Чӣ тавр истифода бурдани YARA барои ошкорсозии пешрафтаи нармафзори зараровар

¿Чӣ тавр YARA-ро барои ошкорсозии пешрафтаи нармафзори зараровар истифода бурдан мумкин аст? Вақте ки барномаҳои антивируси анъанавӣ ба ҳадди худ расидаанд ва ҳамлагарон аз ҳар гуна тарқишҳои имконпазир мегузаранд, асбобе ба кор меояд, ки дар лабораторияҳои вокуниш ба ҳодисаҳо ҳатмӣ шудааст: YARA, "корди швейтсарӣ" барои шикори нармафзори зарароварБарои тавсифи оилаҳои нармафзори зараровар бо истифода аз намунаҳои матнӣ ва дуӣ тарҳрезӣ шудааст, он имкон медиҳад, ки аз мувофиқати оддии хэш дуртар гузарад.

Дар дасти рост, YARA на танҳо барои ҷойгиршавӣ на танҳо намунаҳои маълуми нармафзори зараровар, балки инчунин вариантҳои нав, истисморҳои сифрӣ ва ҳатто абзорҳои таҳқиромези тиҷоратӣДар ин мақола, мо амиқ ва амалӣ меомӯзем, ки чӣ тавр истифода бурдани YARA барои ошкорсозии пешрафтаи нармафзори зараровар, чӣ гуна навиштани қоидаҳои устувор, чӣ гуна санҷидани онҳо, чӣ гуна онҳоро ба платформаҳо, ба монанди Veeam ё ҷараёни таҳлили шахсии худ ва чӣ гуна таҷрибаҳои беҳтарини ҷомеаи касбӣ пайравӣ мекунанд.

YARA чист ва чаро он дар ошкор кардани нармафзори зараровар ин қадар тавоно аст?

YARA маънои "Боз як ихтисораи рекурсивӣ" -ро дорад ва ба стандарти воқеии таҳлили таҳдид табдил ёфтааст, зеро Он имкон медиҳад, ки оилаҳои нармафзори зараровар бо истифода аз қоидаҳои хонданшаванда, равшан ва хеле чандир тавсиф карда шаванд.Ба ҷои такя кардан ба имзоҳои антивируси статикӣ, YARA бо намунаҳое кор мекунад, ки шумо худатон муайян мекунед.

Идеяи асосӣ оддӣ аст: қоидаи YARA файлро (ё хотира ё ҷараёни маълумот) тафтиш мекунад ва риояи як қатор шартҳоро месанҷад. шартҳо дар асоси сатрҳои матнӣ, пайдарпайии шонздаҳӣ, ифодаҳои муқаррарӣ ё хосиятҳои файлАгар шарт иҷро шавад, "мувофиқӣ" вуҷуд дорад ва шумо метавонед ҳушдор диҳед, блок кунед ё таҳлили амиқтар анҷом диҳед.

Ин равиш ба гурӯҳҳои амниятӣ имкон медиҳад Муайян ва тасниф кардани ҳама гуна нармафзори зараровар: вирусҳои классикӣ, кирмҳо, троянҳо, ransomware, webshells, криптоминерҳо, макросҳои зараровар ва ғайраОн бо васеъшавӣ ё форматҳои мушаххаси файл маҳдуд намешавад, аз ин рӯ он инчунин файли иҷрошавандаи пинҳоншударо бо васеъшавии .pdf ё файли HTML, ки дорои веб-шелл мебошад, муайян мекунад.

Ғайр аз он, YARA аллакай ба бисёр хидматҳо ва воситаҳои асосии экосистемаи киберамният ворид карда шудааст: VirusTotal, қуттиҳои қумӣ ба монанди Cuckoo, платформаҳои эҳтиётӣ ба монанди Veeam ё ҳалли шикори таҳдид аз истеҳсолкунандагони сатҳи баландАз ин рӯ, азхудкунии YARA тақрибан як талаботи таҳлилгарон ва муҳаққиқони пешрафта шудааст.

