అధునాతన మాల్వేర్ గుర్తింపు కోసం YARAను ఎలా ఉపయోగించాలి

¿అధునాతన మాల్వేర్ గుర్తింపు కోసం YARAను ఎలా ఉపయోగించాలి? సాంప్రదాయ యాంటీవైరస్ ప్రోగ్రామ్‌లు వాటి పరిమితులను చేరుకున్నప్పుడు మరియు దాడి చేసేవారు సాధ్యమయ్యే ప్రతి పగులు నుండి జారిపోయినప్పుడు, సంఘటన ప్రతిస్పందన ప్రయోగశాలలలో అనివార్యమైన సాధనం అమలులోకి వస్తుంది: యారా, మాల్వేర్‌ను వేటాడేందుకు "స్విస్ కత్తి"పాఠ్య మరియు బైనరీ నమూనాలను ఉపయోగించి హానికరమైన సాఫ్ట్‌వేర్ కుటుంబాలను వివరించడానికి రూపొందించబడింది, ఇది సాధారణ హాష్ మ్యాచింగ్‌కు మించి వెళ్లడానికి అనుమతిస్తుంది.

కుడి చేతుల్లో, YARA కేవలం గుర్తించడం కోసం మాత్రమే కాదు తెలిసిన మాల్వేర్ నమూనాలు మాత్రమే కాకుండా, కొత్త వైవిధ్యాలు, జీరో-డే దోపిడీలు మరియు వాణిజ్యపరమైన ప్రమాదకర సాధనాలు కూడాఈ వ్యాసంలో, అధునాతన మాల్వేర్ గుర్తింపు కోసం YARAను ఎలా ఉపయోగించాలి, బలమైన నియమాలను ఎలా వ్రాయాలి, వాటిని ఎలా పరీక్షించాలి, Veeam లేదా మీ స్వంత విశ్లేషణ వర్క్‌ఫ్లో వంటి ప్లాట్‌ఫారమ్‌లలో వాటిని ఎలా ఇంటిగ్రేట్ చేయాలి మరియు ప్రొఫెషనల్ కమ్యూనిటీ అనుసరించే ఉత్తమ పద్ధతులను లోతుగా మరియు ఆచరణాత్మకంగా అన్వేషిస్తాము.

YARA అంటే ఏమిటి మరియు అది మాల్వేర్‌ను గుర్తించడంలో ఎందుకు అంత శక్తివంతమైనది?

YARA అంటే “Yet Another Recursive Acronym” మరియు ముప్పు విశ్లేషణలో వాస్తవ ప్రమాణంగా మారింది ఎందుకంటే ఇది చదవగలిగే, స్పష్టమైన మరియు అత్యంత సరళమైన నియమాలను ఉపయోగించి మాల్వేర్ కుటుంబాలను వివరించడానికి అనుమతిస్తుంది.స్టాటిక్ యాంటీవైరస్ సంతకాలపై మాత్రమే ఆధారపడటానికి బదులుగా, YARA మీరు మీరే నిర్వచించే నమూనాలతో పనిచేస్తుంది.

ప్రాథమిక ఆలోచన చాలా సులభం: YARA నియమం ఒక ఫైల్ (లేదా మెమరీ లేదా డేటా స్ట్రీమ్) ను పరిశీలిస్తుంది మరియు షరతుల శ్రేణి నెరవేరిందో లేదో తనిఖీ చేస్తుంది. టెక్స్ట్ స్ట్రింగ్‌లు, హెక్సాడెసిమల్ సీక్వెన్స్‌లు, రెగ్యులర్ ఎక్స్‌ప్రెషన్‌లు లేదా ఫైల్ లక్షణాల ఆధారంగా షరతులుషరతు నెరవేరితే, ఒక "సరిపోలిక" ఉంటుంది మరియు మీరు హెచ్చరించవచ్చు, నిరోధించవచ్చు లేదా మరింత లోతైన విశ్లేషణ చేయవచ్చు.

ఈ విధానం భద్రతా బృందాలను అనుమతిస్తుంది అన్ని రకాల మాల్వేర్‌లను గుర్తించి వర్గీకరించండి: క్లాసిక్ వైరస్‌లు, వార్మ్‌లు, ట్రోజన్‌లు, రాన్సమ్‌వేర్, వెబ్‌షెల్స్, క్రిప్టోమైనర్లు, హానికరమైన మాక్రోలు మరియు మరిన్ని.ఇది నిర్దిష్ట ఫైల్ ఎక్స్‌టెన్షన్‌లు లేదా ఫార్మాట్‌లకు మాత్రమే పరిమితం కాదు, కాబట్టి ఇది .pdf ఎక్స్‌టెన్షన్‌తో మారువేషంలో ఉన్న ఎక్జిక్యూటబుల్‌ను లేదా వెబ్‌షెల్‌ను కలిగి ఉన్న HTML ఫైల్‌ను కూడా గుర్తిస్తుంది.

ఇంకా, YARA ఇప్పటికే సైబర్ సెక్యూరిటీ ఎకోసిస్టమ్ యొక్క అనేక కీలక సేవలు మరియు సాధనాలలో విలీనం చేయబడింది: వైరస్ టోటల్, కుకూ వంటి శాండ్‌బాక్స్‌లు, వీయం వంటి బ్యాకప్ ప్లాట్‌ఫారమ్‌లు లేదా అగ్రశ్రేణి తయారీదారుల నుండి బెదిరింపు వేట పరిష్కారాలుఅందువల్ల, YARAలో ప్రావీణ్యం సంపాదించడం అనేది అధునాతన విశ్లేషకులు మరియు పరిశోధకులకు దాదాపుగా తప్పనిసరి అయింది.

