மேம்பட்ட தீம்பொருள் கண்டறிதலுக்கு YARA ஐ எவ்வாறு பயன்படுத்துவது

¿மேம்பட்ட தீம்பொருள் கண்டறிதலுக்கு YARA-வை எவ்வாறு பயன்படுத்துவது? பாரம்பரிய வைரஸ் தடுப்பு நிரல்கள் அவற்றின் வரம்புகளை எட்டும்போதும், தாக்குபவர்கள் ஒவ்வொரு சாத்தியமான விரிசலையும் கடந்து செல்லும்போதும், சம்பவ மறுமொழி ஆய்வகங்களில் இன்றியமையாததாகிவிட்ட ஒரு கருவி செயல்பாட்டுக்கு வருகிறது: யாரா, தீம்பொருளை வேட்டையாடுவதற்கான "சுவிஸ் கத்தி"உரை மற்றும் பைனரி வடிவங்களைப் பயன்படுத்தி தீங்கிழைக்கும் மென்பொருளின் குடும்பங்களை விவரிக்க வடிவமைக்கப்பட்ட இது, எளிய ஹாஷ் பொருத்தத்திற்கு அப்பால் செல்ல அனுமதிக்கிறது.

வலது கைகளில், யாரா என்பது வெறும் இடத்தைக் கண்டுபிடிப்பதற்கு மட்டுமல்ல. அறியப்பட்ட தீம்பொருள் மாதிரிகள் மட்டுமல்ல, புதிய வகைகள், பூஜ்ஜிய நாள் சுரண்டல்கள் மற்றும் வணிக ரீதியான தாக்குதல் கருவிகளும் கூட.இந்தக் கட்டுரையில், மேம்பட்ட தீம்பொருள் கண்டறிதலுக்கு YARA-வை எவ்வாறு பயன்படுத்துவது, வலுவான விதிகளை எவ்வாறு எழுதுவது, அவற்றை எவ்வாறு சோதிப்பது, Veeam அல்லது உங்கள் சொந்த பகுப்பாய்வு பணிப்பாய்வு போன்ற தளங்களில் அவற்றை எவ்வாறு ஒருங்கிணைப்பது மற்றும் தொழில்முறை சமூகம் பின்பற்றும் சிறந்த நடைமுறைகள் என்ன என்பதை ஆழமாகவும் நடைமுறை ரீதியாகவும் ஆராய்வோம்.

யாரா என்றால் என்ன, அது ஏன் தீம்பொருளைக் கண்டறிவதில் மிகவும் சக்தி வாய்ந்தது?

YARA என்பது "Yet Another Recursive Acronym" என்பதைக் குறிக்கிறது மற்றும் அச்சுறுத்தல் பகுப்பாய்வில் ஒரு நடைமுறை தரநிலையாக மாறியுள்ளது, ஏனெனில் இது படிக்கக்கூடிய, தெளிவான மற்றும் மிகவும் நெகிழ்வான விதிகளைப் பயன்படுத்தி தீம்பொருள் குடும்பங்களை விவரிக்க அனுமதிக்கிறது.நிலையான வைரஸ் தடுப்பு கையொப்பங்களை மட்டுமே நம்புவதற்குப் பதிலாக, YARA நீங்களே வரையறுக்கும் வடிவங்களுடன் செயல்படுகிறது.

அடிப்படை யோசனை எளிமையானது: YARA விதி ஒரு கோப்பை (அல்லது நினைவகம் அல்லது தரவு ஸ்ட்ரீமை) ஆராய்ந்து, தொடர்ச்சியான நிபந்தனைகள் பூர்த்தி செய்யப்பட்டுள்ளதா என்பதைச் சரிபார்க்கிறது. உரை சரங்கள், பதினாறு தசம வரிசைகள், வழக்கமான வெளிப்பாடுகள் அல்லது கோப்பு பண்புகளை அடிப்படையாகக் கொண்ட நிபந்தனைகள்நிபந்தனை பூர்த்தி செய்யப்பட்டால், ஒரு "பொருத்தம்" உள்ளது, மேலும் நீங்கள் எச்சரிக்கை செய்யலாம், தடுக்கலாம் அல்லது இன்னும் ஆழமான பகுப்பாய்வைச் செய்யலாம்.

இந்த அணுகுமுறை பாதுகாப்பு குழுக்களை அனுமதிக்கிறது அனைத்து வகையான தீம்பொருளையும் அடையாளம் கண்டு வகைப்படுத்தவும்: கிளாசிக் வைரஸ்கள், புழுக்கள், ட்ரோஜான்கள், ரான்சம்வேர், வெப்ஷெல்கள், கிரிப்டோமினர்கள், தீங்கிழைக்கும் மேக்ரோக்கள் மற்றும் பல.இது குறிப்பிட்ட கோப்பு நீட்டிப்புகள் அல்லது வடிவங்களுக்கு மட்டுப்படுத்தப்படவில்லை, எனவே இது .pdf நீட்டிப்புடன் மாறுவேடமிட்ட இயங்கக்கூடிய கோப்பையோ அல்லது வெப்ஷெல் கொண்ட HTML கோப்பையோ கண்டறிகிறது.

மேலும், யாரா ஏற்கனவே சைபர் பாதுகாப்பு சுற்றுச்சூழல் அமைப்பின் பல முக்கிய சேவைகள் மற்றும் கருவிகளில் ஒருங்கிணைக்கப்பட்டுள்ளது: வைரஸ் டோட்டல், குக்கூ போன்ற சாண்ட்பாக்ஸ்கள், வீம் போன்ற காப்பு தளங்கள் அல்லது உயர்மட்ட உற்பத்தியாளர்களிடமிருந்து அச்சுறுத்தல் வேட்டை தீர்வுகள்எனவே, யாராவில் தேர்ச்சி பெறுவது மேம்பட்ட ஆய்வாளர்கள் மற்றும் ஆராய்ச்சியாளர்களுக்கு கிட்டத்தட்ட ஒரு தேவையாகிவிட்டது.

