Sida YAR loogu isticmaalo ogaanshaha malware-ka horumarsan

¿Sida YAR loogu isticmaalo ogaanshaha malware-ka horumarsan? Marka barnaamijyada anti-virus-ka caadiga ahi ay gaadhaan xadkooda oo ay weerarayaashu simbiriirixiyaan dildilaac kasta oo suurtagal ah, qalab ka noqday lama huraan shaybaarada jawaabta dhacdada ayaa ciyaarta soo galaya: YAR, "Middida Swiss" ee ugaarsiga malwareNaqshadeynta si loogu qeexo qoysaska software-ka xaasidka ah iyadoo la adeegsanayo qaababka qoraalka iyo binary, waxay u oggolaaneysaa in aad uga fogaato isbarbardhigga xashiishka fudud.

Gacmaha midig, YAR kaliya maaha in la helo ma aha oo kaliya muunadaha malware-ka ee la yaqaan, laakiin sidoo kale noocyo cusub, ka faa'iidaysasho eber-maalin ah, iyo xitaa agabka weerarka ganacsigaMaqaalkan, waxaan si qoto dheer u sahamin doonaa si dhab ah sida loogu isticmaalo YARA ogaanshaha malware-ka horumarsan, sida loo qoro xeerar adag, sida loo tijaabiyo, sida loogu dhex daro aaladaha sida Veeam ama socodkaaga falanqaynta, iyo waxa ugu wanaagsan ee bulshada xirfadleyda ahi raacdo.

Waa maxay YARA maxayse aadka ugu xoogan tahay ogaanshaha malware?

YARA waxa ay u taagan tahay "Weli Kale Soo Gaabin Soo Gaabisay" oo waxa ay noqotay halbeeg dhab ah marka la eego falanqaynta khatarta sababtoo ah Waxa ay ogolataa in lagu sifeeyo qoysaska malware-ka iyadoo la isticmaalayo xeerar la akhriyi karo, cad, oo aad u dabacsan.Halkii aad ku tiirsanaan lahayd oo keliya saxeexyada fayraska taagan, YARA waxay la shaqeysaa qaabab aad adigu qeexdo.

Fikradda aasaasiga ah waa mid fudud: qaanuunka YAR ayaa baara faylka (ama xusuusta, ama qulqulka xogta) oo hubiya haddii shuruudo taxane ah la buuxiyey. xaaladaha ku salaysan xadhkaha qoraalka, taxanaha hexadecimal, tibaaxaha caadiga ah, ama hantida faylkaHaddii xaaladda la buuxiyo, waxaa jira "kulan" oo waad ka digtoonaan kartaa, xannibi kartaa, ama samayn kartaa falanqayn qoto dheer.

Habkani wuxuu u ogolaanayaa kooxaha amniga Aqoonso oo kala saar malware-ka nooc kasta ah: Virus-yada caadiga ah, Gooryaanka, Trojans, ransomware, webshells, cryptominers, macros xaasidnimo ah, iyo qaar kaloo badanKuma koobna kordhinta faylalka gaarka ah ama qaababka, sidaas darteed waxay sidoo kale ogaataa fulin la qariyay oo leh .pdf kordhinta ama faylka HTML oo ka kooban webshell.

Intaa waxaa dheer, YAR waxay horeyba ugu biirtay adeegyo badan oo muhiim ah iyo qalabyada nidaamka deegaanka ee amniga internetka: VirusTotal, sanduuqyada ciid sida Cuckoo, goobaha kaydinta sida Veeam, ama xalalka ugaarsiga hanjabaada ee soosaarayaasha heerka sare ahSidaa darteed, aqoonta YAR waxay noqotay ku dhawaad ​​shuruud looga baahan yahay falanqeeyayaasha sare iyo cilmi-baarayaasha.