Ҳолатҳои пешрафтаи истифодаи YARA дар ошкор кардани нармафзори зараровар

Яке аз ҷиҳатҳои қавии YARA дар он аст, ки он мисли дастпӯшак ба сенарияҳои сершумори амниятӣ, аз SOC то лабораторияи нармафзори зараровар мутобиқ мешавад. Ҳамин қоидаҳо ҳам барои шикори якдафъаина ва ҳам мониторинги доимӣ татбиқ мешаванд..

Ҳолати мустақимтарин эҷодро дар бар мегирад қоидаҳои мушаххас барои нармафзори мушаххас ё тамоми оилаҳоАгар ташкилоти шумо аз ҷониби маъракае, ки ба оилаи маълум асос ёфтааст, ҳамла карда шавад (масалан, трояни дастрасии дурдаст ё таҳдиди APT), шумо метавонед сатрҳо ва намунаҳои хосро профилактика кунед ва қоидаҳоеро эҷод кунед, ки намунаҳои нави алоқамандро зуд муайян мекунанд.

Дигар истифодаи классикӣ таваҷҷӯҳи аст YARA дар асоси имзоҳоИн қоидаҳо барои ҷойгир кардани хэшҳо, сатрҳои хеле мушаххаси матн, порчаҳои код, калидҳои сабт ё ҳатто пайдарпаии байтҳои мушаххас, ки дар вариантҳои сершумори як нармафзори зараровар такрор мешаванд, тарҳрезӣ шудаанд. Аммо, дар хотир доред, ки агар шумо танҳо сатрҳои ночизро ҷустуҷӯ кунед, шумо хавфи тавлиди мусбатҳои бардурӯғро доред.

YARA инчунин вақте ки сухан дар бораи филтр кардан меравад, медурахшад намудҳои файл ё хусусиятҳои сохторӣБо омезиши сатрҳо бо хосиятҳо ба монанди андозаи файл, сарлавҳаҳои мушаххас (масалан, 0x5A4D барои файлҳои иҷрошавандаи PE) ё воридоти функсияҳои шубҳанок, қоидаҳое эҷод кардан мумкин аст, ки ба файлҳои иҷрошавандаи PE, ҳуҷҷатҳои офисӣ, PDFҳо ё қариб ҳама гуна форматҳо дахл доранд.

Дар муҳитҳои муосир, истифодаи он ба он алоқаманд аст иктишофии таҳдидАнборҳои ҷамъиятӣ, гузоришҳои тадқиқотӣ ва каналҳои IOC ба қоидаҳои YARA тарҷума карда мешаванд, ки ба SIEM, EDR, платформаҳои эҳтиётӣ ё қуттиҳои қум муттаҳид шудаанд. Ин ба ташкилотхо имконият медихад таҳдидҳои пайдошавандаро зуд муайян кунед, ки хусусиятҳоро бо маъракаҳои аллакай таҳлилшуда мубодила мекунанд.

Фаҳмидани синтаксиси қоидаҳои YARA

Синтаксиси YARA ба синтаксиси C хеле шабеҳ аст, аммо ба таври соддатар ва мутамарказтар. Ҳар як қоида аз ном, қисмати метамаълумоти ихтиёрӣ, бахши сатр ва ҳатман қисмати шарт иборат аст.Аз ин ҷо, қудрат дар он аст, ки шумо ҳамаи инро чӣ гуна муттаҳид мекунед.

Аввалин номи қоидаОн бояд рост пас аз калимаи калидӣ равад қоида (o қоида Агар шумо бо забони испанӣ ҳуҷҷат гузоред, гарчанде ки калимаи калидӣ дар файл хоҳад буд қоидава бояд идентификатори дуруст бошад: на фосила, на рақам ва на зери хат. Ин як фикри хуб аст, ки ба як конвенсияи равшан пайравӣ кунед, масалан чизе монанди Зараровар_Оила_Варианти o APT_Actor_Tool, ки ба шумо имкон медиҳад, ки дар як нигоҳ муайян кунед, ки он барои ошкор кардан пешбинӣ шудааст.