தீம்பொருள் கண்டறிதலில் YARA இன் மேம்பட்ட பயன்பாட்டு வழக்குகள்

YARA-வின் பலங்களில் ஒன்று, SOC முதல் மால்வேர் ஆய்வகம் வரை பல பாதுகாப்பு சூழ்நிலைகளுக்கு ஒரு கையுறை போல மாற்றியமைக்கிறது. ஒரே முறை வேட்டை மற்றும் தொடர்ச்சியான கண்காணிப்பு ஆகிய இரண்டிற்கும் ஒரே விதிகள் பொருந்தும்..

மிகவும் நேரடியான வழக்கு உருவாக்குவதை உள்ளடக்கியது குறிப்பிட்ட தீம்பொருள் அல்லது முழு குடும்பங்களுக்கும் குறிப்பிட்ட விதிகள்உங்கள் நிறுவனம் ஒரு அறியப்பட்ட குடும்பத்தை அடிப்படையாகக் கொண்ட பிரச்சாரத்தால் தாக்கப்பட்டால் (எடுத்துக்காட்டாக, தொலைதூர அணுகல் ட்ரோஜன் அல்லது APT அச்சுறுத்தல்), நீங்கள் சிறப்பியல்பு சரங்கள் மற்றும் வடிவங்களை சுயவிவரப்படுத்தலாம் மற்றும் புதிய தொடர்புடைய மாதிரிகளை விரைவாக அடையாளம் காணும் விதிகளை எழுப்பலாம்.

மற்றொரு உன்னதமான பயன்பாடு கவனம் செலுத்துகிறது கையொப்பங்களின் அடிப்படையில் YARAஇந்த விதிகள் ஹாஷ்கள், மிகவும் குறிப்பிட்ட உரை சரங்கள், குறியீடு துணுக்குகள், பதிவேட்டில் உள்ள விசைகள் அல்லது ஒரே தீம்பொருளின் பல வகைகளில் மீண்டும் மீண்டும் வரும் குறிப்பிட்ட பைட் வரிசைகளைக் கண்டறிய வடிவமைக்கப்பட்டுள்ளன. இருப்பினும், நீங்கள் அற்பமான சரங்களை மட்டுமே தேடினால், தவறான நேர்மறைகளை உருவாக்கும் அபாயம் உள்ளது என்பதை நினைவில் கொள்ளுங்கள்.

வடிகட்டுதலிலும் YARA பிரகாசிக்கிறது கோப்பு வகைகள் அல்லது கட்டமைப்பு பண்புகள்கோப்பு அளவு, குறிப்பிட்ட தலைப்புகள் (எ.கா., PE இயங்கக்கூடியவற்றுக்கு 0x5A4D) அல்லது சந்தேகத்திற்கிடமான செயல்பாட்டு இறக்குமதிகள் போன்ற பண்புகளுடன் சரங்களை இணைப்பதன் மூலம் PE இயங்கக்கூடியவை, அலுவலக ஆவணங்கள், PDFகள் அல்லது கிட்டத்தட்ட எந்த வடிவத்திற்கும் பொருந்தும் விதிகளை உருவாக்க முடியும்.

நவீன சூழல்களில், அதன் பயன்பாடு இதனுடன் இணைக்கப்பட்டுள்ளது அச்சுறுத்தல் நுண்ணறிவுபொது களஞ்சியங்கள், ஆராய்ச்சி அறிக்கைகள் மற்றும் IOC ஊட்டங்கள் YARA விதிகளாக மொழிபெயர்க்கப்படுகின்றன, அவை SIEM, EDR, காப்பு தளங்கள் அல்லது சாண்ட்பாக்ஸ்களில் ஒருங்கிணைக்கப்படுகின்றன. இது நிறுவனங்களுக்கு அனுமதிக்கிறது ஏற்கனவே பகுப்பாய்வு செய்யப்பட்ட பிரச்சாரங்களுடன் பண்புகளைப் பகிர்ந்து கொள்ளும் வளர்ந்து வரும் அச்சுறுத்தல்களை விரைவாகக் கண்டறியவும்..

YARA விதிகளின் தொடரியலைப் புரிந்துகொள்வது

YARAவின் தொடரியல் C-ஐப் போலவே உள்ளது, ஆனால் எளிமையான மற்றும் அதிக கவனம் செலுத்தும் வகையில் உள்ளது. ஒவ்வொரு விதியும் ஒரு பெயர், ஒரு விருப்ப மெட்டாடேட்டா பிரிவு, ஒரு சரப் பிரிவு மற்றும், அவசியம், ஒரு நிபந்தனை பிரிவு ஆகியவற்றைக் கொண்டுள்ளது.இங்கிருந்து தொடங்கி, நீங்கள் அதையெல்லாம் எவ்வாறு இணைக்கிறீர்கள் என்பதில்தான் சக்தி இருக்கிறது.

முதலாவது விதிப் பெயர்இது முக்கிய வார்த்தைக்குப் பிறகு சரியாகச் செல்ல வேண்டும். ஆட்சி (o ஆட்சி நீங்கள் ஸ்பானிஷ் மொழியில் ஆவணப்படுத்தினால், கோப்பில் உள்ள முக்கிய வார்த்தை ஆட்சிமேலும் அது ஒரு செல்லுபடியாகும் அடையாளங்காட்டியாக இருக்க வேண்டும்: இடைவெளிகள் இல்லை, எண் இல்லை, அடிக்கோடு இல்லை. தெளிவான மாநாட்டைப் பின்பற்றுவது நல்லது, எடுத்துக்காட்டாக தீம்பொருள்_குடும்ப_மாறுபாடு o APT_நடிகர்_கருவி, இது எதைக் கண்டறிய நோக்கமாக உள்ளது என்பதை ஒரே பார்வையில் அடையாளம் காண உங்களை அனுமதிக்கிறது.