Kiisaska isticmaalka sare ee YAR ee ogaanshaha malware

Mid ka mid ah awoodaha YARA ayaa ah inay ula qabsato sida galoofyada oo kale xaalado amni oo badan, laga bilaabo SOC ilaa shaybaadhka malware. Xeerar isku mid ah ayaa khuseeya ugaarsiga hal mar ah iyo la socodka joogtada ah labadaba..

Kiiska ugu tooska ah wuxuu ku lug leeyahay abuurista sharciyo gaar ah oo loogu talagalay malware gaar ah ama qoysaska oo dhanHaddii ururkaaga lagu soo weeraro olole ku salaysan qoys la yaqaan (tusaale, trojan fog ama hanjabaad APT), waxaad muujin kartaa xargaha iyo qaababka sifo oo aad kor u qaaddo sharciyo si dhakhso ah u aqoonsanaya muunado cusub oo la xidhiidha.

Isticmaalka kale ee classic waa diiradda YAR oo ku salaysan saxiixyadaXeerarkan waxaa loogu talagalay in lagu helo xashiishka, xadhkaha qoraalka aadka u gaarka ah, godadka koodka, furayaasha diiwaanka, ama xitaa taxane byte gaar ah oo lagu soo celceliyo noocyo badan oo isla malware ah. Si kastaba ha ahaatee, maskaxda ku hay in haddii aad kaliya raadiso xadhkaha aan waxtarka lahayn, waxaad halis u tahay inaad dhaliso natiijooyin been ah.

YARA sidoo kale way iftiimaysaa markay timaaddo shaandhaynta noocyada faylalka ama sifooyinka qaabdhismeedkaWaa suurtagal in la abuuro xeerar khuseeya fulinta PE, dukumeentiyada xafiiska, PDFs, ama qaab kasta, iyada oo la isku darayo xargaha leh guryaha sida cabbirka faylka, madax gaar ah (tusaale, 0x5A4D ee PE executables), ama soo dejinta shaqada laga shakiyo.

Deegaannada casriga ah, isticmaalkeeda waxay ku xiran tahay sirdoonka khatarKaydka dadweynaha, warbixinnada cilmi-baadhista, iyo quudinta IOC waxa lagu turjumay xeerarka YAR ee lagu dhex daray SIEM, EDR, meelaha kaydka ah, ama sanduuqyada ciidda. Tani waxay u ogolaaneysaa ururada inay si degdeg ah u ogow khataraha soo baxaya ee la wadaaga sifooyinka ololayaal hore loo falanqeeyay.

Fahamka habraaca xeerarka YAR

Ereyga YAR wuxuu la mid yahay kan C, laakiin si ka fudud oo diiradda la saaray. Xeer kastaa wuxuu ka kooban yahay magac, qayb badan oo xogta badan, qayb xadhig ah, iyo, daruuri, qayb xaalad ah.Laga soo bilaabo halkan, awooddu waxay ku jirtaa sida aad isugu geyso waxaas oo dhan.

Midka koowaad waa magaca xeerWaa inay isla markiiba raacdaa erayga muhiimka ah xukun (o xukun Haddii aad ku qorto Isbaanishka, in kasta oo erayga muhiimka ah ee faylka ku jira uu noqon doono xukunwaana inuu noqdaa aqoonsi ansax ah: meel banaani ma jirto, nambar la'aan, iyo wax hoosta ka xarriiqaya. Waa fikrad wanaagsan in la raaco heshiis cad, tusaale ahaan wax la mid ah Kala duwanaanshaha_Qoyska Malware o APT_Actor_Tool, taas oo kuu ogolaanaysa inaad aragto aragti waxa loogu talagalay in lagu ogaado.