మాల్వేర్ గుర్తింపులో YARA యొక్క అధునాతన వినియోగ సందర్భాలు

YARA యొక్క బలాల్లో ఒకటి, ఇది SOC నుండి మాల్వేర్ ల్యాబ్ వరకు బహుళ భద్రతా దృశ్యాలకు ఒక చేతి తొడుగులాగా అనుగుణంగా ఉంటుంది. ఒకే ఒక్క వేట మరియు నిరంతర పర్యవేక్షణ రెండింటికీ ఒకే నియమాలు వర్తిస్తాయి..

అత్యంత ప్రత్యక్ష సందర్భంలో సృష్టించడం ఉంటుంది నిర్దిష్ట మాల్వేర్ లేదా మొత్తం కుటుంబాలకు నిర్దిష్ట నియమాలుమీ సంస్థ తెలిసిన కుటుంబం (ఉదాహరణకు, రిమోట్ యాక్సెస్ ట్రోజన్ లేదా APT ముప్పు) ఆధారంగా ప్రచారం ద్వారా దాడి చేయబడుతుంటే, మీరు లక్షణ స్ట్రింగ్‌లు మరియు నమూనాలను ప్రొఫైల్ చేయవచ్చు మరియు కొత్త సంబంధిత నమూనాలను త్వరగా గుర్తించే నియమాలను రూపొందించవచ్చు.

మరొక క్లాసిక్ ఉపయోగం దృష్టి సంతకాల ఆధారంగా YARAఈ నియమాలు హ్యాష్‌లు, చాలా నిర్దిష్టమైన టెక్స్ట్ స్ట్రింగ్‌లు, కోడ్ స్నిప్పెట్‌లు, రిజిస్ట్రీ కీలు లేదా ఒకే మాల్వేర్ యొక్క బహుళ వేరియంట్‌లలో పునరావృతమయ్యే నిర్దిష్ట బైట్ సీక్వెన్స్‌లను గుర్తించడానికి రూపొందించబడ్డాయి. అయితే, మీరు ట్రివియల్ స్ట్రింగ్‌ల కోసం మాత్రమే శోధిస్తే, మీరు తప్పుడు పాజిటివ్‌లను సృష్టించే ప్రమాదం ఉందని గుర్తుంచుకోండి.

వడపోత విషయానికి వస్తే YARA కూడా మెరుస్తుంది ఫైల్ రకాలు లేదా నిర్మాణ లక్షణాలుఫైల్ పరిమాణం, నిర్దిష్ట హెడర్‌లు (ఉదాహరణకు, PE ఎక్జిక్యూటబుల్‌ల కోసం 0x5A4D) లేదా అనుమానాస్పద ఫంక్షన్ దిగుమతులు వంటి లక్షణాలతో స్ట్రింగ్‌లను కలపడం ద్వారా PE ఎక్జిక్యూటబుల్‌లు, ఆఫీస్ డాక్యుమెంట్‌లు, PDFలు లేదా వాస్తవంగా ఏదైనా ఫార్మాట్‌కు వర్తించే నియమాలను సృష్టించడం సాధ్యమవుతుంది.

ఆధునిక వాతావరణాలలో, దీని ఉపయోగం ముప్పు నిఘాపబ్లిక్ రిపోజిటరీలు, పరిశోధన నివేదికలు మరియు IOC ఫీడ్‌లు YARA నియమాలలోకి అనువదించబడతాయి, ఇవి SIEM, EDR, బ్యాకప్ ప్లాట్‌ఫారమ్‌లు లేదా శాండ్‌బాక్స్‌లలో విలీనం చేయబడతాయి. ఇది సంస్థలకు అనుమతిస్తుంది ఇప్పటికే విశ్లేషించబడిన ప్రచారాలతో లక్షణాలను పంచుకునే ఉద్భవిస్తున్న ముప్పులను త్వరగా గుర్తించడం.

YARA నియమాల వాక్యనిర్మాణాన్ని అర్థం చేసుకోవడం

YARA యొక్క వాక్యనిర్మాణం C కి చాలా పోలి ఉంటుంది, కానీ సరళమైనది మరియు మరింత కేంద్రీకృతమైనది. ప్రతి నియమం ఒక పేరు, ఒక ఐచ్ఛిక మెటాడేటా విభాగం, ఒక స్ట్రింగ్ విభాగం మరియు తప్పనిసరిగా ఒక షరతు విభాగాన్ని కలిగి ఉంటుంది.ఇక్కడి నుండి, మీరు వాటన్నింటినీ ఎలా కలుపుతారనే దానిపై శక్తి ఉంది.

మొదటిది నియమం పేరుఇది కీవర్డ్ తర్వాత సరిగ్గా వెళ్ళాలి. పాలన (o పాలన మీరు స్పానిష్‌లో డాక్యుమెంట్ చేస్తే, ఫైల్‌లోని కీవర్డ్ ఇలా ఉంటుంది పాలనమరియు తప్పనిసరిగా చెల్లుబాటు అయ్యే ఐడెంటిఫైయర్ అయి ఉండాలి: ఖాళీలు ఉండకూడదు, సంఖ్య ఉండకూడదు మరియు అండర్ స్కోర్ ఉండకూడదు. స్పష్టమైన కన్వెన్షన్‌ను అనుసరించడం మంచిది, ఉదాహరణకు మాల్వేర్_ఫ్యామిలీ_వేరియంట్ o APT_నటుడు_సాధనం, ఇది ఏమి గుర్తించాలో ఒక చూపులో గుర్తించడానికి మిమ్మల్ని అనుమతిస్తుంది.

