วิธีใช้ YARA เพื่อตรวจจับมัลแวร์ขั้นสูง

¿จะใช้ YARA เพื่อตรวจจับมัลแวร์ขั้นสูงได้อย่างไร เมื่อโปรแกรมป้องกันไวรัสแบบดั้งเดิมถึงขีดจำกัดและผู้โจมตีสามารถลอดผ่านทุกช่องโหว่ที่เป็นไปได้ เครื่องมือที่กลายมาเป็นสิ่งที่ขาดไม่ได้ในห้องปฏิบัติการตอบสนองต่อเหตุการณ์จึงเข้ามามีบทบาท: YARA “มีดสวิส” สำหรับการล่ามัลแวร์ได้รับการออกแบบมาเพื่ออธิบายกลุ่มของซอฟต์แวร์ที่เป็นอันตรายโดยใช้รูปแบบข้อความและไบนารี ทำให้สามารถทำได้มากกว่าการจับคู่แฮชแบบธรรมดา

ในมือที่ถูกต้อง YARA ไม่ได้มีไว้แค่ค้นหา ไม่เพียงแต่ตัวอย่างมัลแวร์ที่รู้จักเท่านั้น แต่ยังรวมถึงรูปแบบใหม่ ช่องโหว่แบบซีโร่เดย์ และแม้แต่เครื่องมือโจมตีเชิงพาณิชย์อีกด้วยในบทความนี้ เราจะเจาะลึกและเจาะลึกถึงวิธีการใช้ YARA เพื่อตรวจจับมัลแวร์ขั้นสูง วิธีการเขียนกฎที่แข็งแกร่ง วิธีทดสอบกฎ วิธีการรวมกฎเข้ากับแพลตฟอร์มเช่น Veeam หรือเวิร์กโฟลว์การวิเคราะห์ของคุณเอง และแนวทางปฏิบัติที่ดีที่สุดที่ชุมชนมืออาชีพปฏิบัติตาม

YARA คืออะไร และเหตุใดจึงสามารถตรวจจับมัลแวร์ได้อย่างมีประสิทธิภาพ?

YARA ย่อมาจาก “Yet Another Recursive Acronym” และกลายเป็นมาตรฐานโดยพฤตินัยในการวิเคราะห์ภัยคุกคามเนื่องจาก ช่วยให้สามารถอธิบายกลุ่มมัลแวร์ได้โดยใช้กฎเกณฑ์ที่อ่านได้ ชัดเจน และมีความยืดหยุ่นสูงแทนที่จะพึ่งพาลายเซ็นป้องกันไวรัสแบบคงที่เพียงอย่างเดียว YARA ทำงานกับรูปแบบที่คุณกำหนดขึ้นเอง

แนวคิดพื้นฐานนั้นเรียบง่าย: กฎ YARA จะตรวจสอบไฟล์ (หรือหน่วยความจำ หรือสตรีมข้อมูล) และตรวจสอบว่าตรงตามเงื่อนไขชุดหนึ่งหรือไม่ เงื่อนไขตามสตริงข้อความ ลำดับเลขฐานสิบหก นิพจน์ทั่วไป หรือคุณสมบัติไฟล์หากตรงตามเงื่อนไข จะถือว่า "ตรงกัน" และคุณสามารถแจ้งเตือน บล็อค หรือดำเนินการวิเคราะห์เชิงลึกเพิ่มเติมได้

แนวทางนี้ช่วยให้ทีมงานรักษาความปลอดภัย ระบุและจำแนกมัลแวร์ทุกประเภท: ไวรัสคลาสสิก เวิร์ม โทรจัน แรนซัมแวร์ เว็บเชลล์ คริปโตไมเนอร์ มาโครที่เป็นอันตราย และอื่นๆ อีกมากมายไม่จำกัดเฉพาะนามสกุลไฟล์หรือรูปแบบใดรูปแบบหนึ่ง จึงสามารถตรวจจับไฟล์ปฏิบัติการปลอมที่มีนามสกุล .pdf หรือไฟล์ HTML ที่มีเว็บเชลล์ได้ด้วย

นอกจากนี้ YARA ยังถูกรวมเข้ากับบริการและเครื่องมือหลักๆ มากมายของระบบนิเวศความปลอดภัยทางไซเบอร์แล้ว: VirusTotal, แซนด์บ็อกซ์เช่น Cuckoo, แพลตฟอร์มสำรองข้อมูลเช่น Veeam หรือโซลูชันการล่าภัยคุกคามจากผู้ผลิตชั้นนำดังนั้นการเชี่ยวชาญ YARA จึงแทบจะกลายเป็นสิ่งจำเป็นสำหรับนักวิเคราะห์และนักวิจัยขั้นสูง