Waxaa ku xiga qaybta xargahahalkaas oo aad ku qeexdo qaababka aad rabto inaad raadiso. Halkan waxaad isticmaali kartaa saddex nooc oo waaweyn: Xargaha qoraalka, taxanaha hexadecimal, iyo tibaaxaha caadiga ahXadhkaha qoraalku waxay ku habboon yihiin godadka koodka ee bini'aadamku akhrin karo, URL-yada, fariimaha gudaha, magacyada waddooyinka, ama PDBs. Hexadecimals waxay kuu ogolaaneysaa inaad qabsato qaababka byte ceeriin, kuwaas oo aad u faa'iido leh marka koodhka la daboolo laakiin wuxuu hayaa taxane joogto ah oo gaar ah.

Tibaaxaha caadiga ah waxay bixiyaan dabacsanaan markaad u baahan tahay inaad daboosho kala duwanaansho yar oo xadhig ah, sida beddelka xayndaabka ama qaybo yar oo koodka la beddelay. Intaa waxaa dheer, labadaba xargaha iyo regex waxay u oggolaanayaan baxsasho inay matalaan bytes aan sabab lahayn, kaas oo albaabka u furaya qaabab isku-dhafan oo aad u saxan.

Qaybta xaalad Waa ta kaliya ee qasabka ah oo qeexaysa marka xeerka loo tixgeliyo inuu "ku habboon yahay" faylka. Halkaa waxaad ku isticmaashaa Boolean iyo hawlgallo xisaabeed (iyo, ama, aan, +, -, *, /, mid, dhammaan, ka kooban, iwm.) si loo muujiyo caqli-gal ka wanaagsan oo lagu ogaanayo marka loo eego fudud "haddii xadhigani soo baxo".

Tusaale ahaan, waxaad qeexi kartaa in sharcigu ansax yahay oo keliya haddii feylku ka yar yahay cabbir cayiman, haddii dhammaan xargaha muhiimka ahi ay muuqdaan, ama haddii ugu yaraan mid ka mid ah dhawr xadhig uu joogo. Waxa kale oo aad isku dari kartaa shuruudaha sida dhererka xadhigga, tirada taranka, ka-baxyada gaarka ah ee faylka, ama cabbirka faylka laftiisa.Hal-abuurka halkan ayaa ka dhigaya faraqa u dhexeeya xeerarka guud iyo ogaanshaha qalliinka.

Ugu dambeyntii, waxaad haysataa qaybta ikhtiyaarka ah goolKu habboon diiwaangelinta muddada. Waa wax caadi ah in lagu daro qoraaga, taariikhda abuurista, sharraxaadda, nooca gudaha, tixraaca warbixinnada ama tigidhada iyo, guud ahaan, xog kasta oo ka caawinaysa in kaydka la habeeyo oo la fahmi karo falanqeeyayaasha kale.

Tusaalooyinka wax ku oolka ah ee sharciyada YAR ee horumarsan

Si loo meel dhigo dhammaan kuwa kore, waxaa waxtar leh in la arko sida sharci fudud loo habeeyey iyo sida uu u noqonayo mid aad u adag marka faylalka la fulin karo, soo dejinta shakiga leh, ama taxanaha tilmaamaha soo noqnoqda ay yimaadaan ciyaarta. Aan ku bilowno hagaha toy-ga oo si tartiib tartiib ah u kordhino cabbirka..

Xeerka ugu yar waxa uu ka koobnaan karaa xadhig kaliya iyo xaalad ka dhigaysa mid qasab ah. Tusaale ahaan, waxaad raadin kartaa xadhig qoraal ah oo gaar ah ama isku xigxiga byte-ka wakiilka jajabka malware. Xaaladdu, xaaladdaas, waxay si fudud u sheegaysaa in qaanuunka la buuxiyey haddii xadhigga ama qaabkaas uu muuqdo., iyada oo aan lahayn filtarrada kale.

Si kastaba ha noqotee, goobaha dhabta ah ee aduunka tani way gaaban tahay, sababtoo ah Silsilada fudud waxay inta badan dhaliyaan waxyaabo badan oo been abuur ahTaasi waa sababta ay caadi u tahay in la isku daro dhowr xargo (qoraal iyo hexadecimal) oo leh xaddidaadyo dheeraad ah: in faylka uusan dhaafin cabbir gaar ah, oo uu ku jiro madaxyo gaar ah, ama in la dhaqaajiyo oo kaliya haddii ugu yaraan hal xarig laga helo koox kasta oo la qeexay.