அடுத்து பிரிவு வருகிறது சரங்களைநீங்கள் தேட விரும்பும் வடிவங்களை வரையறுக்கும் இடம். இங்கே நீங்கள் மூன்று முக்கிய வகைகளைப் பயன்படுத்தலாம்: உரை சரங்கள், பதினாறு தசம வரிசைகள் மற்றும் வழக்கமான வெளிப்பாடுகள்உரை சரங்கள் மனிதர்களால் படிக்கக்கூடிய குறியீடு துணுக்குகள், URLகள், உள் செய்திகள், பாதை பெயர்கள் அல்லது PDBகளுக்கு ஏற்றவை. ஹெக்ஸாடெசிமல்கள் மூல பைட் வடிவங்களைப் பிடிக்க உங்களை அனுமதிக்கின்றன, அவை குறியீடு தெளிவற்றதாக இருக்கும்போது மிகவும் பயனுள்ளதாக இருக்கும், ஆனால் சில நிலையான வரிசைகளைத் தக்கவைத்துக்கொள்கின்றன.

டொமைன்களை மாற்றுவது அல்லது குறியீட்டின் சிறிது மாற்றப்பட்ட பகுதிகள் போன்ற ஒரு சரத்தில் சிறிய மாறுபாடுகளை நீங்கள் மறைக்க வேண்டியிருக்கும் போது வழக்கமான வெளிப்பாடுகள் நெகிழ்வுத்தன்மையை வழங்குகின்றன. மேலும், சரங்கள் மற்றும் regex இரண்டும் எஸ்கேப்களை தன்னிச்சையான பைட்டுகளைக் குறிக்க அனுமதிக்கின்றன., இது மிகவும் துல்லியமான கலப்பின வடிவங்களுக்கான கதவைத் திறக்கிறது.

பிரிவில் நிலை இது மட்டுமே கட்டாயமானது மற்றும் ஒரு விதி ஒரு கோப்பை "பொருத்த" வேண்டும் என்று கருதப்படும்போது அதை வரையறுக்கிறது. அங்கு நீங்கள் பூலியன் மற்றும் எண்கணித செயல்பாடுகளைப் பயன்படுத்துகிறீர்கள் (மற்றும், அல்லது, இல்லை, +, -, *, /, ஏதேனும், அனைத்தும், உள்ளடக்கியது, முதலியன.) எளிமையான "இந்த சரம் தோன்றினால்" என்பதை விட நுட்பமான கண்டறிதல் தர்க்கத்தை வெளிப்படுத்த.

எடுத்துக்காட்டாக, கோப்பு ஒரு குறிப்பிட்ட அளவை விட சிறியதாக இருந்தால், அனைத்து முக்கியமான சரங்களும் தோன்றினால் அல்லது பல சரங்களில் குறைந்தபட்சம் ஒன்று இருந்தால் மட்டுமே விதி செல்லுபடியாகும் என்று நீங்கள் குறிப்பிடலாம். சர நீளம், பொருத்தங்களின் எண்ணிக்கை, கோப்பில் உள்ள குறிப்பிட்ட ஆஃப்செட்கள் அல்லது கோப்பின் அளவு போன்ற நிபந்தனைகளையும் நீங்கள் இணைக்கலாம்.இங்கே படைப்பாற்றல் பொதுவான விதிகளுக்கும் அறுவை சிகிச்சை கண்டறிதல்களுக்கும் இடையிலான வித்தியாசத்தை ஏற்படுத்துகிறது.

இறுதியாக, உங்களிடம் விருப்பப் பிரிவு உள்ளது. இலக்குகாலகட்டத்தை ஆவணப்படுத்துவதற்கு ஏற்றது. இதில் பொதுவாகச் சேர்க்கப்படுவது ஆசிரியர், உருவாக்கிய தேதி, விளக்கம், உள் பதிப்பு, அறிக்கைகள் அல்லது டிக்கெட்டுகளுக்கான குறிப்பு. மற்றும், பொதுவாக, களஞ்சியத்தை ஒழுங்கமைத்து மற்ற ஆய்வாளர்களுக்குப் புரியும் வகையில் வைத்திருக்க உதவும் எந்தவொரு தகவலும்.

மேம்பட்ட YARA விதிகளின் நடைமுறை எடுத்துக்காட்டுகள்

மேலே உள்ள அனைத்தையும் முன்னோக்கிப் பார்க்க, ஒரு எளிய விதி எவ்வாறு கட்டமைக்கப்பட்டுள்ளது மற்றும் செயல்படுத்தக்கூடிய கோப்புகள், சந்தேகத்திற்கிடமான இறக்குமதிகள் அல்லது மீண்டும் மீண்டும் வரும் அறிவுறுத்தல் வரிசைகள் செயல்பாட்டுக்கு வரும்போது அது எவ்வாறு மிகவும் சிக்கலானதாகிறது என்பதைப் பார்ப்பது உதவியாக இருக்கும். ஒரு பொம்மை ஆட்சியாளருடன் ஆரம்பித்து படிப்படியாக அளவை அதிகரிப்போம்..

ஒரு குறைந்தபட்ச விதியில் ஒரு சரம் மற்றும் அதை கட்டாயமாக்கும் ஒரு நிபந்தனை மட்டுமே இருக்க முடியும். எடுத்துக்காட்டாக, நீங்கள் ஒரு குறிப்பிட்ட உரை சரம் அல்லது ஒரு தீம்பொருள் துண்டின் பைட் வரிசை பிரதிநிதியைத் தேடலாம். அந்த நிபந்தனை, அந்தச் சரம் அல்லது வடிவம் தோன்றினால் விதி பூர்த்தி செய்யப்படுகிறது என்று மட்டுமே கூறும்., மேலும் வடிப்பான்கள் இல்லாமல்.

இருப்பினும், நிஜ உலக அமைப்புகளில் இது குறைவாகவே நிகழ்கிறது, ஏனெனில் எளிய சங்கிலிகள் பெரும்பாலும் பல தவறான நேர்மறைகளை உருவாக்குகின்றன.அதனால்தான் பல சரங்களை (உரை மற்றும் பதினாறு தசம) கூடுதல் கட்டுப்பாடுகளுடன் இணைப்பது பொதுவானது: கோப்பு ஒரு குறிப்பிட்ட அளவை விட அதிகமாக இருக்கக்கூடாது, அதில் குறிப்பிட்ட தலைப்புகள் இருக்க வேண்டும், அல்லது ஒவ்வொரு வரையறுக்கப்பட்ட குழுவிலிருந்தும் குறைந்தது ஒரு சரம் காணப்பட்டால் மட்டுமே அது செயல்படுத்தப்படும்.