తరువాత విభాగం వస్తుంది తీగలనుమీరు శోధించాలనుకుంటున్న నమూనాలను నిర్వచించే చోట. ఇక్కడ మీరు మూడు ప్రధాన రకాలను ఉపయోగించవచ్చు: టెక్స్ట్ స్ట్రింగ్‌లు, హెక్సాడెసిమల్ సీక్వెన్స్‌లు మరియు రెగ్యులర్ ఎక్స్‌ప్రెషన్‌లుటెక్స్ట్ స్ట్రింగ్‌లు మానవులు చదవగలిగే కోడ్ స్నిప్పెట్‌లు, URLలు, అంతర్గత సందేశాలు, పాత్ పేర్లు లేదా PDBలకు అనువైనవి. హెక్సాడెసిమల్స్ ముడి బైట్ నమూనాలను సంగ్రహించడానికి మిమ్మల్ని అనుమతిస్తాయి, ఇవి కోడ్ అస్పష్టంగా ఉన్నప్పుడు చాలా ఉపయోగకరంగా ఉంటాయి కానీ కొన్ని స్థిరమైన క్రమాలను కలిగి ఉంటాయి.

డొమైన్‌లను మార్చడం లేదా కోడ్‌లోని భాగాలను కొద్దిగా మార్చడం వంటి స్ట్రింగ్‌లోని చిన్న వైవిధ్యాలను కవర్ చేయవలసి వచ్చినప్పుడు రెగ్యులర్ ఎక్స్‌ప్రెషన్‌లు వశ్యతను అందిస్తాయి. ఇంకా, స్ట్రింగ్‌లు మరియు రీజెక్స్ రెండూ ఎస్కేప్‌లను ఏకపక్ష బైట్‌లను సూచించడానికి అనుమతిస్తాయి., ఇది చాలా ఖచ్చితమైన హైబ్రిడ్ నమూనాలకు తలుపులు తెరుస్తుంది.

విభాగం పరిస్థితి ఇది తప్పనిసరి అయిన ఏకైకది మరియు ఒక నియమం ఫైల్‌ను "సరిపోల్చడానికి" పరిగణించబడినప్పుడు నిర్వచిస్తుంది. అక్కడ మీరు బూలియన్ మరియు అంకగణిత ఆపరేషన్లను ఉపయోగిస్తారు (మరియు, లేదా, కాదు, +, -, *, /, ఏదైనా, అన్నీ, కలిగి ఉంటుంది, మొదలైనవి.) సరళమైన "ఈ స్ట్రింగ్ కనిపిస్తే" కంటే సూక్ష్మమైన గుర్తింపు తర్కాన్ని వ్యక్తీకరించడానికి.

ఉదాహరణకు, ఫైల్ ఒక నిర్దిష్ట పరిమాణం కంటే చిన్నగా ఉంటే, అన్ని క్లిష్టమైన స్ట్రింగ్‌లు కనిపిస్తే లేదా అనేక స్ట్రింగ్‌లలో కనీసం ఒకటి ఉంటే మాత్రమే నియమం చెల్లుబాటు అవుతుందని మీరు పేర్కొనవచ్చు. మీరు స్ట్రింగ్ పొడవు, సరిపోలికల సంఖ్య, ఫైల్‌లోని నిర్దిష్ట ఆఫ్‌సెట్‌లు లేదా ఫైల్ పరిమాణం వంటి షరతులను కూడా కలపవచ్చు.ఇక్కడ సృజనాత్మకత సాధారణ నియమాలు మరియు శస్త్రచికిత్స గుర్తింపుల మధ్య వ్యత్యాసాన్ని చూపుతుంది.

చివరగా, మీకు ఐచ్ఛిక విభాగం ఉంది లక్ష్యంకాలాన్ని డాక్యుమెంట్ చేయడానికి అనువైనది. సాధారణంగా చేర్చబడినవి రచయిత, సృష్టి తేదీ, వివరణ, అంతర్గత వెర్షన్, నివేదికలు లేదా టిక్కెట్లకు సూచన మరియు, సాధారణంగా, రిపోజిటరీని క్రమబద్ధంగా ఉంచడానికి మరియు ఇతర విశ్లేషకులకు అర్థమయ్యేలా ఉంచడానికి సహాయపడే ఏదైనా సమాచారం.

అధునాతన YARA నియమాల యొక్క ఆచరణాత్మక ఉదాహరణలు

పైన పేర్కొన్నవన్నీ దృక్కోణంలో ఉంచాలంటే, ఒక సాధారణ నియమం ఎలా నిర్మాణాత్మకంగా ఉందో మరియు అమలు చేయగల ఫైల్‌లు, అనుమానాస్పద దిగుమతులు లేదా పునరావృత సూచనల క్రమం అమలులోకి వచ్చినప్పుడు అది ఎలా క్లిష్టంగా మారుతుందో చూడటం ఉపయోగకరంగా ఉంటుంది. బొమ్మల పాలకుడితో ప్రారంభించి క్రమంగా పరిమాణాన్ని పెంచుదాం..

ఒక కనీస నియమం ఒక స్ట్రింగ్ మరియు దానిని తప్పనిసరి చేసే షరతును మాత్రమే కలిగి ఉంటుంది. ఉదాహరణకు, మీరు ఒక నిర్దిష్ట టెక్స్ట్ స్ట్రింగ్ లేదా మాల్వేర్ ఫ్రాగ్మెంట్ యొక్క బైట్ సీక్వెన్స్ ప్రతినిధి కోసం శోధించవచ్చు. ఆ సందర్భంలో, ఆ స్ట్రింగ్ లేదా నమూనా కనిపించినట్లయితే నియమం నెరవేరిందని షరతు పేర్కొంటుంది., తదుపరి ఫిల్టర్లు లేకుండా.