Минбаъд қисмат меояд сатрхоки дар он шумо намунаҳоеро, ки мехоҳед ҷустуҷӯ кунед, муайян кунед. Дар ин ҷо шумо метавонед се намуди асосиро истифода баред: сатрҳои матнӣ, пайдарпаии шонздаҳӣ ва ифодаҳои муқаррарӣСатрҳои матнӣ барои порчаҳои коди аз ҷониби инсон хондашаванда, URL-ҳо, паёмҳои дохилӣ, номҳои роҳ ё PDB беҳтаринанд. Шаҳодатҳои шонздаҳӣ ба шумо имкон медиҳанд, ки намунаҳои байтҳои хомро сабт кунед, ки онҳо ҳангоми печида будани код хеле муфиданд, аммо пайдарпаии муайяни доимиро нигоҳ медоранд.

Ифодаҳои муқаррарӣ чандириро таъмин мекунанд, вақте ки ба шумо лозим аст, ки вариантҳои хурди сатрро пӯшонед, ба монанди тағир додани доменҳо ё қисмҳои каме тағирёфтаи код. Ғайр аз он, ҳам сатрҳо ва ҳам regex имкон медиҳанд, ки фирорҳо байтҳои ихтиёриро намояндагӣ кунанд, ки дари намунаҳои гибридии хеле дақиқро мекушояд.

Фасли шароит Ин ягона ҳатмист ва муайян мекунад, ки кай қоида ба файл "мувофиқ" ҳисобида мешавад. Дар он ҷо шумо амалҳои логикӣ ва арифметикиро истифода мебаред (ва, ё, не, +, -, *, /, ягон, ҳама, дорои ва ғ.) барои ифодаи мантиқи дақиқтар нисбат ба "агар ин сатр пайдо шавад".

Масалан, шумо метавонед муайян кунед, ки қоида танҳо дар сурате эътибор дорад, ки файл аз андозаи муайян хурдтар бошад, агар ҳама сатрҳои муҳим пайдо шаванд ё ҳадди аққал яке аз якчанд сатрҳо мавҷуд бошанд. Шумо инчунин метавонед шартҳоро ба монанди дарозии сатр, шумораи мувофиқатҳо, ҷубронҳои мушаххас дар файл ё андозаи худи файлро якҷоя кунед.Эҷодкорӣ дар ин ҷо фарқияти байни қоидаҳои умумӣ ва ташхиси ҷарроҳиро фароҳам меорад.

Дар ниҳоят, шумо бахши ихтиёрӣ доред метаИдеалӣ барои ҳуҷҷатгузории давра. дохил кардан маъмул аст муаллиф, санаи таъсис, тавсиф, версияи дохилӣ, истинод ба гузоришҳо ё чиптаҳо ва дар маҷмӯъ, ҳама гуна маълумоте, ки барои нигоҳ доштани анбори муташаккил ва фаҳмо барои дигар таҳлилгарон кӯмак мекунад.

Намунаҳои амалии қоидаҳои пешрафтаи YARA

Барои ба назар гирифтани ҳамаи чизҳои дар боло зикршуда, дидани он, ки чӣ тавр сохтори як қоидаи оддӣ ва чӣ гуна он мураккабтар мегардад, вақте ки файлҳои иҷрошаванда, воридоти шубҳанок ё пайдарпаии дастурҳои такрорӣ ба кор медароянд, муфид аст. Биёед бо ченаки бозича оғоз кунем ва тадриҷан андозаи онро зиёд кунем..

Қоидаи ҳадди ақал метавонад танҳо сатр ва шартеро дар бар гирад, ки онро ҳатмӣ месозад. Масалан, шумо метавонед як сатри мушаххаси матн ё намояндаи пайдарпайии байти фрагменти нармафзори зарароварро ҷустуҷӯ кунед. Шарт, дар ин ҳолат, танҳо изҳор мекунад, ки қоида риоя карда мешавад, агар ин сатр ё намуна пайдо шавад., бе филтрҳои иловагӣ.

Аммо, дар танзимоти ҷаҳонии воқеӣ ин кӯтоҳ аст, зеро Занҷирҳои оддӣ аксар вақт мусбатҳои бардурӯғро ба вуҷуд меорандАз ин рӯ, маъмулан якҷоя кардани якчанд сатрҳо (матн ва шонздаҳӣ) бо маҳдудиятҳои иловагӣ: он ки файл аз андозаи муайян зиёд набошад, дар он сарлавҳаҳои мушаххас мавҷуд бошад ё он танҳо дар сурати пайдо шудани ҳадди аққал як сатр аз ҳар як гурӯҳи муайяншуда фаъол мешавад.