PE செயல்படுத்தக்கூடிய பகுப்பாய்வில் ஒரு பொதுவான எடுத்துக்காட்டு தொகுதியை இறக்குமதி செய்வதை உள்ளடக்கியது. pe YARA இலிருந்து, இது பைனரியின் உள் பண்புகளை வினவ உங்களை அனுமதிக்கிறது: இறக்குமதி செய்யப்பட்ட செயல்பாடுகள், பிரிவுகள், நேர முத்திரைகள், முதலியன. ஒரு மேம்பட்ட விதி கோப்பை இறக்குமதி செய்ய வேண்டியிருக்கும். உருவாக்கு செயல்முறை இருந்து Kernel32.dll மற்றும் சில HTTP செயல்பாடு வினினெட்.டிஎல்எல், தீங்கிழைக்கும் நடத்தையைக் குறிக்கும் ஒரு குறிப்பிட்ட சரத்தைக் கொண்டிருப்பதோடு கூடுதலாக.

இந்த வகையான தர்க்கம் இருப்பிடத்தைக் கண்டறிய சரியானது தொலைதூர இணைப்பு அல்லது வெளியேற்றும் திறன்களைக் கொண்ட ட்ரோஜான்கள்கோப்புப் பெயர்கள் அல்லது பாதைகள் ஒரு பிரச்சாரத்திலிருந்து மற்றொன்றுக்கு மாறும்போது கூட. முக்கியமான விஷயம் என்னவென்றால், அடிப்படை நடத்தையில் கவனம் செலுத்துவது: செயல்முறை உருவாக்கம், HTTP கோரிக்கைகள், குறியாக்கம், நிலைத்தன்மை, முதலியன.

மற்றொரு மிகவும் பயனுள்ள நுட்பம் என்னவென்றால், மீண்டும் மீண்டும் வரும் வழிமுறைகளின் வரிசைகள் ஒரே குடும்பத்தைச் சேர்ந்த மாதிரிகளுக்கு இடையில். தாக்குபவர்கள் பைனரியை தொகுத்தாலும் அல்லது குழப்பினாலும் கூட, மாற்றுவதற்கு கடினமான குறியீட்டின் பகுதிகளை அவர்கள் பெரும்பாலும் மீண்டும் பயன்படுத்துகிறார்கள். நிலையான பகுப்பாய்விற்குப் பிறகு, நீங்கள் நிலையான வழிமுறைகளின் தொகுதிகளைக் கண்டால், நீங்கள் ஒரு விதியை உருவாக்கலாம். பதினாறு தசம சரங்களில் வைல்டு கார்டுகள் அது ஒரு குறிப்பிட்ட சகிப்புத்தன்மையைப் பராமரிக்கும் அதே வேளையில் அந்த வடிவத்தைப் பிடிக்கிறது.

இந்த "குறியீடு நடத்தை அடிப்படையிலான" விதிகள் மூலம் அது சாத்தியமாகும் PlugX/Korplug அல்லது பிற APT குடும்பங்களின் முழு தீம்பொருள் பிரச்சாரங்களையும் கண்காணிக்கவும்.நீங்கள் ஒரு குறிப்பிட்ட ஹாஷை மட்டும் கண்டறியவில்லை, ஆனால் தாக்குபவர்களின் மேம்பாட்டு பாணியைப் பின்பற்றுகிறீர்கள், அதாவது.

உண்மையான பிரச்சாரங்கள் மற்றும் பூஜ்ஜிய நாள் அச்சுறுத்தல்களில் YARA இன் பயன்பாடு

யாரா தனது மதிப்பை நிரூபித்துள்ளது, குறிப்பாக மேம்பட்ட அச்சுறுத்தல்கள் மற்றும் பூஜ்ஜிய-நாள் சுரண்டல்கள் துறையில், கிளாசிக் பாதுகாப்பு வழிமுறைகள் மிகவும் தாமதமாக வரும் இடங்களில். குறைந்தபட்ச கசிந்த புலனாய்வுத் தகவல்களிலிருந்து சில்வர்லைட்டில் ஒரு சுரண்டலைக் கண்டறிய YARA ஐப் பயன்படுத்துவது நன்கு அறியப்பட்ட எடுத்துக்காட்டு..

அந்த வழக்கில், தாக்குதல் கருவிகளை உருவாக்குவதற்காக அர்ப்பணிக்கப்பட்ட ஒரு நிறுவனத்திடமிருந்து திருடப்பட்ட மின்னஞ்சல்களிலிருந்து, ஒரு குறிப்பிட்ட சுரண்டலை நோக்கமாகக் கொண்ட ஒரு விதியை உருவாக்க போதுமான வடிவங்கள் பெறப்பட்டன. அந்த ஒற்றை விதியின் மூலம், ஆராய்ச்சியாளர்கள் சந்தேகத்திற்கிடமான கோப்புகளின் கடல் வழியாக மாதிரியைக் கண்டுபிடிக்க முடிந்தது.சுரண்டலைக் கண்டறிந்து, அதன் ஒட்டுப்போடலை கட்டாயப்படுத்துங்கள், இதனால் மிகவும் கடுமையான சேதத்தைத் தடுக்கலாம்.

இந்த வகையான கதைகள் YARA எவ்வாறு செயல்பட முடியும் என்பதை விளக்குகின்றன கோப்புகளின் கடலில் மீன்பிடி வலைஉங்கள் நிறுவன வலையமைப்பை அனைத்து வகையான "மீன்கள்" (கோப்புகள்) நிறைந்த ஒரு கடலாக கற்பனை செய்து பாருங்கள். உங்கள் விதிகள் ஒரு இழுவை வலையில் உள்ள பெட்டிகளைப் போன்றவை: ஒவ்வொரு பெட்டியும் குறிப்பிட்ட பண்புகளுக்கு ஏற்ற மீன்களை வைத்திருக்கும்.