అయితే, వాస్తవ ప్రపంచ సెట్టింగ్‌లలో ఇది తక్కువగా ఉంటుంది, ఎందుకంటే సాధారణ గొలుసులు తరచుగా అనేక తప్పుడు పాజిటివ్‌లను ఉత్పత్తి చేస్తాయి.అందుకే అనేక స్ట్రింగ్‌లను (టెక్స్ట్ మరియు హెక్సాడెసిమల్) అదనపు పరిమితులతో కలపడం సర్వసాధారణం: ఫైల్ ఒక నిర్దిష్ట పరిమాణాన్ని మించకూడదు, అది నిర్దిష్ట హెడర్‌లను కలిగి ఉండాలి లేదా ప్రతి నిర్వచించబడిన సమూహం నుండి కనీసం ఒక స్ట్రింగ్ కనుగొనబడితేనే అది సక్రియం చేయబడుతుంది.

PE ఎక్జిక్యూటబుల్ విశ్లేషణలో ఒక సాధారణ ఉదాహరణ మాడ్యూల్‌ను దిగుమతి చేసుకోవడం. pe YARA నుండి, ఇది బైనరీ యొక్క అంతర్గత లక్షణాలను ప్రశ్నించడానికి మిమ్మల్ని అనుమతిస్తుంది: దిగుమతి చేసుకున్న ఫంక్షన్‌లు, విభాగాలు, టైమ్‌స్టాంప్‌లు మొదలైనవి. అధునాతన నియమం ప్రకారం ఫైల్‌ను దిగుమతి చేయాల్సి ఉంటుంది. క్రియేట్ ప్రాసెస్ నుండి Kernel32.dll మరియు కొన్ని HTTP ఫంక్షన్ నుండి wininet.dll ద్వారా, హానికరమైన ప్రవర్తనను సూచించే నిర్దిష్ట స్ట్రింగ్‌ను కలిగి ఉండటంతో పాటు.

ఈ రకమైన తర్కం స్థాననిర్ణయం చేయడానికి సరైనది రిమోట్ కనెక్షన్ లేదా ఎక్స్‌ఫిల్ట్రేషన్ సామర్థ్యాలు కలిగిన ట్రోజన్లుఫైల్ పేర్లు లేదా మార్గాలు ఒక ప్రచారం నుండి మరొక ప్రచారానికి మారినప్పుడు కూడా. ముఖ్యమైన విషయం ఏమిటంటే అంతర్లీన ప్రవర్తనపై దృష్టి పెట్టడం: ప్రాసెస్ సృష్టి, HTTP అభ్యర్థనలు, ఎన్‌క్రిప్షన్, నిలకడ మొదలైనవి.

మరొక చాలా ప్రభావవంతమైన టెక్నిక్ ఏమిటంటే, పునరావృతమయ్యే సూచనల క్రమం ఒకే కుటుంబానికి చెందిన నమూనాల మధ్య. దాడి చేసేవారు బైనరీని ప్యాకేజీ చేసినా లేదా అస్పష్టం చేసినా, వారు తరచుగా కోడ్‌లోని భాగాలను మార్చడానికి కష్టతరంగా తిరిగి ఉపయోగిస్తారు. స్టాటిక్ విశ్లేషణ తర్వాత, మీరు స్థిరమైన సూచనల బ్లాక్‌లను కనుగొంటే, మీరు ఒక నియమాన్ని రూపొందించవచ్చు హెక్సాడెసిమల్ స్ట్రింగ్‌లలో వైల్డ్‌కార్డ్‌లు అది ఒక నిర్దిష్ట సహనాన్ని కొనసాగిస్తూ ఆ నమూనాను సంగ్రహిస్తుంది.

ఈ “కోడ్ ప్రవర్తన-ఆధారిత” నియమాలతో అది సాధ్యమే PlugX/Korplug లేదా ఇతర APT కుటుంబాల వంటి మొత్తం మాల్వేర్ ప్రచారాలను ట్రాక్ చేయండి.మీరు కేవలం ఒక నిర్దిష్ట హాష్‌ను గుర్తించరు, కానీ దాడి చేసేవారి అభివృద్ధి శైలిని కూడా అనుసరిస్తారు.

నిజమైన ప్రచారాలు మరియు జీరో-డే బెదిరింపులలో YARA వాడకం

ముఖ్యంగా అధునాతన బెదిరింపులు మరియు జీరో-డే దోపిడీల రంగంలో YARA తన విలువను నిరూపించుకుంది, ఇక్కడ క్లాసిక్ రక్షణ విధానాలు చాలా ఆలస్యంగా వస్తాయి. ఒక ప్రసిద్ధ ఉదాహరణ ఏమిటంటే, సిల్వర్‌లైట్‌లో ఒక దోపిడీని కనిష్ట లీక్డ్ ఇంటెలిజెన్స్ నుండి గుర్తించడానికి YARAను ఉపయోగించడం..

ఆ సందర్భంలో, ప్రమాదకర సాధనాల అభివృద్ధికి అంకితమైన కంపెనీ నుండి దొంగిలించబడిన ఈమెయిల్‌ల నుండి, ఒక నిర్దిష్ట దోపిడీకి ఉద్దేశించిన నియమాన్ని రూపొందించడానికి తగిన నమూనాలను తీసివేస్తారు. ఆ ఒకే ఒక్క నియమంతో, పరిశోధకులు అనుమానాస్పద ఫైళ్ల సముద్రం ద్వారా నమూనాను కనుగొనగలిగారు.దోపిడీని గుర్తించి, దాని ప్యాచింగ్‌ను బలవంతంగా చేయండి, మరింత తీవ్రమైన నష్టాన్ని నివారిస్తుంది.

ఈ రకమైన కథలు YARA ఎలా పనిచేస్తుందో వివరిస్తాయి ఫైళ్ల సముద్రంలో చేపల వలమీ కార్పొరేట్ నెట్‌వర్క్‌ను అన్ని రకాల "చేపలు" (ఫైళ్లు) నిండిన సముద్రంలా ఊహించుకోండి. మీ నియమాలు ట్రాల్ నెట్‌లోని కంపార్ట్‌మెంట్‌ల వంటివి: ప్రతి కంపార్ట్‌మెంట్ నిర్దిష్ట లక్షణాలకు సరిపోయే చేపలను ఉంచుతుంది.

