ktorý sa stal nevyhnutným v laboratóriách pre reakciu na incidenty: YARA, „švajčiarsky nôž“ na lov škodlivého softvéruJe navrhnutý na popis skupín škodlivého softvéru pomocou textových a binárnych vzorov a umožňuje ísť ďaleko za rámec jednoduchého porovnávania hašov.

V správnych rukách YARA neslúži len na lokalizáciu nielen známe vzorky malvéru, ale aj nové varianty, zero-day exploity a dokonca aj komerčné útočné nástrojeV tomto článku sa podrobne a prakticky pozrieme na to, ako používať YARA na pokročilú detekciu malvéru, ako písať robustné pravidlá, ako ich testovať, ako ich integrovať do platforiem ako Veeam alebo do vášho vlastného analytického pracovného postupu a aké osvedčené postupy dodržiava profesionálna komunita.

Čo je YARA a prečo je taká účinná pri detekcii škodlivého softvéru?

YARA je skratka pre „Yet Another Recursive Acronym“ (Ďalšia rekurzívna skratka) a stala sa de facto štandardom v analýze hrozieb, pretože... Umožňuje popisovať rodiny škodlivého softvéru pomocou čitateľných, jasných a vysoko flexibilných pravidiel.Namiesto spoliehania sa výlučne na statické antivírusové podpisy YARA pracuje so vzormi, ktoré si sami definujete.

Základná myšlienka je jednoduchá: pravidlo YARA skúma súbor (alebo pamäť, alebo dátový tok) a kontroluje, či je splnená séria podmienok. podmienky založené na textových reťazcoch, hexadecimálnych sekvenciách, regulárnych výrazoch alebo vlastnostiach súboruAk je podmienka splnená, dôjde k „zhode“ a môžete upozorniť, zablokovať alebo vykonať hlbšiu analýzu.

Tento prístup umožňuje bezpečnostným tímom Identifikujte a klasifikujte malware všetkých typov: klasické vírusy, červy, trójske kone, ransomvér, webshell, kryptominery, škodlivé makrá a mnoho ďalšiehoNie je obmedzený na konkrétne prípony alebo formáty súborov, takže detekuje aj maskovaný spustiteľný súbor s príponou .pdf alebo súbor HTML obsahujúci webshell.

Okrem toho je YARA už integrovaná do mnohých kľúčových služieb a nástrojov ekosystému kybernetickej bezpečnosti: VirusTotal, sandboxy ako Cuckoo, zálohovacie platformy ako Veeam alebo riešenia na vyhľadávanie hrozieb od špičkových výrobcovPreto sa zvládnutie YARA stalo takmer nevyhnutnosťou pre pokročilých analytikov a výskumníkov.

Pokročilé prípady použitia YARA pri detekcii malvéru

Jednou zo silných stránok systému YARA je, že sa dokáže prispôsobiť viacerým bezpečnostným scenárom, od SOC až po laboratórium škodlivého softvéru. Rovnaké pravidlá platia pre jednorazové lovy aj pre nepretržité monitorovanie..

Najpriamejším prípadom je vytvorenie špecifické pravidlá pre konkrétny malvér alebo celé rodinyAk je vaša organizácia napadnutá kampaňou založenou na známej rodine (napríklad trójsky kôň so vzdialeným prístupom alebo hrozba APT), môžete profilovať charakteristické reťazce a vzory a vytvoriť pravidlá, ktoré rýchlo identifikujú nové súvisiace vzorky.

Ďalším klasickým použitím je zameranie YARA na základe podpisovTieto pravidlá sú navrhnuté tak, aby vyhľadávali haše, veľmi špecifické textové reťazce, úryvky kódu, kľúče registra alebo dokonca špecifické bajtové sekvencie, ktoré sa opakujú vo viacerých variantoch toho istého malvéru. Majte však na pamäti, že ak hľadáte iba triviálne reťazce, riskujete generovanie falošne pozitívnych výsledkov.