Tusaalaha caadiga ah ee falanqaynta PE ee la fulin karo waxay ku lug leedahay soo dejinta moduleka pe ka YARA, kaas oo kuu ogolaanaya inaad waydiiso sifooyinka gudaha ee binary: hawlaha la soo dejiyey, qaybaha, timestamps, iwm. Xeer horumarsan ayaa u baahan kara faylka in la soo dejiyo Habka abuurista ka Kernel32.dll iyo qaar ka mid ah hawlaha HTTP ka winnet.dll, marka lagu daro ka kooban xadhig gaar ah oo tilmaamaya habdhaqanka xaasidnimada ah.

Noocan macquulka ah ayaa ku habboon in la helo Trojans oo leh xiriir fog ama awoodaha sifeyntaxataa marka faylalka ama dariiqyadu ay ka beddelaan olole mid kale. Waxa muhiimka ah waa in diiradda la saaro hab-dhaqanka hoose: habka abuurista, codsiyada HTTP, sirta, adkaysiga, iwm.

Farsamo kale oo waxtar leh ayaa ah in la eego tixanaha tilmaamaha ee soo noqnoqda inta u dhaxaysa muunado isku qoys ah. Xataa haddii weeraryahanadu xidh-xidhaan ama qariyaan binary-ga, waxay inta badan dib u isticmaalaan qaybo kood ah oo ay adag tahay in la beddelo. Haddii, ka dib falanqaynta static, aad hesho blocks joogto ah ee tilmaamaha, waxaad samayn kartaa xeer kaararka duurjoogta ah ee xargaha hexadecimal taas oo qabsata qaabkaas iyadoo la ilaalinayo dulqaad gaar ah.

Xeerarkan "code-ku-saleysan" waa suurtagal lasoco dhamaan ololayaasha malware sida kuwa PlugX/Korplug ama qoysaska kale ee APTKaliya ma ogaan kartid xashiish gaar ah, laakiin waxaad raacdaa qaabka horumarinta, si aad u hadasho, ee weeraryahannada.

Isticmaalka YARA ololaha dhabta ah iyo hanjabaadaha eber-maalin ah

YARA waxay cadaysay qiimaheeda gaar ahaan dhinaca hanjabaadaha horumarsan iyo ka faa'iidaysiga eber-maalin, halkaasoo hababka ilaalinta caadiga ahi ay aad u daahdaan. Tusaalaha caanka ah waa isticmaalka YARA si loo helo ka faa'iidaysiga Silverlight sirta sirta ah ee ugu yar..

Xaaladdaas, emayllada laga xaday shirkad u heellan horumarinta qalabka weerarka, qaabab ku filan ayaa laga soo saaray si loo dhiso xeer ku jihaysan ka faa'iidaysi gaar ah. Xeerkaas oo keliya, cilmi-baarayaashu waxay awoodeen inay raadiyaan muunadda iyada oo loo marayo badda faylal shaki leh.Aqoonso ka faa'iidaysiga oo xoog ku dhejinta, adigoo ka hortagaya waxyeello ka sii daran.

Sheekooyinka noocaan ah waxay muujinayaan sida YAR u shaqayn karto shabagga kalluumaysiga ee badda faylalkaBal qiyaas shabakadaada shirkadeed sidii badweyn ay ka buuxaan "kalluun" (faylal) nooc kasta ah. Xeerarkaagu waa sida qaybo ka mid ah shabagga jaranjarada: qayb kasta waxay haysaa kalluunka ku habboon sifooyin gaar ah.