మీరు డ్రాగ్ పూర్తి చేసినప్పుడు, మీకు నిర్దిష్ట కుటుంబాలు లేదా దాడి చేసేవారి సమూహాలతో సారూప్యత ఆధారంగా వర్గీకరించబడిన నమూనాలు: “X జాతులను పోలి ఉంటుంది”, “Y జాతులను పోలి ఉంటుంది”, మొదలైనవి. ఈ నమూనాలలో కొన్ని మీకు పూర్తిగా కొత్తవి కావచ్చు (కొత్త బైనరీలు, కొత్త ప్రచారాలు), కానీ అవి తెలిసిన నమూనాకు సరిపోతాయి, ఇది మీ వర్గీకరణ మరియు ప్రతిస్పందనను వేగవంతం చేస్తుంది.

ఈ సందర్భంలో YARA నుండి ఎక్కువ ప్రయోజనం పొందడానికి, అనేక సంస్థలు కలిసి వస్తాయి అధునాతన శిక్షణ, ఆచరణాత్మక ప్రయోగశాలలు మరియు నియంత్రిత ప్రయోగాత్మక వాతావరణాలుమంచి నియమాలను వ్రాయడం అనే కళకు ప్రత్యేకంగా అంకితమైన అత్యంత ప్రత్యేకమైన కోర్సులు ఉన్నాయి, తరచుగా సైబర్ గూఢచర్యం యొక్క వాస్తవ కేసుల ఆధారంగా, విద్యార్థులు ప్రామాణికమైన నమూనాలతో సాధన చేస్తారు మరియు వారు ఏమి వెతుకుతున్నారో ఖచ్చితంగా తెలియకపోయినా "ఏదో" కోసం శోధించడం నేర్చుకుంటారు.

YARA ని బ్యాకప్ మరియు రికవరీ ప్లాట్‌ఫామ్‌లలో అనుసంధానించండి

YARA సరిగ్గా సరిపోయే మరియు తరచుగా గుర్తించబడని ఒక ప్రాంతం బ్యాకప్‌ల రక్షణ. బ్యాకప్‌లు మాల్వేర్ లేదా రాన్సమ్‌వేర్‌తో సోకినట్లయితే, పునరుద్ధరణ మొత్తం ప్రచారాన్ని పునఃప్రారంభించగలదు.అందుకే కొంతమంది తయారీదారులు YARA ఇంజిన్‌లను నేరుగా వారి సొల్యూషన్స్‌లో చేర్చారు.

తదుపరి తరం బ్యాకప్ ప్లాట్‌ఫారమ్‌లను ప్రారంభించవచ్చు పునరుద్ధరణ పాయింట్లపై YARA నియమ-ఆధారిత విశ్లేషణ సెషన్‌లులక్ష్యం రెండు రెట్లు: ఒక సంఘటనకు ముందు చివరి "క్లీన్" పాయింట్‌ను గుర్తించడం మరియు ఇతర తనిఖీల ద్వారా ప్రేరేపించబడని ఫైల్‌లలో దాగి ఉన్న హానికరమైన కంటెంట్‌ను గుర్తించడం.

ఈ వాతావరణాలలో సాధారణ ప్రక్రియలో “YARA రూలర్‌తో పునరుద్ధరణ పాయింట్లను స్కాన్ చేయండి"విశ్లేషణ పని యొక్క కాన్ఫిగరేషన్ సమయంలో. తరువాత, నియమాల ఫైల్‌కు మార్గం పేర్కొనబడుతుంది (సాధారణంగా .yara లేదా .yar పొడిగింపుతో), ఇది సాధారణంగా బ్యాకప్ సొల్యూషన్‌కు ప్రత్యేకమైన కాన్ఫిగరేషన్ ఫోల్డర్‌లో నిల్వ చేయబడుతుంది."

అమలు సమయంలో, ఇంజిన్ కాపీలో ఉన్న వస్తువుల ద్వారా పునరావృతమవుతుంది, నియమాలను వర్తింపజేస్తుంది మరియు ఇది అన్ని మ్యాచ్‌లను నిర్దిష్ట YARA విశ్లేషణ లాగ్‌లో రికార్డ్ చేస్తుంది.నిర్వాహకుడు కన్సోల్ నుండి ఈ లాగ్‌లను వీక్షించవచ్చు, గణాంకాలను సమీక్షించవచ్చు, ఏ ఫైల్‌లు హెచ్చరికను ప్రేరేపించాయో చూడవచ్చు మరియు ప్రతి మ్యాచ్ ఏ యంత్రాలు మరియు నిర్దిష్ట తేదీకి అనుగుణంగా ఉందో కూడా కనుగొనవచ్చు.

ఈ ఏకీకరణ ఇతర విధానాల ద్వారా పరిపూర్ణం చేయబడింది, ఉదాహరణకు క్రమరాహిత్య గుర్తింపు, బ్యాకప్ పరిమాణ పర్యవేక్షణ, నిర్దిష్ట IOCల కోసం శోధించడం లేదా అనుమానాస్పద సాధనాల విశ్లేషణకానీ నిర్దిష్ట ransomware కుటుంబం లేదా ప్రచారానికి అనుగుణంగా నియమాల విషయానికి వస్తే, ఆ శోధనను మెరుగుపరచడానికి YARA ఉత్తమ సాధనం.