நீங்கள் இழுவையை முடித்ததும், உங்களிடம் குறிப்பிட்ட குடும்பங்கள் அல்லது தாக்குபவர்களின் குழுக்களுடன் ஒற்றுமையின் அடிப்படையில் தொகுக்கப்பட்ட மாதிரிகள்: “X இனங்களைப் போன்றது”, “Y இனங்களைப் போன்றது”, முதலியன. இந்த மாதிரிகளில் சில உங்களுக்கு முற்றிலும் புதியதாக இருக்கலாம் (புதிய பைனரிகள், புதிய பிரச்சாரங்கள்), ஆனால் அவை அறியப்பட்ட வடிவத்துடன் பொருந்துகின்றன, இது உங்கள் வகைப்பாடு மற்றும் பதிலை விரைவுபடுத்துகிறது.

இந்த சூழலில் YARA-விலிருந்து அதிகப் பலன்களைப் பெற, பல நிறுவனங்கள் ஒன்றிணைகின்றன மேம்பட்ட பயிற்சி, நடைமுறை ஆய்வகங்கள் மற்றும் கட்டுப்படுத்தப்பட்ட பரிசோதனை சூழல்கள்நல்ல விதிகளை எழுதும் கலைக்கு பிரத்தியேகமாக அர்ப்பணிக்கப்பட்ட மிகவும் சிறப்பு வாய்ந்த படிப்புகள் உள்ளன, பெரும்பாலும் சைபர் உளவுத்துறையின் உண்மையான நிகழ்வுகளை அடிப்படையாகக் கொண்டவை, இதில் மாணவர்கள் உண்மையான மாதிரிகளுடன் பயிற்சி செய்கிறார்கள் மற்றும் அவர்கள் தேடுவது சரியாகத் தெரியாவிட்டாலும் "ஏதாவது" தேட கற்றுக்கொள்கிறார்கள்.

YARA-வை காப்புப்பிரதி மற்றும் மீட்பு தளங்களில் ஒருங்கிணைக்கவும்.

YARA சரியாகப் பொருந்தக்கூடிய ஒரு பகுதி, மேலும் இது பெரும்பாலும் ஓரளவு கவனிக்கப்படாமல் போகும், காப்புப்பிரதிகளின் பாதுகாப்பு. காப்புப்பிரதிகள் தீம்பொருள் அல்லது ரான்சம்வேரால் பாதிக்கப்பட்டிருந்தால், மீட்டெடுப்பு முழு பிரச்சாரத்தையும் மறுதொடக்கம் செய்யலாம்.அதனால்தான் சில உற்பத்தியாளர்கள் யாரா என்ஜின்களை நேரடியாக தங்கள் தீர்வுகளில் இணைத்துள்ளனர்.

அடுத்த தலைமுறை காப்புப்பிரதி தளங்களைத் தொடங்கலாம். மீட்டெடுப்பு புள்ளிகள் குறித்த YARA விதி அடிப்படையிலான பகுப்பாய்வு அமர்வுகள்இலக்கு இரண்டு மடங்கு: ஒரு சம்பவத்திற்கு முந்தைய கடைசி "சுத்தமான" புள்ளியைக் கண்டறிவது மற்றும் பிற சரிபார்ப்புகளால் தூண்டப்படாத கோப்புகளில் மறைந்திருக்கும் தீங்கிழைக்கும் உள்ளடக்கத்தைக் கண்டறிவது.

இந்த சூழல்களில் வழக்கமான செயல்முறை "" என்ற விருப்பத்தைத் தேர்ந்தெடுப்பதை உள்ளடக்கியது.YARA ரூலரைப் பயன்படுத்தி மீட்டெடுப்பு புள்ளிகளை ஸ்கேன் செய்யவும்."பகுப்பாய்வு பணியின் உள்ளமைவின் போது. அடுத்து, விதிகள் கோப்பிற்கான பாதை குறிப்பிடப்படுகிறது (பொதுவாக .yara அல்லது .yar நீட்டிப்புடன்), இது பொதுவாக காப்புப்பிரதி தீர்வுக்கு குறிப்பிட்ட உள்ளமைவு கோப்புறையில் சேமிக்கப்படுகிறது."

செயல்படுத்தலின் போது, ​​இயந்திரம் நகலில் உள்ள பொருள்கள் வழியாக மீண்டும் மீண்டும் இயங்குகிறது, விதிகளைப் பயன்படுத்துகிறது, மேலும் இது ஒரு குறிப்பிட்ட YARA பகுப்பாய்வு பதிவில் அனைத்து பொருத்தங்களையும் பதிவு செய்கிறது.நிர்வாகி இந்தப் பதிவுகளை கன்சோலில் இருந்து பார்க்கலாம், புள்ளிவிவரங்களை மதிப்பாய்வு செய்யலாம், எந்தக் கோப்புகள் விழிப்பூட்டலைத் தூண்டின என்பதைப் பார்க்கலாம், மேலும் ஒவ்வொரு பொருத்தமும் எந்த இயந்திரங்கள் மற்றும் குறிப்பிட்ட தேதியுடன் ஒத்துப்போகிறது என்பதைக் கூடக் கண்டறியலாம்.

இந்த ஒருங்கிணைப்பு, ஒழுங்கின்மை கண்டறிதல், காப்பு அளவு கண்காணிப்பு, குறிப்பிட்ட IOCகளைத் தேடுதல் அல்லது சந்தேகத்திற்கிடமான கருவிகளின் பகுப்பாய்வுஆனால் ஒரு குறிப்பிட்ட ransomware குடும்பம் அல்லது பிரச்சாரத்திற்கு ஏற்ற விதிகளைப் பொறுத்தவரை, அந்தத் தேடலைச் செம்மைப்படுத்த YARA சிறந்த கருவியாகும்.