Markaad dhammayso jiidista, waxaad leedahay muunado lagu soo ururiyey la mid ah qoysas gaar ah ama kooxaha weeraryahanada: "La mid ah Noocyada X", "La mid ah Noocyada Y", iwm. Qaar ka mid ah muunadahan ayaa laga yaabaa inay kugu cusub yihiin (binaari cusub, ololeyaal cusub), laakiin waxay ku habboon yihiin qaab la yaqaan, taas oo dedejinaysa soocistaada iyo jawaabtaada.

Si looga faa'iidaysto YAR macnaha guud, ururo badan ayaa isku dara tababar heersare ah, shaybaaro wax ku ool ah iyo deegaan tijaabo ah oo la xakameeyeyWaxaa jira koorsooyin gaar ah oo si gaar ah loogu talagalay farshaxanka qorista xeerar wanaagsan, oo inta badan ku saleysan kiisaska dhabta ah ee basaasnimada internetka, taas oo ardaydu ay ku shaqeystaan ​​muunado dhab ah oo ay bartaan inay raadiyaan "wax" xitaa marka aysan si sax ah u garanayn waxay raadinayaan.

Isku dhafka YAR ee kaydinta iyo aaladaha soo kabashada

Mid ka mid ah aagga uu YARA si fiican ugu habboon yahay, oo inta badan aan la dareemin, waa ilaalinta kaydinta. Haddii kaydka uu ku dhaco malware ama ransomware, soo celinta waxay dib u bilaabi kartaa ololaha oo dhan.Taasi waa sababta qaar ka mid ah soosaarayaasha qaarkood ay ugu biiriyeen matoorada YAR xalalkooda.

Goobaha kaydinta jiilka xiga waa la bilaabi karaa Fadhiyada falanqaynta qaanuunka ku salaysan ee YAR ee dhibcaha soo celintaHadafku waa laba laab: in la helo barta "nadiif" ee ugu danbeysa ka hor dhacdada iyo in la ogaado waxyaabaha xaasidnimada leh ee ku qarsoon faylalka kuwaas oo laga yaabo in aysan kicin hubin kale.

Deegaannadan habka caadiga ah wuxuu ku lug leeyahay doorashada ikhtiyaarka ah "Sawirka ku soo celi dhibcaha taliyaha YAR"inta lagu jiro qaabeynta shaqada falanqaynta. Marka xigta, dariiqa loo maro faylka sharciyada ayaa lagu qeexay (sida caadiga ah kordhinta .yara ama .yar), kaas oo sida caadiga ah lagu kaydiyo galka qaabeynta ee gaarka ah ee xalinta kaydka."

Inta lagu jiro fulinta, matoorku wuxuu ku celceliyaa walxaha ku jira nuqulka, wuxuu dabaqaa sharciyada, iyo Waxay ku diiwaan gelisaa dhammaan tartamada diiwaanka falanqaynta YAR ee gaarka ah.Maamuluhu wuxuu ka arki karaa diiwaanadan console-ka, dib u eegis tirakoobka, arag faylalka digniinta kiciyay, iyo xitaa raad raac mashiinada iyo taariikhda gaarka ah kulan kastaa u dhigma.

Isku dhafkan waxaa kaabaya habab kale sida ogaanshaha anomaly, la socodka cabbirka kaydinta, raadinta IOC-yada gaarka ah, ama falanqaynta aaladaha laga shakiyoLaakin marka ay timaado qawaaniinta loo habeeyey qoys madax-furasho gaar ah ama olole, YARA waa qalabka ugu fiican ee lagu sifeeyo raadintaas.

Sida loo tijaabiyo oo loo ansixiyo xeerarka YAR adoon jebin shabakadaada

Markaad bilowdo inaad qorto xeerarkaaga, tallaabada xigta ee muhiimka ah waa inaad si fiican u tijaabiso. Xeerka aadka u qallafsan wuxuu dhalin karaa daadad faa'iidooyin been ah, halka caajisnimada xad dhaafka ah ay u oggolaan karto khataraha dhabta ah.Taasi waa sababta marxaladda imtixaanku ay muhiim u tahay sida wejiga qoraalka.