మీ నెట్‌వర్క్‌ను విచ్ఛిన్నం చేయకుండా YARA నియమాలను ఎలా పరీక్షించాలి మరియు ధృవీకరించాలి

మీరు మీ స్వంత నియమాలను రాయడం ప్రారంభించిన తర్వాత, తదుపరి కీలకమైన దశ వాటిని పూర్తిగా పరీక్షించడం. అతిగా దూకుడుగా ఉండే నియమం తప్పుడు సానుకూలతల వరదను సృష్టించగలదు, అయితే అతిగా నిర్లక్ష్యంగా ఉండే నియమం నిజమైన ముప్పులను దాటవేస్తుంది.అందుకే పరీక్షా దశ రాత దశ ఎంత ముఖ్యమో అంతే ముఖ్యం.

శుభవార్త ఏమిటంటే, మీరు పని చేసే మాల్వేర్‌తో నిండిన ల్యాబ్‌ను ఏర్పాటు చేసి, సగం నెట్‌వర్క్‌ను ఇన్ఫెక్ట్ చేయనవసరం లేదు. ఈ సమాచారాన్ని అందించే రిపోజిటరీలు మరియు డేటాసెట్‌లు ఇప్పటికే ఉన్నాయి. పరిశోధన ప్రయోజనాల కోసం తెలిసిన మరియు నియంత్రిత మాల్వేర్ నమూనాలుమీరు ఆ నమూనాలను వివిక్త వాతావరణంలోకి డౌన్‌లోడ్ చేసుకోవచ్చు మరియు వాటిని మీ నియమాలకు పరీక్షా కేంద్రంగా ఉపయోగించవచ్చు.

సాధారణంగా ఉపయోగించే విధానం ఏమిటంటే, అనుమానాస్పద ఫైల్‌లను కలిగి ఉన్న డైరెక్టరీకి వ్యతిరేకంగా కమాండ్ లైన్ నుండి YARAను స్థానికంగా అమలు చేయడం. మీ నియమాలు అవి ఉండాల్సిన చోట సరిపోలితే మరియు క్లీన్ ఫైల్‌లను అరుదుగా విచ్ఛిన్నం చేస్తే, మీరు సరైన మార్గంలో ఉన్నారు.అవి ఎక్కువగా ట్రిగ్గర్ చేస్తుంటే, స్ట్రింగ్‌లను సమీక్షించడానికి, పరిస్థితులను మెరుగుపరచడానికి లేదా అదనపు పరిమితులను (పరిమాణం, దిగుమతులు, ఆఫ్‌సెట్‌లు మొదలైనవి) ప్రవేశపెట్టడానికి ఇది సమయం.

మరో ముఖ్యమైన విషయం ఏమిటంటే, మీ నియమాలు పనితీరులో రాజీ పడకుండా చూసుకోవాలి. పెద్ద డైరెక్టరీలు, పూర్తి బ్యాకప్‌లు లేదా భారీ నమూనా సేకరణలను స్కాన్ చేస్తున్నప్పుడు, పేలవంగా ఆప్టిమైజ్ చేయబడిన నియమాలు విశ్లేషణను నెమ్మదిస్తాయి లేదా కావలసిన దానికంటే ఎక్కువ వనరులను వినియోగిస్తాయి.అందువల్ల, సమయాలను కొలవడం, సంక్లిష్టమైన వ్యక్తీకరణలను సరళీకృతం చేయడం మరియు అధికమైన సాధారణ పదాలను నివారించడం మంచిది.

ఆ ప్రయోగశాల పరీక్ష దశ దాటిన తర్వాత, మీరు ఉత్పత్తి వాతావరణానికి నియమాలను ప్రచారం చేయండిఅది మీ SIEMలో అయినా, మీ బ్యాకప్ సిస్టమ్‌లలో అయినా, ఇమెయిల్ సర్వర్‌లలో అయినా లేదా మీరు వాటిని ఇంటిగ్రేట్ చేయాలనుకుంటున్న చోట అయినా. మరియు నిరంతర సమీక్ష చక్రాన్ని నిర్వహించడం మర్చిపోవద్దు: ప్రచారాలు అభివృద్ధి చెందుతున్నప్పుడు, మీ నియమాలకు కాలానుగుణ సర్దుబాట్లు అవసరం.

YARA తో సాధనాలు, ప్రోగ్రామ్‌లు మరియు వర్క్‌ఫ్లో

అధికారిక బైనరీకి మించి, చాలా మంది నిపుణులు YARA చుట్టూ దాని రోజువారీ వినియోగాన్ని సులభతరం చేయడానికి చిన్న ప్రోగ్రామ్‌లు మరియు స్క్రిప్ట్‌లను అభివృద్ధి చేశారు. ఒక సాధారణ విధానంలో దరఖాస్తును సృష్టించడం ఉంటుంది మీ స్వంత భద్రతా కిట్‌ను సమీకరించండి అది ఫోల్డర్‌లోని అన్ని నియమాలను స్వయంచాలకంగా చదువుతుంది మరియు వాటిని విశ్లేషణ డైరెక్టరీకి వర్తింపజేస్తుంది..

ఈ రకమైన ఇంట్లో తయారుచేసిన సాధనాలు సాధారణంగా సరళమైన డైరెక్టరీ నిర్మాణంతో పనిచేస్తాయి: ఒక ఫోల్డర్ కోసం ఇంటర్నెట్ నుండి డౌన్‌లోడ్ చేయబడిన నియమాలు (ఉదాహరణకు, “rulesyar”) మరియు మరొక ఫోల్డర్ కోసం అనుమానాస్పద ఫైళ్లను విశ్లేషించాలి (ఉదాహరణకు, "మాల్వేర్"). ప్రోగ్రామ్ ప్రారంభమైనప్పుడు, అది రెండు ఫోల్డర్‌లు ఉన్నాయో లేదో తనిఖీ చేస్తుంది, స్క్రీన్‌పై నియమాలను జాబితా చేస్తుంది మరియు అమలుకు సిద్ధం చేస్తుంది.