Намунаи маъмулӣ дар таҳлили иҷрошавандаи PE воридоти модулро дар бар мегирад pe аз YARA, ки ба шумо имкон медиҳад хосиятҳои дохилии бинариро пурсед: функсияҳои воридшуда, бахшҳо, тамғаҳои вақт ва ғайра. Қоидаи пешрафта метавонад воридоти файлро талаб кунад. Эҷоди раванд аз Kernel32.dll ва баъзе функсияҳои HTTP аз wininet.dll, ба ғайр аз дорои сатри мушаххасе, ки рафтори бадхоҳона дорад.

Ин намуди мантиқ барои ҷойгиршавӣ комил аст Троянҳо бо пайвасти дурдаст ё қобилияти эксфилтратсияҳатто вақте ки номҳои файл ё роҳҳо аз як маърака ба маъракаи дигар иваз мешаванд. Муҳим он аст, ки тамаркуз ба рафтори аслӣ: эҷоди раванд, дархостҳои HTTP, рамзгузорӣ, устуворӣ ва ғайра.

Боз як техникаи хеле самаранок ин аст, ки ба пайдарпайии дастурҳо, ки такрор мешаванд байни намунаҳои як оила. Ҳатто агар ҳамлагарон бинариро баста ё пинҳон кунанд ҳам, онҳо аксар вақт қисмҳои кодро дубора истифода мебаранд, ки тағир доданашон душвор аст. Агар пас аз таҳлили статикӣ, шумо блокҳои доимии дастурҳоро пайдо кунед, шумо метавонед қоидаеро бо он тартиб диҳед аломатҳои ҷонишин дар сатрҳои шонздаҳӣ ки ин намунаро ҳангоми нигоҳ доштани таҳаммулпазирии муайян сабт мекунад.

Бо ин қоидаҳои "дар асоси рафтори код" имконпазир аст тамоми маъракаҳои зарароварро, ба монанди маъракаҳои PlugX/Korplug ё дигар оилаҳои APT пайгирӣ кунедШумо на танҳо як хэши мушаххасро муайян мекунед, балки шумо аз паи услуби таҳия, ба ибораи дигар, ҳамлагарон меравед.

Истифодаи YARA дар маъракаҳои воқеӣ ва таҳдидҳои сифрӣ

YARA арзиши худро махсусан дар соҳаи таҳдидҳои пешрафта ва истисморҳои сифрӣ собит кардааст, ки дар он ҷо механизмҳои муҳофизати классикӣ хеле дер меоянд. Мисоли маъруф ин истифодаи YARA барои дарёфти истисмор дар Silverlight аз маълумоти ҳадди ақали ихроҷшуда мебошад..

Дар ин ҳолат, аз мактубҳои аз як ширкат дуздидашуда, ки ба таҳияи абзорҳои таҳқиромез бахшида шудааст, намунаҳои кофӣ барои сохтани қоидае, ки ба истисмори мушаххас нигаронида шудаанд, бароварда шуданд. Бо ин як қоида, муҳаққиқон тавонистанд намунаро тавассути баҳри файлҳои шубҳанок пайгирӣ кунанд.Истисморро муайян кунед ва часпидани онро маҷбур кунед, ки аз зарари ҷиддии бештар пешгирӣ кунед.

Ин намуди ҳикояҳо нишон медиҳанд, ки YARA чӣ гуна метавонад фаъолият кунад тӯри моҳидорӣ дар баҳри файлҳоШабакаи корпоративии худро ҳамчун уқёнуси пур аз "моҳӣ" (файлҳо) аз ҳама гуна тасаввур кунед. Қоидаҳои шумо ба қисмҳои тӯри трол монанданд: ҳар як қисм моҳии ба хусусиятҳои мушаххас мувофиқро нигоҳ медорад.