உங்கள் நெட்வொர்க்கை உடைக்காமல் YARA விதிகளை எவ்வாறு சோதித்து சரிபார்ப்பது

உங்கள் சொந்த விதிகளை எழுதத் தொடங்கியதும், அடுத்த முக்கியமான படி அவற்றை முழுமையாகச் சோதிப்பதாகும். அதிகப்படியான ஆக்ரோஷமான விதி தவறான நேர்மறைகளின் வெள்ளத்தை உருவாக்கக்கூடும், அதே நேரத்தில் அதிகப்படியான தளர்வானது உண்மையான அச்சுறுத்தல்களை நழுவ விடக்கூடும்.அதனால்தான் சோதனை கட்டம் எழுதும் கட்டத்தைப் போலவே முக்கியமானது.

நல்ல செய்தி என்னவென்றால், இதைச் செய்ய, வேலை செய்யும் தீம்பொருள் நிறைந்த ஆய்வகத்தை அமைத்து, பாதி நெட்வொர்க்கைப் பாதிக்க வேண்டிய அவசியமில்லை. இந்தத் தகவலை வழங்கும் களஞ்சியங்களும் தரவுத்தொகுப்புகளும் ஏற்கனவே உள்ளன. ஆராய்ச்சி நோக்கங்களுக்காக அறியப்பட்ட மற்றும் கட்டுப்படுத்தப்பட்ட தீம்பொருள் மாதிரிகள்நீங்கள் அந்த மாதிரிகளை ஒரு தனிமைப்படுத்தப்பட்ட சூழலில் பதிவிறக்கம் செய்து, உங்கள் விதிகளுக்கான சோதனைப் படுக்கையாகப் பயன்படுத்தலாம்.

வழக்கமான அணுகுமுறை என்னவென்றால், சந்தேகத்திற்கிடமான கோப்புகளைக் கொண்ட ஒரு கோப்பகத்திற்கு எதிராக, கட்டளை வரியிலிருந்து உள்ளூரில் YARA ஐ இயக்குவதன் மூலம் தொடங்குவதாகும். உங்கள் விதிகள் அவை இருக்க வேண்டிய இடத்தில் பொருந்தி, சுத்தமான கோப்புகளை அரிதாகவே உடைத்தால், நீங்கள் சரியான பாதையில் செல்கிறீர்கள்.அவை அதிகமாகத் தூண்டினால், சரங்களை மதிப்பாய்வு செய்ய, நிபந்தனைகளைச் செம்மைப்படுத்த அல்லது கூடுதல் கட்டுப்பாடுகளை (அளவு, இறக்குமதிகள், ஆஃப்செட்கள் போன்றவை) அறிமுகப்படுத்த வேண்டிய நேரம் இது.

மற்றொரு முக்கிய விஷயம் என்னவென்றால், உங்கள் விதிகள் செயல்திறனை சமரசம் செய்யாமல் பார்த்துக் கொள்வது. பெரிய கோப்பகங்கள், முழு காப்புப்பிரதிகள் அல்லது பெரிய மாதிரி சேகரிப்புகளை ஸ்கேன் செய்யும் போது, மோசமாக மேம்படுத்தப்பட்ட விதிகள் பகுப்பாய்வை மெதுவாக்கலாம் அல்லது விரும்பியதை விட அதிக வளங்களை எடுத்துக்கொள்ளலாம்.எனவே, நேரங்களை அளவிடுவது, சிக்கலான வெளிப்பாடுகளை எளிமைப்படுத்துவது மற்றும் அதிகப்படியான கனமான ரீஜெக்ஸைத் தவிர்ப்பது நல்லது.

அந்த ஆய்வக சோதனை கட்டத்தைக் கடந்த பிறகு, நீங்கள் உற்பத்தி சூழலுக்கு விதிகளை ஊக்குவிக்கவும்.அது உங்கள் SIEM ஆக இருந்தாலும் சரி, உங்கள் காப்புப்பிரதி அமைப்புகளாக இருந்தாலும் சரி, மின்னஞ்சல் சேவையகங்களாக இருந்தாலும் சரி, அல்லது நீங்கள் அவற்றை ஒருங்கிணைக்க விரும்பும் இடமாக இருந்தாலும் சரி. மேலும் தொடர்ச்சியான மதிப்பாய்வு சுழற்சியைப் பராமரிக்க மறக்காதீர்கள்: பிரச்சாரங்கள் உருவாகும்போது, ​​உங்கள் விதிகளுக்கு அவ்வப்போது மாற்றங்கள் தேவைப்படும்.

YARA உடனான கருவிகள், நிரல்கள் மற்றும் பணிப்பாய்வு

அதிகாரப்பூர்வ பைனரிக்கு அப்பால், பல வல்லுநர்கள் யாராவைச் சுற்றி அதன் அன்றாட பயன்பாட்டை எளிதாக்க சிறிய நிரல்களையும் ஸ்கிரிப்ட்களையும் உருவாக்கியுள்ளனர். ஒரு பொதுவான அணுகுமுறை ஒரு விண்ணப்பத்தை உருவாக்குவதை உள்ளடக்கியது உங்கள் சொந்த பாதுகாப்பு கருவியை ஒன்று சேர்க்கவும். இது ஒரு கோப்புறையில் உள்ள அனைத்து விதிகளையும் தானாகவே படித்து, அவற்றை ஒரு பகுப்பாய்வு கோப்பகத்தில் பயன்படுத்துகிறது..

இந்த வகையான வீட்டில் தயாரிக்கப்பட்ட கருவிகள் பொதுவாக ஒரு எளிய கோப்பக அமைப்புடன் செயல்படுகின்றன: ஒரு கோப்புறைக்கு இணையத்திலிருந்து பதிவிறக்கம் செய்யப்பட்ட விதிகள். (எடுத்துக்காட்டாக, "rulesyar") மற்றும் மற்றொரு கோப்புறை சந்தேகத்திற்கிடமான கோப்புகளை பகுப்பாய்வு செய்ய வேண்டும். (உதாரணமாக, "மால்வேர்"). நிரல் தொடங்கும் போது, ​​இரண்டு கோப்புறைகளும் உள்ளதா எனச் சரிபார்த்து, விதிகளை திரையில் பட்டியலிடுகிறது, மேலும் செயல்படுத்தலுக்குத் தயாராகிறது.