మీరు “” వంటి బటన్‌ను నొక్కినప్పుడుధృవీకరణను ప్రారంభించండిఆ తరువాత అప్లికేషన్ YARA ఎక్జిక్యూటబుల్‌ను కావలసిన పారామితులతో ప్రారంభిస్తుంది: ఫోల్డర్‌లోని అన్ని ఫైల్‌లను స్కాన్ చేయడం, సబ్‌డైరెక్టరీల పునరావృత విశ్లేషణ, గణాంకాలను అవుట్‌పుట్ చేయడం, మెటాడేటాను ముద్రించడం మొదలైనవి. ఏవైనా సరిపోలికలు ఫలితాల విండోలో ప్రదర్శించబడతాయి, ఏ ఫైల్ ఏ ​​నియమానికి సరిపోలిందో సూచిస్తుంది.

ఈ వర్క్‌ఫ్లో, ఉదాహరణకు, ఎగుమతి చేయబడిన ఇమెయిల్‌ల బ్యాచ్‌లోని సమస్యలను గుర్తించడానికి అనుమతిస్తుంది. హానికరమైన ఎంబెడెడ్ చిత్రాలు, ప్రమాదకరమైన అటాచ్‌మెంట్‌లు లేదా హానికరం కాని ఫైల్‌లలో దాగి ఉన్న వెబ్‌షెల్‌లుకార్పొరేట్ వాతావరణాలలో అనేక ఫోరెన్సిక్ పరిశోధనలు ఖచ్చితంగా ఈ రకమైన యంత్రాంగంపై ఆధారపడి ఉంటాయి.

YARA ని ప్రారంభించేటప్పుడు అత్యంత ఉపయోగకరమైన పారామితులకు సంబంధించి, కింది ఎంపికలు ప్రత్యేకంగా నిలుస్తాయి: పునరావృతంగా శోధించడానికి -r, గణాంకాలను ప్రదర్శించడానికి -S, మెటాడేటాను సంగ్రహించడానికి -m మరియు హెచ్చరికలను విస్మరించడానికి -wఈ ఫ్లాగ్‌లను కలపడం ద్వారా మీరు మీ కేసుకు అనుగుణంగా ప్రవర్తనను సర్దుబాటు చేసుకోవచ్చు: నిర్దిష్ట డైరెక్టరీలో శీఘ్ర విశ్లేషణ నుండి సంక్లిష్టమైన ఫోల్డర్ నిర్మాణం యొక్క పూర్తి స్కాన్ వరకు.

YARA నియమాలను వ్రాసేటప్పుడు మరియు నిర్వహించేటప్పుడు ఉత్తమ పద్ధతులు

మీ నియమాల రిపోజిటరీ నిర్వహించలేని గందరగోళంగా మారకుండా నిరోధించడానికి, ఉత్తమ పద్ధతుల శ్రేణిని వర్తింపజేయడం మంచిది. మొదటిది స్థిరమైన టెంప్లేట్‌లు మరియు నామకరణ సంప్రదాయాలతో పనిచేయడం.తద్వారా ఏ విశ్లేషకుడైనా ప్రతి నియమం ఏమి చేస్తుందో ఒక్క చూపులో అర్థం చేసుకోగలడు.

చాలా జట్లు ఒక ప్రామాణిక ఆకృతిని అవలంబిస్తాయి, ఇందులో ఇవి ఉంటాయి మెటాడేటాతో కూడిన శీర్షిక, ముప్పు రకం, నటుడు లేదా ప్లాట్‌ఫామ్‌ను సూచించే ట్యాగ్‌లు మరియు గుర్తించబడుతున్న దాని గురించి స్పష్టమైన వివరణఇది అంతర్గతంగా మాత్రమే కాకుండా, మీరు కమ్యూనిటీతో నియమాలను పంచుకున్నప్పుడు లేదా పబ్లిక్ రిపోజిటరీలకు సహకరించినప్పుడు కూడా సహాయపడుతుంది.

మరొక సిఫార్సు ఏమిటంటే ఎల్లప్పుడూ గుర్తుంచుకోవాలి YARA అనేది రక్షణలో మరో పొర మాత్రమేఇది యాంటీవైరస్ సాఫ్ట్‌వేర్ లేదా EDR ని భర్తీ చేయదు, కానీ వాటిని వ్యూహాలలో పూర్తి చేస్తుంది మీ Windows PC ని రక్షించండిఆదర్శవంతంగా, YARA అనేది NIST ఫ్రేమ్‌వర్క్ వంటి విస్తృత రిఫరెన్స్ ఫ్రేమ్‌వర్క్‌లలో సరిపోవాలి, ఇది ఆస్తి గుర్తింపు, రక్షణ, గుర్తింపు, ప్రతిస్పందన మరియు పునరుద్ధరణను కూడా పరిష్కరిస్తుంది.

సాంకేతిక దృక్కోణం నుండి, సమయం కేటాయించడం విలువైనది తప్పుడు పాజిటివ్లను నివారించండిఇందులో అతిగా జెనరిక్ స్ట్రింగ్‌లను నివారించడం, అనేక షరతులను కలపడం మరియు ఆపరేటర్‌లను ఉపయోగించడం వంటివి ఉంటాయి. అన్ని o ఏదైనా మీ తలని ఉపయోగించి ఫైల్ యొక్క నిర్మాణ లక్షణాలను సద్వినియోగం చేసుకోండి. మాల్వేర్ ప్రవర్తన చుట్టూ ఉన్న తర్కం ఎంత నిర్దిష్టంగా ఉంటే అంత మంచిది.