Вақте, ки шумо кашолакунӣ анҷом, шумо доранд намунаҳое, ки аз рӯи шабоҳат ба оилаҳои мушаххас ё гурӯҳҳои ҳамлагарон гурӯҳбандӣ шудаанд: "монанд ба Намудҳои X", "монанд ба Намудҳои Y" ва ғайра. Баъзе аз ин намунаҳо метавонанд барои шумо комилан нав бошанд (бинарҳои нав, маъракаҳои нав), аммо онҳо ба намунаи маълум мувофиқат мекунанд, ки тасниф ва посухи шуморо суръат мебахшад.

Барои ба даст овардани самараи бештар аз YARA дар ин замина, бисёр ташкилотҳо муттаҳид мешаванд такмили ихтисос, лабораторияҳои амалӣ ва муҳити озмоишии назоратшавандаКурсҳои махсусгардонидашуда танҳо ба санъати навиштани қоидаҳои хуб бахшида шудаанд, ки аксар вақт ба ҳолатҳои воқеии ҷосусии киберӣ асос ёфтаанд, ки дар онҳо донишҷӯён бо намунаҳои аслӣ машқ мекунанд ва ҷустуҷӯи “чизе”-ро меомӯзанд, ҳатто вақте ки онҳо дақиқ намедонанд, ки чӣ меҷӯянд.

YARA-ро ба платформаҳои эҳтиётӣ ва барқарорсозӣ муттаҳид кунед

Яке аз соҳаҳое, ки YARA ба таври комил мувофиқат мекунад ва аксар вақт нодида гирифта мешавад, ҳифзи нусхаҳои эҳтиётӣ мебошад. Агар нусхаҳои эҳтиётӣ бо нармафзори зараровар ё ransomware сироят шуда бошанд, барқарорсозӣ метавонад тамоми маъракаро аз нав оғоз кунад.Аз ин рӯ, баъзе истеҳсолкунандагон муҳаррикҳои YARA-ро мустақиман ба ҳалли худ ворид кардаанд.

Платформаҳои эҳтиётии насли оянда метавонанд ба кор андохта шаванд Ҷаласаҳои таҳлили YARA дар асоси қоидаҳо дар нуқтаҳои барқарорсозӣҲадаф дутарафа аст: ҷойгир кардани нуқтаи охирини "тоза" пеш аз ҳодиса ва ошкор кардани мундариҷаи зарароваре, ки дар файлҳо пинҳон шудаанд, ки шояд тавассути санҷишҳои дигар оғоз нашуда бошанд.

Дар ин муҳитҳо раванди маъмулӣ интихоби варианти "Нуқтаҳои барқароркуниро бо ченаки YARA скан кунед"ҳангоми конфигуратсияи кори таҳлил. Баъдан, роҳ ба файли қоидаҳо муайян карда мешавад (одатан бо тамдиди .yara ё .yar), ки маъмулан дар ҷузвдони конфигуратсияи мушаххаси ҳалли эҳтиётӣ нигоҳ дошта мешавад."

Ҳангоми иҷро, муҳаррик тавассути объектҳои дар нусха мавҷудбударо такрор мекунад, қоидаҳоро татбиқ мекунад ва Он ҳама мувофиқатҳоро дар гузориши мушаххаси таҳлили YARA сабт мекунад.Администратор метавонад ин гузоришҳоро аз консол бубинад, оморро баррасӣ кунад, бубинад, ки кадом файлҳо ҳушдорро ба вуҷуд овардаанд ва ҳатто пайгирӣ кунанд, ки кадом мошинҳо ва санаи мушаххаси ҳар як мувофиқат мувофиқат мекунанд.

Ин муттаҳидшавӣ бо механизмҳои дигар, аз қабили ошкор кардани аномалия, мониторинги андозаи эҳтиётӣ, ҷустуҷӯи IOC-ҳои мушаххас ё таҳлили асбобҳои шубҳанокАммо вақте ки сухан дар бораи қоидаҳое меравад, ки ба як оила ё маъракаи мушаххаси ransomware мутобиқ карда шудаанд, YARA беҳтарин воситаи такмил додани ин ҷустуҷӯ мебошад.