YARA tiež žiari, pokiaľ ide o filtrovanie podľa typy súborov alebo štrukturálne charakteristikyJe možné vytvoriť pravidlá, ktoré sa vzťahujú na spustiteľné súbory PE, kancelárske dokumenty, súbory PDF alebo prakticky akýkoľvek formát, kombináciou reťazcov s vlastnosťami, ako je veľkosť súboru, špecifické hlavičky (napr. 0x5A4D pre spustiteľné súbory PE) alebo podozrivé importy funkcií.

V modernom prostredí je jeho používanie spojené s spravodajské informácie o hrozbáchVerejné repozitáre, výskumné správy a IOC kanály sa prekladajú do pravidiel YARA, ktoré sú integrované do SIEM, EDR, zálohovacích platforiem alebo sandboxov. To umožňuje organizáciám rýchlo odhaliť vznikajúce hrozby, ktoré zdieľajú charakteristiky s už analyzovanými kampaňami.

Pochopenie syntaxe pravidiel YARA

Syntax jazyka YARA je dosť podobná syntaxe jazyka C, ale je jednoduchšia a cielenejšia. Každé pravidlo pozostáva z názvu, voliteľnej sekcie metadát, sekcie reťazca a nevyhnutne sekcie podmienky.Odteraz sila spočíva v tom, ako to všetko skombinujete.

Prvý je názov pravidlaMusí to ísť hneď za kľúčové slovo vládnuť (o pravidlo Ak dokumentujete v španielčine, hoci kľúčové slovo v súbore bude vládnuťa musí byť platným identifikátorom: žiadne medzery, žiadne číslo a žiadne podčiarkovník. Je dobré dodržiavať jasnú konvenciu, napríklad niečo ako Variant rodiny škodlivého softvéru o Nástroj APT_Actor_Tool, čo vám umožňuje na prvý pohľad identifikovať, čo má detekovať.

Nasleduje sekcia reťazcekde definujete vzory, ktoré chcete vyhľadávať. Tu môžete použiť tri hlavné typy: textové reťazce, hexadecimálne sekvencie a regulárne výrazyTextové reťazce sú ideálne pre úryvky kódu čitateľné človekom, URL adresy, interné správy, názvy ciest alebo PDB. Šestnástkové čísla umožňujú zachytiť surové bajtové vzory, ktoré sú veľmi užitočné, keď je kód obfuskovaný, ale zachováva určité konštantné sekvencie.

Regulárne výrazy poskytujú flexibilitu, keď potrebujete pokryť malé variácie v reťazci, ako napríklad zmenu domén alebo mierne zmenené časti kódu. Okrem toho, reťazce aj regulárne výrazy umožňujú, aby escape symboly reprezentovali ľubovoľné bajty., čo otvára dvere k veľmi presným hybridným vzorom.

časť stav Je to jediný povinný príkaz a definuje, kedy sa pravidlo považuje za „zhodné“ so súborom. Používajú sa tam boolovské a aritmetické operácie (a, alebo, nie, +, -, *, /, ľubovoľný, všetky, obsahuje atď.) na vyjadrenie jemnejšej logiky detekcie ako jednoduché „ak sa tento reťazec objaví“.

Napríklad môžete určiť, že pravidlo je platné iba vtedy, ak je súbor menší ako určitá veľkosť, ak sa vyskytnú všetky kritické reťazce alebo ak je prítomný aspoň jeden z niekoľkých reťazcov. Môžete tiež kombinovať podmienky, ako je dĺžka reťazca, počet zhôd, špecifické posuny v súbore alebo veľkosť samotného súboru.Kreativita tu rozhoduje o rozdiele medzi všeobecnými pravidlami a chirurgickými detekciami.

Nakoniec máte voliteľnú sekciu metaIdeálne na dokumentovanie daného obdobia. Je bežné zahrnúť autor, dátum vytvorenia, popis, interná verzia, odkaz na správy alebo tikety a vo všeobecnosti akékoľvek informácie, ktoré pomáhajú udržiavať úložisko prehľadné a zrozumiteľné pre ostatných analytikov.