Warka fiicani waa inaadan u baahnayn inaad dejiso shaybaadhka ay ka buuxaan malware-ka shaqeeya oo aad qaadsiiso kala badh shabakada si aad tan u samayso. Kaydka iyo kaydka xogta ayaa hore u jiray kuwaas oo bixiya macluumaadkan. shaybaarrada malware-ka la yaqaan ee la kontoroolo ee ujeedooyinka cilmi-baaristaWaxaad soo dejisan kartaa muunadyadaas deegaan go'doonsan oo u isticmaal sidii gogol tijaabo ah xeerarkaaga.

Habka caadiga ah waa in lagu bilaabo adigoo ku socodsiinaya YARA gudaha, laga bilaabo khadka taliska, ka dhanka ah hagaha ay ku jiraan faylal shaki leh. Haddii sharciyadaadu u dhigmaan meesha ay tahay inay si dhib yar u jebiyaan faylal nadiif ah, waxaad ku socotaa wadadii saxda ahayd.Haddii ay wax badan kicinayaan, waa waqtigii dib loo eegi lahaa xargaha, la sifayn lahaa xaaladaha, ama la soo saari lahaa xaddidaadyo dheeraad ah (xajmiga, soo dejinta, ka-baxyada, iwm.).

Qodob kale oo muhiim ah ayaa ah in la hubiyo in xeerarkaagu aysan wax u dhimin waxqabadka. Markaad sawirto hagayaal waaweyn, kayd buuxa, ama ururin muunado waaweyn, Xeerarka si liidata loo hagaajiyay waxay hoos u dhigi karaan falanqaynta ama waxay isticmaali karaan ilo ka badan intii la rabay.Sidaa darteed, waxaa lagu talinayaa in la cabbiro waqtiyada, la fududeeyo tibaaxaha adag, lagana fogaado regex culus oo xad dhaaf ah.

Ka dib markaad ka gudubto marxaladaas tijaabada shaybaadhka, waxaad awoodi doontaa inaad Horumarinta shuruucda deegaanka wax soo saarkaHaddi ay ku jirto SIEM-gaaga, nidaamyada kaydkaaga, server-yada iimaylka, ama meel kasta oo aad rabto in aad ku dhex-gasho. Ha iloobin inaad joogteyso wareegtada dib u eegista joogtada ah: sida ololayaasha ay u horumaraan, sharciyadaadu waxay u baahan doonaan isbedel xilliyeed.

Qalabka, barnaamijyada iyo socodka shaqada ee YAR

Marka laga soo tago binary-ga rasmiga ah, xirfadlayaal badan ayaa sameeyay barnaamijyo iyo qoraallo yaryar agagaarka YARA si ay u fududeeyaan isticmaalkeeda maalinlaha ah. Habka caadiga ah wuxuu ku lug leeyahay abuurista codsi soo ururso xirmadaada ammaanka kaas oo si toos ah u akhriya dhammaan sharciyada ku jira galka oo ku dabaqa buugga falanqaynta.

Noocyada noocaan ah ee qalabka guriga lagu sameeyo waxay badanaa la shaqeeyaan qaab dhismeedka hagaha fudud: hal gal oo loogu talagalay xeerarka laga soo dejiyo internetka (tusaale ahaan, "rulesyar") iyo gal kale oo loogu talagalay faylasha laga shakiyo in la falanqeeyo (tusaale ahaan, "malware"). Marka uu barnaamijku bilaabo, waxa uu hubinayaa in labada faylal ay jiraan, waxa uu taxayaa shuruucda shaashadda, oo uu isu diyaarinayo in la fuliyo.