Чӣ гуна бояд қоидаҳои YARA-ро бидуни вайрон кардани шабакаи худ санҷидан ва тасдиқ кард

Пас аз он ки шумо ба навиштани қоидаҳои шахсии худ шурӯъ мекунед, қадами навбатии муҳим ин санҷиши ҳамаҷонибаи онҳо мебошад. Қоидаи аз ҳад зиёд хашмгин метавонад сели мусбатҳои бардурӯғро ба вуҷуд орад, дар ҳоле ки қоидаи аз ҳад зиёд суст метавонад таҳдидҳои воқеиро аз байн барад.Аз ин рӯ, марҳилаи санҷиш ба мисли марҳилаи навиштан муҳим аст.

Хабари хуш ин аст, ки ба шумо лозим нест, ки лабораторияи пур аз нармафзори зарароварро таъсис диҳед ва нисфи шабакаро сироят кунед. Анборҳо ва маҷмӯи додаҳо аллакай мавҷуданд, ки ин маълумотро пешниҳод мекунанд. намунаҳои нармафзори маълум ва назоратшаванда барои мақсадҳои тадқиқотӣШумо метавонед ин намунаҳоро ба муҳити ҷудогона зеркашӣ кунед ва онҳоро ҳамчун як майдони санҷиш барои қоидаҳои худ истифода баред.

Муносибати муқаррарӣ ин аст, ки бо иҷро кардани YARA ба таври маҳаллӣ, аз сатри фармон, бар зидди директорияе, ки дорои файлҳои шубҳанок аст. Агар қоидаҳои шумо мувофиқат кунанд, ки онҳо бояд файлҳои тозаро вайрон кунанд, шумо дар роҳи дуруст ҳастед.Агар онҳо аз ҳад зиёд ангеза кунанд, вақти он расидааст, ки сатрҳоро баррасӣ кунед, шароитҳоро такмил диҳед ё маҳдудиятҳои иловагӣ (андоза, воридот, ҷуброн ва ғайра) ҷорӣ кунед.

Нуқтаи дигари муҳим ин аст, ки қоидаҳои шумо ба иҷроиш халал нарасонанд. Ҳангоми скан кардани директорияҳои калон, нусхаҳои пурра ё коллексияҳои азими намуна, Қоидаҳои бади оптимизатсияшуда метавонанд таҳлилро суст кунанд ё захираҳои бештарро аз дилхоҳ истифода баранд.Аз ин рӯ, тавсия дода мешавад, ки вақтҳоро чен кунед, ифодаҳои мураккабро содда кунед ва аз регексҳои аз ҳад зиёд худдорӣ кунед.

Пас аз гузаштан аз ин марҳилаи санҷиши лабораторӣ, шумо метавонед Қоидаҳоро дар муҳити истеҳсолот тарғиб кунедНовобаста аз он ки он дар SIEM-и шумо, системаҳои эҳтиётии шумо, серверҳои почтаи электронӣ ё ҳар ҷое, ки шумо мехоҳед онҳоро муттаҳид кунед. Ва фаромӯш накунед, ки як давраи барраси доимӣ нигоҳ дошта шавад: дар баробари таҳаввулоти маъракаҳо, қоидаҳои шумо ба ислоҳоти даврӣ ниёз доранд.

Асбобҳо, барномаҳо ва ҷараёни корӣ бо YARA

Ғайр аз бинарии расмӣ, бисёр мутахассисон дар атрофи YARA барномаҳо ва скриптҳои хурд таҳия кардаанд, то истифодаи ҳаррӯзаи онро осон кунад. Равиши маъмулӣ эҷоди барномаро дар бар мегирад маҷмӯи бехатарии худро ҷамъ кунед ки ба таври худкор тамоми қоидаҳоро дар папка мехонад ва онҳоро ба директорияи таҳлилӣ татбиқ мекунад.

Ин намуди асбобҳои хонагӣ одатан бо сохтори оддии директория кор мекунанд: як ҷузвдон барои қоидаҳое, ки аз Интернет бор карда шудаанд (масалан, "rulesyar") ва папкаи дигар барои файлҳои шубҳанок бояд таҳлил карда шаванд (масалан, “зараровар”). Вақте ки барнома оғоз меёбад, он мавҷудияти ҳарду ҷузвдонҳоро тафтиш мекунад, қоидаҳоро дар экран номбар мекунад ва барои иҷро омода мешавад.