Praktické príklady pokročilých pravidiel YARA

Aby sme si všetko vyššie uvedené uviedli do perspektívy, je užitočné vidieť, ako je štruktúrované jednoduché pravidlo a ako sa stáva zložitejším, keď do hry vstupujú spustiteľné súbory, podozrivý import alebo opakujúce sa sekvencie inštrukcií. Začnime s hračkárskym pravítkom a postupne zväčšujme jeho veľkosť..

Minimálne pravidlo môže obsahovať iba reťazec a podmienku, ktorá ho robí povinným. Môžete napríklad vyhľadať konkrétny textový reťazec alebo bajtovú sekvenciu reprezentujúcu fragment škodlivého softvéru. Podmienka by v takom prípade jednoducho uvádzala, že pravidlo je splnené, ak sa daný reťazec alebo vzor objaví., bez ďalších filtrov.

V reálnych podmienkach to však nie je dostatočné, pretože Jednoduché reťazce často generujú veľa falošne pozitívnych výsledkov.Preto je bežné kombinovať niekoľko reťazcov (textových a hexadecimálnych) s ďalšími obmedzeniami: súbor nesmie presiahnuť určitú veľkosť, musí obsahovať špecifické hlavičky alebo sa aktivuje iba vtedy, ak sa nájde aspoň jeden reťazec z každej definovanej skupiny.

Typickým príkladom analýzy spustiteľných súborov PE je import modulu pe z YARA, čo vám umožňuje dotazovať sa na interné vlastnosti binárneho súboru: importované funkcie, sekcie, časové pečiatky atď. Pokročilé pravidlo môže vyžadovať import súboru CreateProcess z Kernel32.dll a niektoré HTTP funkcie z wininet.dll, okrem toho, že obsahuje špecifický reťazec indikujúci škodlivé správanie.

Tento typ logiky je ideálny na lokalizáciu Trójske kone so schopnosťami vzdialeného pripojenia alebo exfiltrácieaj keď sa názvy súborov alebo cesty menia z jednej kampane na druhú. Dôležité je zamerať sa na základné správanie: vytváranie procesov, HTTP požiadavky, šifrovanie, perzistencia atď.

Ďalšou veľmi účinnou technikou je pozrieť sa na sekvencie opakujúcich sa inštrukcií medzi vzorkami z rovnakej rodiny. Aj keď útočníci zabalia alebo znejasnia binárny súbor, často znovu použijú časti kódu, ktoré je ťažké zmeniť. Ak po statickej analýze nájdete konštantné bloky inštrukcií, môžete formulovať pravidlo s zástupné znaky v hexadecimálnych reťazcoch ktorý zachytáva daný vzorec a zároveň zachováva určitú toleranciu.

S týmito pravidlami „založenými na správaní kódu“ je možné sledovať celé kampane škodlivého softvéru, ako napríklad kampane PlugX/Korplug alebo iných rodín APTNezistíte len konkrétny hash, ale idete takpovediac po vývojovom štýle útočníkov.

Použitie YARA v reálnych kampaniach a pri hrozbách nultého dňa

YARA sa osvedčila najmä v oblasti pokročilých hrozieb a zero-day exploitov, kde klasické ochranné mechanizmy prichádzajú príliš neskoro. Známym príkladom je použitie YARA na lokalizáciu exploitu v Silverlighte z minimálnych uniknutých informácií..

V tomto prípade sa z e-mailov ukradnutých od spoločnosti zaoberajúcej sa vývojom útočných nástrojov odvodilo dostatok vzorcov na vytvorenie pravidla zameraného na konkrétny exploit. Vďaka tomuto jedinému pravidlu dokázali výskumníci vystopovať vzorku v mori podozrivých súborov.Identifikujte zneužitie a vynútite si jeho opravu, čím zabránite oveľa vážnejšiemu poškodeniu.

Tieto typy príbehov ilustrujú, ako môže YARA fungovať ako rybárska sieť v mori súborovPredstavte si svoju firemnú sieť ako oceán plný „rýb“ (súborov) všetkých druhov. Vaše pravidlá sú ako priehradky v vlečnej sieti: každá priehradka uchováva ryby, ktoré spĺňajú špecifické charakteristiky.