Markaad riixdo badhanka sida "Bilow hubinCodsiga ayaa markaa bilaabaya fulinta YARA oo leh cabbirada la rabo: iskaanka dhammaan faylasha ku jira galka, falanqaynta soo noqnoqda ee haga-hoosaadyada, tirakoobka soo saarista, daabacaadda xogta badan, iwm

Socodkan shaqadu wuxuu ogolaanayaa, tusaale ahaan, ogaanshaha arrimaha ku jira qaybta iimaylada la dhoofiyay. sawirro xaasidnimo ah oo ku xidhan, lifaaqyo khatar ah, ama shabkada webka oo ku qarsoon faylal u muuqda kuwo aan waxba galabsanBaadhitaano badan oo dambiilayaal ah oo ka dhaca deegaanka shirkadaha waxay si sax ah ugu tiirsan yihiin habkan.

Marka laga hadlayo cabbirrada ugu faa'iidada badan marka la codsanayo YAR, xulashooyinka sida kuwan soo socda ayaa muuqda: -r si loo baadho si isdaba joog ah, -S si loo muujiyo tirakoobka, -m si loo soo saaro xogta badan, iyo -w in la iska indhatiro digniinahaMarka la isku daro calamadan waxaad ku hagaajin kartaa habdhaqanka kiiskaaga: laga bilaabo falanqaynta degdega ah ee buug gaar ah ilaa sawir dhamaystiran oo qaab dhismeedka galka adag.

Hababka ugu wanaagsan marka la qorayo oo la ilaalinayo xeerarka YAR

Si looga hortago in kaydka xeerarkaagu noqdaan qas aan la maarayn karin, waxa lagu talinayaa in aad adeegsato hab-dhaqannada ugu wanaagsan ee taxanaha ah. Midda koowaad waa in lagu shaqeeyo habraacyo joogto ah iyo heshiisyada magac-bixintasi uu qof kasta oo falanqeeya u fahmo marka uu eego waxa xeer kastaa sameeyo.

Kooxo badan ayaa qaata qaab caadi ah oo ay ku jiraan madax leh xog badan, calaamado muujinaya nooca halista, jilaa ama madal, iyo sharaxaad cad oo ah waxa la ogaadayTani waxay ku caawinaysaa gudaha kaliya maahan, laakiin sidoo kale markaad la wadaagto xeerarka bulshada ama aad wax ku darsato kaydka dadweynaha.

Talo kale ayaa ah in had iyo jeer la xasuusto taas YAR waa hal lakab oo difaac oo kaleMa beddelo software-ka ka-hortagga ama EDR, laakiin waxay ku dhammaystirtaa xeeladaha Ilaali Windows PC gaagaSida habboon, YAR waa in ay ku habboonaato qaab-dhismeedka tixraaceed ee ballaadhan, sida qaab-dhismeedka NIST, kaas oo sidoo kale ka hadlaya aqoonsiga hantida, ilaalinta, ogaanshaha, jawaabta, iyo soo kabashada.

Marka laga eego dhinaca farsamada, waxaa habboon in waqti loo huro iska ilaali wanaagga beenta ahTani waxay ku lug leedahay ka fogaanshaha xargaha guud ee xad dhaafka ah, isku darka dhowr xaaladood, iyo isticmaalka hawlwadeenada sida dhamaan o mid ka mid ah Isticmaal madaxaaga oo ka faa'iidayso sifada qaabdhismeedka faylka. Hadba sida gaarka ah ee macquulka ah ee ku xeeran hab-dhaqanka malware-ka, ayaa ka sii wanaagsan.

Ugu dambeyntii, ilaali anshaxa versioning iyo dib u eegis xilliyeed Waa muhiim. Qoysaska Malware-ku way horumaraan, tilmaameyaashu way isbedelaan, iyo xeerarka maanta shaqeeyaa waxa dhici karta inay gaabmaan ama noqdaan kuwo duugoobay. Dib u eegista iyo sifaynta xeerkaaga loo dejiyay xilliyada qaar waa qayb ka mid ah ciyaarta bisadaha iyo jiirka ee amniga internetka.