Вақте ки шумо тугмаи монанди "Тафтишро оғоз кунедБаъдан барнома барномаи иҷрошавандаи YARA-ро бо параметрҳои дилхоҳ оғоз мекунад: сканкунии ҳамаи файлҳои ҷузвдон, таҳлили рекурсивии зеркаталогҳо, баровардани омор, чопи метамаълумотҳо ва ғайра. Ҳама гуна мувофиқатҳо дар равзанаи натиҷаҳо нишон дода мешаванд, ки кадом файл ба кадом қоида мувофиқат мекунад.

Ин ҷараёни корӣ имкон медиҳад, масалан, ошкор кардани мушкилот дар маҷмӯи мактубҳои содиротӣ. Тасвирҳои дарунсохташудаи зараровар, замимаҳои хатарнок ё веб-шеллҳои дар файлҳои ба назар безарар пинҳоншудаБисёре аз тафтишоти судӣ дар муҳити корпоративӣ маҳз ба ин навъи механизм такя мекунанд.

Дар мавриди параметрҳои муфидтарин ҳангоми даъват кардани YARA, вариантҳои зерин фарқ мекунанд: -r барои ҷустуҷӯи рекурсивӣ, -S барои намоиши омор, -m барои истихроҷи метамаълумот ва -w барои нодида гирифтани огоҳиҳоБо муттаҳид кардани ин парчамҳо шумо метавонед рафторро ба ҳолати худ танзим кунед: аз таҳлили зуд дар феҳристи мушаххас то сканкунии пурраи сохтори ҷузвдони мураккаб.

Таҷрибаҳои беҳтарин ҳангоми навиштан ва нигоҳ доштани қоидаҳои YARA

Барои он ки анбори қоидаҳои шумо ба як бесарусомонии идоранашаванда табдил ёбад, тавсия дода мешавад, ки як қатор таҷрибаҳои беҳтаринро истифода баред. Аввалин кор бо қолабҳои мувофиқ ва конвенсияҳои номгузорӣ астто ки ҳар як таҳлилгар дар як нигоҳ фаҳмад, ки ҳар як қоида чӣ кор мекунад.

Бисёр дастаҳо формати стандартиро қабул мекунанд, ки дар бар мегирад сарлавҳа бо метамаълумот, барчаспҳое, ки намуди таҳдид, актёр ё платформаро нишон медиҳанд ва тавсифи дақиқи он чизе, ки ошкор мешавадИн на танҳо дар дохили кишвар, балки ҳангоми мубодилаи қоидаҳо бо ҷомеа ё саҳмгузорӣ дар анборҳои ҷамъиятӣ низ кӯмак мекунад.

Тавсияи дигар ин аст, ки ҳамеша дар хотир доред ЯРА танҳо як қабати дигари дифоъ астОн нармафзори антивирус ё EDR-ро иваз намекунад, балки онҳоро дар стратегияҳо пурра мекунад Компютери Windows-и худро муҳофизат кунедИдеалӣ, YARA бояд дар доираи васеътари истинодҳо, ба монанди чаҳорчӯбаи NIST мувофиқат кунад, ки он инчунин ба муайянкунии дороиҳо, муҳофизат, ошкор, вокуниш ва барқарорсозӣ муроҷиат мекунад.

Аз нуктаи назари техникй ба он меарзад, ки ба он вакт сарф кунем аз мусбатҳои бардурӯғ канорагирӣ кунедИн аз канорагирӣ аз сатрҳои аз ҳад умумӣ, омезиши якчанд шартҳо ва истифодаи операторҳо ба монанди хамаи o ҳар кадоме аз Сари худро истифода баред ва аз хусусиятҳои сохтории файл истифода баред. Чӣ қадаре ки мантиқи рафтори нармафзори зараровар мушаххастар бошад, ҳамон қадар беҳтар аст.

Ниҳоят, интизомро риоя кунед нусхабардорӣ ва баррасии давравӣ Муҳим аст. Оилаҳои нармафзори зараровар таҳаввул меёбанд, нишондиҳандаҳо тағир меёбанд ва қоидаҳое, ки имрӯз кор мекунанд, метавонанд кӯтоҳ ё кӯҳна шаванд. Барраси ва такмил додани муқаррароти шумо давра ба давра як қисми бозии гурба ва муши киберамният мебошад.