Keď dokončíte ťahanie, máte vzorky zoskupené podľa podobnosti s konkrétnymi rodinami alebo skupinami útočníkov„podobné druhu X“, „podobné druhu Y“ atď. Niektoré z týchto vzoriek môžu byť pre vás úplne nové (nové binárne súbory, nové kampane), ale zapadajú do známeho vzoru, čo urýchľuje vašu klasifikáciu a reakciu.

Aby v tomto kontexte vyťažili maximum z YARA, mnoho organizácií spája... pokročilé školenia, praktické laboratóriá a kontrolované experimentálne prostrediaExistujú vysoko špecializované kurzy venované výlučne umeniu písania dobrých pravidiel, často založené na skutočných prípadoch kybernetickej špionáže, v ktorých študenti precvičujú autentické vzorky a učia sa hľadať „niečo“, aj keď presne nevedia, čo hľadajú.

Integrujte YARA do platforiem zálohovania a obnovy

Jednou z oblastí, kde YARA dokonale zapadá a ktorá často zostáva trochu nepovšimnutá, je ochrana záloh. Ak sú zálohy infikované škodlivým softvérom alebo ransomvérom, obnova môže reštartovať celú kampaň.Preto niektorí výrobcovia priamo začlenili motory YARA do svojich riešení.

Možno spustiť zálohovacie platformy novej generácie Analytické relácie založené na pravidlách YARA v bodoch obnoveniaCieľ je dvojaký: lokalizovať posledný „čistý“ bod pred incidentom a odhaliť škodlivý obsah skrytý v súboroch, ktorý nemuseli spustiť iné kontroly.

V týchto prostrediach typický proces zahŕňa výber možnosti „Naskenujte body obnovenia pomocou pravítka YARA„počas konfigurácie analytickej úlohy. Ďalej sa zadá cesta k súboru s pravidlami (zvyčajne s príponou .yara alebo .yar), ktorý je zvyčajne uložený v konfiguračnom priečinku špecifickom pre zálohovacie riešenie.“

Počas vykonávania engine iteruje cez objekty obsiahnuté v kópii, aplikuje pravidlá a Zaznamenáva všetky zhody do špecifického analytického protokolu YARA.Správca si môže tieto protokoly zobraziť z konzoly, skontrolovať štatistiky, zistiť, ktoré súbory spustili upozornenie, a dokonca sledovať, ktorým počítačom a konkrétnemu dátumu každá zhoda zodpovedá.

Túto integráciu dopĺňajú ďalšie mechanizmy, ako napr. detekcia anomálií, monitorovanie veľkosti záloh, vyhľadávanie konkrétnych IOC alebo analýza podozrivých nástrojovAle pokiaľ ide o pravidlá prispôsobené konkrétnej rodine alebo kampani ransomvéru, YARA je najlepším nástrojom na spresnenie tohto vyhľadávania.

Ako testovať a overovať pravidlá YARA bez narušenia vašej siete

Keď začnete písať vlastné pravidlá, ďalším kľúčovým krokom je ich dôkladné otestovanie. Príliš agresívne pravidlo môže vyvolať záplavu falošných poplachov, zatiaľ čo príliš laxné pravidlo môže nechať skutočné hrozby prepadnúť.Preto je fáza testovania rovnako dôležitá ako fáza písania.

Dobrou správou je, že na to nemusíte zriadiť laboratórium plné funkčného malvéru a infikovať polovicu siete. Úložiská a súbory údajov, ktoré tieto informácie ponúkajú, už existujú. známe a kontrolované vzorky škodlivého softvéru na výskumné účelyTieto vzorky si môžete stiahnuť do izolovaného prostredia a použiť ich ako testovacie prostredie pre vaše pravidlá.

Obvyklý prístup je začať spustením YARA lokálne, z príkazového riadku, na adresári obsahujúcom podozrivé súbory. Ak sa vaše pravidlá zhodujú tam, kde by mali, a v čistých súboroch sa takmer nerozbiehajú, ste na správnej ceste.Ak spúšťajú príliš veľa reťazcov, je čas skontrolovať ich, spresniť podmienky alebo zaviesť ďalšie obmedzenia (veľkosť, importy, ofsety atď.).