நீங்கள் "" போன்ற ஒரு பொத்தானை அழுத்தும்போதுசோதனையைத் தொடங்கவும்பின்னர் பயன்பாடு YARA இயங்கக்கூடியதை விரும்பிய அளவுருக்களுடன் தொடங்குகிறது: கோப்புறையில் உள்ள அனைத்து கோப்புகளையும் ஸ்கேன் செய்தல், துணை அடைவுகளின் சுழல்நிலை பகுப்பாய்வு, புள்ளிவிவரங்களை வெளியிடுதல், மெட்டாடேட்டாவை அச்சிடுதல் போன்றவை. எந்தப் பொருத்தங்களும் முடிவுகள் சாளரத்தில் காட்டப்படும், எந்தக் கோப்பு எந்த விதியுடன் பொருந்துகிறது என்பதைக் குறிக்கிறது.

இந்த பணிப்பாய்வு, எடுத்துக்காட்டாக, ஏற்றுமதி செய்யப்பட்ட மின்னஞ்சல்களின் தொகுப்பில் உள்ள சிக்கல்களைக் கண்டறிய அனுமதிக்கிறது. தீங்கிழைக்கும் உட்பொதிக்கப்பட்ட படங்கள், ஆபத்தான இணைப்புகள் அல்லது தீங்கற்ற கோப்புகளில் மறைக்கப்பட்ட வலை ஷெல்கள்பெருநிறுவன சூழல்களில் பல தடயவியல் விசாரணைகள் துல்லியமாக இந்த வகையான பொறிமுறையை நம்பியுள்ளன.

YARA-வை செயல்படுத்தும்போது மிகவும் பயனுள்ள அளவுருக்களைப் பொறுத்தவரை, பின்வருபவை போன்ற விருப்பங்கள் தனித்து நிற்கின்றன: -r என்பது மீண்டும் மீண்டும் தேட, -S என்பது புள்ளிவிவரங்களைக் காட்ட, -m என்பது மெட்டாடேட்டாவைப் பிரித்தெடுக்க, மற்றும் -w என்பது எச்சரிக்கைகளைப் புறக்கணிக்க.இந்தக் கொடிகளை இணைப்பதன் மூலம், ஒரு குறிப்பிட்ட கோப்பகத்தில் விரைவான பகுப்பாய்விலிருந்து சிக்கலான கோப்புறை கட்டமைப்பின் முழுமையான ஸ்கேன் வரை, உங்கள் வழக்குக்கு ஏற்ப நடத்தையை நீங்கள் சரிசெய்யலாம்.

YARA விதிகளை எழுதும் போதும் பராமரிக்கும் போதும் சிறந்த நடைமுறைகள்

உங்கள் விதிகளின் களஞ்சியம் நிர்வகிக்க முடியாத குழப்பமாக மாறுவதைத் தடுக்க, சிறந்த நடைமுறைகளின் வரிசையைப் பயன்படுத்துவது நல்லது. முதலாவது, நிலையான வார்ப்புருக்கள் மற்றும் பெயரிடும் மரபுகளுடன் பணிபுரிவது.ஒவ்வொரு விதியும் என்ன செய்கிறது என்பதை எந்த ஆய்வாளரும் ஒரே பார்வையில் புரிந்து கொள்ள முடியும்.

பல அணிகள் ஒரு நிலையான வடிவமைப்பை ஏற்றுக்கொள்கின்றன, அதில் பின்வருவன அடங்கும்: மெட்டாடேட்டாவுடன் கூடிய தலைப்பு, அச்சுறுத்தல் வகை, நடிகர் அல்லது தளத்தைக் குறிக்கும் குறிச்சொற்கள் மற்றும் கண்டறியப்படுவது பற்றிய தெளிவான விளக்கம்.இது உள்நாட்டில் மட்டுமல்ல, சமூகத்துடன் விதிகளைப் பகிர்ந்து கொள்ளும்போது அல்லது பொது களஞ்சியங்களுக்கு பங்களிக்கும்போதும் உதவுகிறது.

மற்றொரு பரிந்துரை என்னவென்றால், எப்போதும் அதை நினைவில் கொள்ளுங்கள் யாரா என்பது பாதுகாப்பின் இன்னும் ஒரு அடுக்கு மட்டுமே.இது வைரஸ் தடுப்பு மென்பொருள் அல்லது EDR ஐ மாற்றாது, மாறாக அவற்றை உத்திகளில் பூர்த்தி செய்கிறது உங்கள் விண்டோஸ் கணினியைப் பாதுகாக்கவும்வெறுமனே, YARA ஆனது NIST கட்டமைப்பு போன்ற பரந்த குறிப்பு கட்டமைப்புகளுக்குள் பொருந்த வேண்டும், இது சொத்து அடையாளம் காணல், பாதுகாப்பு, கண்டறிதல், பதில் மற்றும் மீட்பு ஆகியவற்றையும் குறிக்கிறது.

தொழில்நுட்பக் கண்ணோட்டத்தில், நேரத்தை அர்ப்பணிப்பது மதிப்புக்குரியது தவறான நேர்மறைகளைத் தவிர்க்கவும்இது அதிகப்படியான பொதுவான சரங்களைத் தவிர்ப்பது, பல நிபந்தனைகளை இணைப்பது மற்றும் அனைத்தும் o ஏதேனும் உங்கள் தலையைப் பயன்படுத்தி கோப்பின் கட்டமைப்பு பண்புகளைப் பயன்படுத்திக் கொள்ளுங்கள். தீம்பொருளின் நடத்தையைச் சுற்றியுள்ள தர்க்கம் எவ்வளவு குறிப்பிட்டதாக இருக்கிறதோ, அவ்வளவு சிறந்தது.

இறுதியாக, ஒரு ஒழுக்கத்தைப் பேணுங்கள் பதிப்பு மற்றும் அவ்வப்போது மதிப்பாய்வு செய்தல் இது மிகவும் முக்கியமானது. மால்வேர் குடும்பங்கள் உருவாகின்றன, குறிகாட்டிகள் மாறுகின்றன, இன்று செயல்படும் விதிகள் குறையலாம் அல்லது வழக்கற்றுப் போகலாம். உங்கள் விதி தொகுப்பை அவ்வப்போது மதிப்பாய்வு செய்து செம்மைப்படுத்துவது சைபர் பாதுகாப்பின் பூனை-எலி விளையாட்டின் ஒரு பகுதியாகும்.