Ҷамъияти YARA ва захираҳои дастрас

Яке аз сабабҳои асосии то ба имрӯз омадани YARA ин қудрати ҷомеаи он аст. Тадқиқотчиён, ширкатҳои амниятӣ ва гурӯҳҳои вокуниш аз саросари ҷаҳон пайваста қоидаҳо, мисолҳо ва ҳуҷҷатҳоро мубодила мекунанд.ба вучуд овардани экосистемаи хеле бой.

Нуқтаи асосии истинод ин аст Анбори расмии YARA дар GitHubДар он ҷо шумо версияҳои охирини асбоб, рамзи сарчашма ва истинод ба ҳуҷҷатҳоро хоҳед ёфт. Аз он ҷо шумо метавонед пешрафти лоиҳаро пайгирӣ кунед, мушкилотро гузориш диҳед ё агар хоҳед, ба беҳбудиҳо саҳм гузоред.

Ҳуҷҷатҳои расмӣ, ки дар платформаҳо ба монанди ReadTheDocs дастрасанд, пешниҳод мекунанд дастури мукаммали синтаксис, модулҳои дастрас, мисолҳои қоида ва истинодҳои истифодаИн як манбаи муҳим барои истифода аз вазифаҳои пешрафта, ба монанди санҷиши PE, ELF, қоидаҳои хотира ё ҳамгироӣ бо дигар абзорҳо мебошад.

Илова бар ин, анборҳои ҷамъиятии қоидаҳо ва имзоҳои YARA мавҷуданд, ки дар он таҳлилгарон аз тамоми ҷаҳон Онҳо маҷмӯаҳо ё маҷмӯаҳои барои истифода омодаро нашр мекунанд, ки метавонанд ба ниёзҳои шумо мутобиқ карда шаванд.Ин анборҳо маъмулан қоидаҳоро барои оилаҳои мушаххаси нармафзори зараровар, маҷмӯаҳои истисмор, абзорҳои ғайриқонунӣ истифодашавандаи пентестинг, веб-шеллҳо, криптоминерҳо ва ғайраро дар бар мегиранд.

Дар баробари ин, бисёр истеҳсолкунандагон ва гурӯҳҳои тадқиқотӣ пешниҳод мекунанд Омӯзиши мушаххас дар YARA, аз сатҳҳои асосӣ то курсҳои хеле пешрафтаИн ташаббусҳо аксар вақт лабораторияҳои виртуалӣ ва машқҳои амалӣ дар асоси сенарияҳои воқеиро дар бар мегиранд. Баъзеҳо ҳатто ба созмонҳои ғайритиҷоратӣ ё созмонҳое, ки ба ҳамлаҳои ҳадафманд осебпазиранд, ройгон пешниҳод карда мешаванд.

Ин тамоми экосистема маънои онро дорад, ки бо як садоқати андаке шумо метавонед аз навиштани қоидаҳои аввалини асосии худ то гузаред таҳияи сюитҳои мураккаб, ки қодир ба пайгирии маъракаҳои мураккаб ва ошкор кардани таҳдидҳои бесобиқа мебошандВа бо омезиши YARA бо антивируси анъанавӣ, нусхабардории бехатар ва иктишофи таҳдид, шумо корҳоро барои фаъолони бадқасд дар интернет роуминг мекунанд, хеле душвор мегардонед.

Бо ҳамаи гуфтаҳои дар боло зикршуда, маълум аст, ки YARA аз як утилитаи оддии сатри фармонӣ бештар аст: он порчаи асосӣ дар ҳама гуна стратегияи пешрафтаи ошкор кардани нармафзори зараровар, як воситаи фасењ, ки ба тарзи тафаккури шумо ҳамчун таҳлилгар ва забони умумӣ ки лабораторияҳо, SOCҳо ва ҷомеаҳои тадқиқотиро дар саросари ҷаҳон мепайвандад ва ба ҳар як қоидаи нав имкон медиҳад, ки як қабати дигари муҳофизатро аз маъракаҳои торафт мураккабтар илова кунад.