చివరగా, క్రమశిక్షణను కొనసాగించండి వెర్షన్ మరియు ఆవర్తన సమీక్ష ఇది చాలా కీలకం. మాల్వేర్ కుటుంబాలు పరిణామం చెందుతాయి, సూచికలు మారుతాయి మరియు నేడు పనిచేసే నియమాలు లోపభూయిష్టంగా మారవచ్చు లేదా వాడుకలో లేకుండా పోవచ్చు. మీ నియమాల సమితిని కాలానుగుణంగా సమీక్షించడం మరియు మెరుగుపరచడం అనేది సైబర్ భద్రత యొక్క పిల్లి-ఎలుక ఆటలో భాగం.

YARA కమ్యూనిటీ మరియు అందుబాటులో ఉన్న వనరులు

YARA ఇంత దూరం రావడానికి ప్రధాన కారణాలలో ఒకటి దాని కమ్యూనిటీ బలం. ప్రపంచవ్యాప్తంగా ఉన్న పరిశోధకులు, భద్రతా సంస్థలు మరియు ప్రతిస్పందన బృందాలు నిరంతరం నియమాలు, ఉదాహరణలు మరియు డాక్యుమెంటేషన్‌ను పంచుకుంటాయి.చాలా గొప్ప పర్యావరణ వ్యవస్థను సృష్టిస్తోంది.

ప్రధాన సూచన అంశం ఏమిటంటే GitHub లో YARA యొక్క అధికారిక రిపోజిటరీఅక్కడ మీరు సాధనం యొక్క తాజా వెర్షన్‌లు, సోర్స్ కోడ్ మరియు డాక్యుమెంటేషన్‌కు లింక్‌లను కనుగొంటారు. అక్కడి నుండి మీరు ప్రాజెక్ట్ పురోగతిని అనుసరించవచ్చు, సమస్యలను నివేదించవచ్చు లేదా మీకు కావాలంటే మెరుగుదలలకు తోడ్పడవచ్చు.

ReadTheDocs వంటి ప్లాట్‌ఫామ్‌లలో లభించే అధికారిక డాక్యుమెంటేషన్ అందిస్తుంది పూర్తి సింటాక్స్ గైడ్, అందుబాటులో ఉన్న మాడ్యూల్స్, నియమ ఉదాహరణలు మరియు వినియోగ సూచనలుPE తనిఖీ, ELF, మెమరీ నియమాలు లేదా ఇతర సాధనాలతో అనుసంధానం వంటి అత్యంత అధునాతన విధులను సద్వినియోగం చేసుకోవడానికి ఇది ఒక ముఖ్యమైన వనరు.

అదనంగా, YARA నియమాలు మరియు సంతకాల కమ్యూనిటీ రిపోజిటరీలు ఉన్నాయి, ఇక్కడ ప్రపంచవ్యాప్తంగా ఉన్న విశ్లేషకులు వారు ఉపయోగించడానికి సిద్ధంగా ఉన్న సేకరణలను లేదా మీ అవసరాలకు అనుగుణంగా మార్చుకోగల సేకరణలను ప్రచురిస్తారు.ఈ రిపోజిటరీలలో సాధారణంగా నిర్దిష్ట మాల్వేర్ కుటుంబాలకు నియమాలు, దోపిడీ కిట్‌లు, హానికరంగా ఉపయోగించే పెంటెస్టింగ్ సాధనాలు, వెబ్‌షెల్‌లు, క్రిప్టోమైనర్‌లు మరియు మరిన్ని ఉంటాయి.

సమాంతరంగా, అనేక తయారీదారులు మరియు పరిశోధనా బృందాలు అందిస్తున్నాయి YARAలో ప్రాథమిక స్థాయిల నుండి చాలా అధునాతన కోర్సుల వరకు నిర్దిష్ట శిక్షణఈ చొరవలలో తరచుగా వర్చువల్ ల్యాబ్‌లు మరియు వాస్తవ ప్రపంచ దృశ్యాల ఆధారంగా ఆచరణాత్మక వ్యాయామాలు ఉంటాయి. కొన్ని లాభాపేక్షలేని సంస్థలు లేదా లక్ష్య దాడులకు గురయ్యే అవకాశం ఉన్న సంస్థలకు ఉచితంగా అందించబడతాయి.

ఈ మొత్తం పర్యావరణ వ్యవస్థ అంటే, కొంచెం అంకితభావంతో, మీరు మీ మొదటి ప్రాథమిక నియమాలను వ్రాయడం నుండి సంక్లిష్ట ప్రచారాలను ట్రాక్ చేయగల మరియు అపూర్వమైన ముప్పులను గుర్తించగల అధునాతన సూట్‌లను అభివృద్ధి చేయండి.మరియు, YARAను సాంప్రదాయ యాంటీవైరస్, సురక్షిత బ్యాకప్ మరియు బెదిరింపు నిఘాతో కలపడం ద్వారా, ఇంటర్నెట్‌లో తిరుగుతున్న హానికరమైన నటులకు మీరు విషయాలను చాలా కష్టతరం చేస్తారు.

పైన పేర్కొన్న అన్నింటితో, YARA అనేది ఒక సాధారణ కమాండ్-లైన్ యుటిలిటీ కంటే చాలా ఎక్కువ అని స్పష్టంగా తెలుస్తుంది: ఇది a కీ ముక్క ఏదైనా అధునాతన మాల్వేర్ గుర్తింపు వ్యూహంలో, విశ్లేషకుడిగా మీ ఆలోచనా విధానానికి అనుగుణంగా ఉండే సౌకర్యవంతమైన సాధనం మరియు a వాడుక భాష ఇది ప్రపంచవ్యాప్తంగా ప్రయోగశాలలు, SOCలు మరియు పరిశోధనా సంఘాలను కలుపుతుంది, ప్రతి కొత్త నియమం పెరుగుతున్న అధునాతన ప్రచారాలకు వ్యతిరేకంగా రక్షణ యొక్క మరొక పొరను జోడించడానికి అనుమతిస్తుంది.