YARA சமூகம் மற்றும் கிடைக்கக்கூடிய வளங்கள்

YARA இவ்வளவு தூரம் வந்ததற்கான முக்கிய காரணங்களில் ஒன்று அதன் சமூகத்தின் வலிமை. உலகெங்கிலும் உள்ள ஆராய்ச்சியாளர்கள், பாதுகாப்பு நிறுவனங்கள் மற்றும் மறுமொழி குழுக்கள் தொடர்ந்து விதிகள், எடுத்துக்காட்டுகள் மற்றும் ஆவணங்களைப் பகிர்ந்து கொள்கின்றன.மிகவும் வளமான சுற்றுச்சூழல் அமைப்பை உருவாக்குகிறது.

முக்கிய குறிப்புப் புள்ளி என்னவென்றால் GitHub இல் YARAவின் அதிகாரப்பூர்வ களஞ்சியம்அங்கு நீங்கள் கருவியின் சமீபத்திய பதிப்புகள், மூலக் குறியீடு மற்றும் ஆவணங்களுக்கான இணைப்புகளைக் காணலாம். அங்கிருந்து நீங்கள் திட்டத்தின் முன்னேற்றத்தைப் பின்பற்றலாம், சிக்கல்களைப் புகாரளிக்கலாம் அல்லது நீங்கள் விரும்பினால் மேம்பாடுகளுக்கு பங்களிக்கலாம்.

ReadTheDocs போன்ற தளங்களில் கிடைக்கும் அதிகாரப்பூர்வ ஆவணங்கள், முழுமையான தொடரியல் வழிகாட்டி, கிடைக்கக்கூடிய தொகுதிகள், விதி உதாரணங்கள் மற்றும் பயன்பாட்டு குறிப்புகள்PE ஆய்வு, ELF, நினைவக விதிகள் அல்லது பிற கருவிகளுடன் ஒருங்கிணைப்புகள் போன்ற மிகவும் மேம்பட்ட செயல்பாடுகளைப் பயன்படுத்திக் கொள்வதற்கு இது ஒரு அத்தியாவசிய வளமாகும்.

கூடுதலாக, YARA விதிகள் மற்றும் கையொப்பங்களின் சமூக களஞ்சியங்கள் உள்ளன, அங்கு உலகம் முழுவதிலுமிருந்து ஆய்வாளர்கள் வருகிறார்கள் அவர்கள் பயன்படுத்தத் தயாராக உள்ள தொகுப்புகளையோ அல்லது உங்கள் தேவைகளுக்கு ஏற்ப மாற்றியமைக்கக்கூடிய தொகுப்புகளையோ வெளியிடுகிறார்கள்.இந்த களஞ்சியங்களில் பொதுவாக குறிப்பிட்ட தீம்பொருள் குடும்பங்களுக்கான விதிகள், சுரண்டல் கருவிகள், தீங்கிழைக்கும் வகையில் பயன்படுத்தப்படும் பென்டெஸ்டிங் கருவிகள், வெப்ஷெல்கள், கிரிப்டோமினர்கள் மற்றும் பல அடங்கும்.

இணையாக, பல உற்பத்தியாளர்கள் மற்றும் ஆராய்ச்சி குழுக்கள் வழங்குகின்றன யாராவில் அடிப்படை நிலைகள் முதல் மிகவும் மேம்பட்ட படிப்புகள் வரை குறிப்பிட்ட பயிற்சிஇந்த முயற்சிகளில் பெரும்பாலும் மெய்நிகர் ஆய்வகங்கள் மற்றும் நிஜ உலக சூழ்நிலைகளை அடிப்படையாகக் கொண்ட நடைமுறை பயிற்சிகள் அடங்கும். சில இலாப நோக்கற்ற நிறுவனங்கள் அல்லது இலக்கு தாக்குதல்களுக்கு குறிப்பாக பாதிக்கப்படக்கூடிய நிறுவனங்களுக்கு இலவசமாக வழங்கப்படுகின்றன.

இந்த முழு சுற்றுச்சூழல் அமைப்பும், சிறிது அர்ப்பணிப்புடன், உங்கள் முதல் அடிப்படை விதிகளை எழுதுவதிலிருந்து சிக்கலான பிரச்சாரங்களைக் கண்காணிக்கவும், முன்னோடியில்லாத அச்சுறுத்தல்களைக் கண்டறியவும் கூடிய அதிநவீன தொகுப்புகளை உருவாக்குங்கள்.மேலும், யாராவை பாரம்பரிய வைரஸ் தடுப்பு, பாதுகாப்பான காப்புப்பிரதி மற்றும் அச்சுறுத்தல் நுண்ணறிவுடன் இணைப்பதன் மூலம், இணையத்தில் சுற்றித் திரியும் தீங்கிழைக்கும் நடிகர்களுக்கு நீங்கள் விஷயங்களை மிகவும் கடினமாக்குகிறீர்கள்.

மேலே உள்ள அனைத்தையும் கொண்டு, YARA என்பது ஒரு எளிய கட்டளை-வரி பயன்பாட்டை விட அதிகம் என்பது தெளிவாகிறது: இது ஒரு முக்கிய துண்டு எந்தவொரு மேம்பட்ட தீம்பொருள் கண்டறிதல் உத்தியிலும், ஒரு ஆய்வாளராக உங்கள் சிந்தனை முறைக்கு ஏற்றவாறு மாற்றியமைக்கும் ஒரு நெகிழ்வான கருவி மற்றும் ஒரு பொது மொழி இது உலகெங்கிலும் உள்ள ஆய்வகங்கள், SOCகள் மற்றும் ஆராய்ச்சி சமூகங்களை இணைக்கிறது, ஒவ்வொரு புதிய விதியும் பெருகிய முறையில் அதிநவீன பிரச்சாரங்களுக்கு எதிராக மற்றொரு அடுக்கு பாதுகாப்பைச் சேர்க்க அனுமதிக்கிறது.