Bulshada YAR iyo agabka la heli karo

Mid ka mid ah sababaha ugu waaweyn ee YAR uu u yimid ilaa hadda waa xoogga bulshadiisa. Cilmi-baarayaasha, shirkadaha amniga, iyo kooxaha jawaab-celinta ee adduunka oo dhan waxay si joogto ah u wadaagaan xeerar, tusaaleyaal, iyo dukumeentiyo.abuurista nidaam deegaan oo aad hodan u ah.

Qodobka ugu muhiimsan ee tixraaca waa Kaydka rasmiga ah ee YAR ee GitHubHalkaa waxaad ka heli doontaa noocyadii ugu dambeeyay ee aaladda, koodhka isha, iyo xiriirinta dukumeentiyada. Halkaa waxaad kala socon kartaa horumarka mashruuca, ka warbixi arrimaha, ama wax ku biirin kartaa horumarka haddii aad rabto.

Dukumeentiga rasmiga ah, ee laga heli karo aaladaha sida ReadTheDocs, ayaa bixiya hagaha syntax oo dhammaystiran, cutubyo la heli karo, tusaalayaal qaanuunka, iyo tixraacyada isticmaalkaWaa kheyraad lagama maarmaan u ah ka faa'iidaysiga hawlaha ugu horumarsan, sida kormeerka PE, ELF, xeerarka xusuusta, ama isku-dhafka qalabka kale.

Intaa waxa dheer, waxa jira kayd bulsho oo xeerarka YARA iyo saxeexyada halkaas oo falanqeeyayaasha ka socda adduunka oo dhan Waxay daabacaan ururin ama ururin diyaar u ah in la isticmaalo kuwaas oo la waafajin karo baahiyahaaga.Goobahan sida caadiga ah waxaa ka mid ah xeerar loogu talagalay qoysaska malware-ka gaarka ah, xirmooyinka ka faa'iidaysiga, qalabka sida xaasidnimada ah loo isticmaalo, shabkada webka, cryptominers, iyo wax ka badan.

Marka la barbar dhigo, soo saarayaal badan iyo kooxo cilmi-baaris ayaa bixiya Tababar gaar ah oo YAR, laga bilaabo heerarka aasaasiga ah ilaa koorsooyin aad u horumarsanWaxqabadyadan ayaa inta badan ka mid ah shaybaadhka casriga ah iyo laylisyada gacanta-ku-salaysan ee ku salaysan xaaladaha dhabta ah ee dunida. Qaar baa xitaa bilaash lagu siiyaa hay'adaha aan faa'iido doonka ahayn ama kuwa si gaar ah ugu nugul weerarrada la bartilmaameedsado.

Nidaamkan deegaanka oo dhan macneheedu waxa weeye, in yar oo hurid ah, waxaad ka bixi kartaa qorista xeerarkaaga aasaasiga ah ee ugu horreeya soo saar qolal casri ah oo awood u leh inay la socdaan ololayaasha adag oo ay ogaadaan khataraha aan horay loo aragIyo, marka la isku daro YAR iyo fayraska dhaqameed, kayd badbaado leh, iyo sirdoonka khatarta ah, waxaad ka dhigaysaa wax aad ugu adag jilayaasha xaasidnimada leh ee dhex wareegaya internetka.

Dhammaan kuwa kor ku xusan, way caddahay in YARA ay aad uga badan tahay utility-line-ka fudud: waa a gabal fure Istaraatiijiyad kasta oo ogaanshaha malware ee horumarsan, qalab dabacsan oo ku habboon habkaada u fakarka falanqeeye iyo a luqadda guud kaas oo isku xidha shaybaadhada, SOC-yada iyo bulshooyinka cilmi-baadhista ee adduunka oo dhan, taas oo u oggolaanaysa xeer kasta oo cusub inuu ku daro lakab kale oo ilaalin ah oo ka dhan ah ololayaasha sii kordhaya ee casriga ah.