Ďalším kľúčovým bodom je zabezpečiť, aby vaše pravidlá neohrozovali výkon. Pri skenovaní veľkých adresárov, úplných záloh alebo rozsiahlych kolekcií vzoriek, Zle optimalizované pravidlá môžu spomaliť analýzu alebo spotrebovať viac zdrojov, ako je potrebné.Preto je vhodné merať časovanie, zjednodušovať zložité výrazy a vyhýbať sa nadmerne ťažkým regulárnym výrazom.

Po absolvovaní tejto fázy laboratórnych testov budete môcť Propagujte pravidlá v produkčnom prostredíČi už ide o váš SIEM, zálohovacie systémy, e-mailové servery alebo kdekoľvek, kam ich chcete integrovať. A nezabudnite na neustály cyklus kontroly: s vývojom kampaní budú vaše pravidlá vyžadovať pravidelné úpravy.

Nástroje, programy a pracovný postup s YARA

Okrem oficiálneho binárneho súboru vyvinulo mnoho profesionálov malé programy a skripty pre YARA, aby uľahčili jeho každodenné používanie. Typický prístup zahŕňa vytvorenie aplikácie pre zostavte si vlastnú bezpečnostnú súpravu ktorý automaticky načíta všetky pravidlá v priečinku a aplikuje ich na analytický adresár.

Tieto typy domácich nástrojov zvyčajne fungujú s jednoduchou adresárovou štruktúrou: jeden priečinok pre pravidlá stiahnuté z internetu (napríklad „rulesyar“) a ďalší priečinok pre podozrivé súbory, ktoré budú analyzované (napríklad „malware“). Po spustení programu sa overí existencia oboch priečinkov, zobrazí sa zoznam pravidiel na obrazovke a program sa pripraví na spustenie.

Keď stlačíte tlačidlo ako „Spustiť kontroluAplikácia potom spustí spustiteľný súbor YARA s požadovanými parametrami: skenovanie všetkých súborov v priečinku, rekurzívna analýza podadresárov, výstup štatistík, tlač metadát atď. Všetky zhody sa zobrazia v okne s výsledkami, pričom je uvedené, ktorý súbor zodpovedal ktorému pravidlu.

Tento pracovný postup umožňuje napríklad detekciu problémov v dávke exportovaných e-mailov. škodlivé vložené obrázky, nebezpečné prílohy alebo webové shell-y skryté v zdanlivo neškodných súborochMnohé forenzné vyšetrovania v korporátnom prostredí sa spoliehajú práve na tento typ mechanizmu.

Pokiaľ ide o najužitočnejšie parametre pri volaní YARA, vynikajú možnosti ako tieto: -r na rekurzívne vyhľadávanie, -S na zobrazenie štatistík, -m na extrakciu metadát a -w na ignorovanie upozornení.Kombináciou týchto príznakov môžete prispôsobiť správanie vášmu prípadu: od rýchlej analýzy v konkrétnom adresári až po kompletnú kontrolu zložitej štruktúry priečinkov.

Najlepšie postupy pri písaní a údržbe pravidiel YARA

Aby ste predišli tomu, že sa váš repozitár pravidiel stane nezvládnuteľným chaosom, je vhodné použiť súbor osvedčených postupov. Prvým je práca s konzistentnými šablónami a konvenciami pomenovaniaaby každý analytik mohol na prvý pohľad pochopiť, čo každé pravidlo robí.

Mnoho tímov používa štandardný formát, ktorý zahŕňa hlavička s metadátami, tagmi označujúcimi typ hrozby, aktéra alebo platformu a jasným popisom toho, čo sa detegujeToto pomáha nielen interne, ale aj keď zdieľate pravidlá s komunitou alebo prispievate do verejných repozitárov.

Ďalším odporúčaním je vždy pamätať na to, že YARA je len ďalšia vrstva obranyNenahrádza antivírusový softvér ani EDR, ale skôr ich dopĺňa v stratégiách pre Chráňte svoj počítač so systémom WindowsV ideálnom prípade by YARA mala zapadať do širších referenčných rámcov, ako je napríklad rámec NIST, ktorý sa zaoberá aj identifikáciou, ochranou, detekciou, reakciou a obnovou aktív.

Z technického hľadiska sa oplatí venovať tomu čas vyhnúť sa falošným pozitívamTo zahŕňa vyhýbanie sa príliš všeobecným reťazcom, kombinovanie viacerých podmienok a používanie operátorov ako napríklad všetko z o ktorýkoľvek z Použite svoju hlavu a využite štrukturálne vlastnosti súboru. Čím špecifickejšia je logika obklopujúca správanie škodlivého softvéru, tým lepšie.

Nakoniec, udržujte si disciplínu verzovanie a pravidelná kontrola Je to kľúčové. Rodiny malvéru sa vyvíjajú, indikátory sa menia a pravidlá, ktoré fungujú dnes, môžu zlyhať alebo sa stať zastaranými. Pravidelná kontrola a vylepšovanie súboru pravidiel je súčasťou hry mačky a myši v oblasti kybernetickej bezpečnosti.

Komunita YARA a dostupné zdroje

Jedným z hlavných dôvodov, prečo sa YARA dostala tak ďaleko, je sila jej komunity. Výskumníci, bezpečnostné firmy a zásahové tímy z celého sveta neustále zdieľajú pravidlá, príklady a dokumentáciu.vytvárajúc veľmi bohatý ekosystém.

Hlavným referenčným bodom je Oficiálny repozitár YARA na GitHubNájdete tam najnovšie verzie nástroja, zdrojový kód a odkazy na dokumentáciu. Odtiaľ môžete sledovať priebeh projektu, hlásiť problémy alebo prispieť k vylepšeniam, ak chcete.

Oficiálna dokumentácia, dostupná na platformách ako ReadTheDocs, ponúka kompletný sprievodca syntaxou, dostupné moduly, príklady pravidiel a referencie použitiaJe to nevyhnutný zdroj na využitie najpokročilejších funkcií, ako je inšpekcia PE, ELF, pamäťové pravidlá alebo integrácie s inými nástrojmi.

Okrem toho existujú komunitné repozitáre pravidiel a podpisov YARA, kde analytici z celého sveta... Publikujú kolekcie pripravené na použitie alebo kolekcie, ktoré je možné prispôsobiť vašim potrebám.Tieto repozitáre zvyčajne obsahujú pravidlá pre konkrétne rodiny škodlivého softvéru, exploit kity, škodlivo používané nástroje na penetračné testovanie, webové shell-y, kryptoťažiare a mnoho ďalšieho.

Súbežne mnoho výrobcov a výskumných skupín ponúka Špecifické školenia v spoločnosti YARA, od základných úrovní až po veľmi pokročilé kurzyTieto iniciatívy často zahŕňajú virtuálne laboratóriá a praktické cvičenia založené na reálnych scenároch. Niektoré sú dokonca ponúkané bezplatne neziskovým organizáciám alebo subjektom, ktoré sú obzvlášť zraniteľné voči cieleným útokom.

Celý tento ekosystém znamená, že s trochou odhodlania môžete prejsť od napísania prvých základných pravidiel k vyvíjať sofistikované balíky schopné sledovať komplexné kampane a odhaľovať bezprecedentné hrozbyA kombináciou systému YARA s tradičným antivírusom, bezpečným zálohovaním a analýzou hrozieb výrazne sťažujete život škodlivým aktérom, ktorí sa potulujú po internete.

Z vyššie uvedeného je zrejmé, že YARA je oveľa viac než len jednoduchý nástroj príkazového riadku: je to kľúčový kus v akejkoľvek pokročilej stratégii detekcie škodlivého softvéru, flexibilný nástroj, ktorý sa prispôsobí vášmu spôsobu myslenia ako analytika a bežný jazyk ktorá spája laboratóriá, SOC a výskumné komunity na celom svete, čím umožňuje každému novému pravidlu pridať ďalšiu vrstvu ochrany pred čoraz sofistikovanejšími kampaňami.