กรณีการใช้งานขั้นสูงของ YARA ในการตรวจจับมัลแวร์

จุดแข็งประการหนึ่งของ YARA คือสามารถปรับตัวให้เข้ากับสถานการณ์ด้านความปลอดภัยต่างๆ ได้อย่างคล่องตัว ตั้งแต่ SOC จนถึงแล็บมัลแวร์ กฎเดียวกันนี้ใช้กับการล่าครั้งเดียวและการติดตามอย่างต่อเนื่อง.

กรณีที่ตรงที่สุดเกี่ยวข้องกับการสร้าง กฎเฉพาะสำหรับมัลแวร์เฉพาะหรือทั้งครอบครัวหากองค์กรของคุณถูกโจมตีโดยแคมเปญที่อิงตามกลุ่มที่รู้จัก (เช่น โทรจันการเข้าถึงระยะไกลหรือภัยคุกคาม APT) คุณสามารถกำหนดโปรไฟล์ของสตริงและรูปแบบลักษณะเฉพาะ และสร้างกฎเกณฑ์ที่ระบุตัวอย่างที่เกี่ยวข้องใหม่ๆ ได้อย่างรวดเร็ว

การใช้งานคลาสสิกอีกประการหนึ่งคือการเน้นที่ YARA ตามลายเซ็นกฎเหล่านี้ออกแบบมาเพื่อค้นหาแฮช สตริงข้อความเฉพาะเจาะจง โค้ดสั้นๆ คีย์รีจิสทรี หรือแม้แต่ลำดับไบต์เฉพาะที่ซ้ำกันในมัลแวร์ตัวเดียวกันหลายเวอร์ชัน อย่างไรก็ตาม โปรดทราบว่าหากคุณค้นหาเฉพาะสตริงเล็กๆ น้อยๆ คุณอาจเสี่ยงต่อการเกิดผลลัพธ์บวกลวง

YARA ยังโดดเด่นในเรื่องของการกรองด้วย ประเภทไฟล์หรือลักษณะโครงสร้างเป็นไปได้ที่จะสร้างกฎเกณฑ์ที่ใช้กับไฟล์ปฏิบัติการ PE เอกสารสำนักงาน PDF หรือรูปแบบอื่นๆ เกือบทั้งหมด โดยการรวมสตริงกับคุณสมบัติ เช่น ขนาดไฟล์ ส่วนหัวที่เจาะจง (เช่น 0x5A4D สำหรับไฟล์ปฏิบัติการ PE) หรือการนำเข้าฟังก์ชันที่น่าสงสัย

ในสภาพแวดล้อมสมัยใหม่ การใช้เชื่อมโยงกับ inteligencia de amenazasคลังข้อมูลสาธารณะ รายงานการวิจัย และฟีด IOC จะถูกแปลงเป็นกฎ YARA ที่รวมเข้ากับ SIEM, EDR, แพลตฟอร์มสำรองข้อมูล หรือแซนด์บ็อกซ์ ซึ่งช่วยให้องค์กรสามารถ ตรวจจับภัยคุกคามที่เกิดขึ้นใหม่ซึ่งมีลักษณะร่วมกับแคมเปญที่วิเคราะห์แล้วได้อย่างรวดเร็ว.

ทำความเข้าใจเกี่ยวกับไวยากรณ์ของกฎ YARA

โครงสร้างทางไวยากรณ์ของ YARA ค่อนข้างคล้ายกับ C แต่มีความเรียบง่ายกว่าและมุ่งเน้นมากกว่า กฎแต่ละข้อประกอบด้วยชื่อ ส่วนเมตาข้อมูลเสริม ส่วนสตริง และส่วนเงื่อนไขอย่างแน่นอนจากนี้ไป พลังจะอยู่ที่ว่าคุณจะรวมสิ่งทั้งหมดนั้นเข้าด้วยกันได้อย่างไร

Lo primero es el ชื่อกฎจะต้องอยู่หลังคีย์เวิร์ดทันที rule (o ไม้บรรทัด หากคุณจัดทำเอกสารเป็นภาษาสเปน แม้ว่าคำสำคัญในไฟล์จะเป็น ruleและต้องเป็นรหัสประจำตัวที่ถูกต้อง: ไม่มีช่องว่าง ไม่มีตัวเลข และไม่มีเครื่องหมายขีดล่าง ควรปฏิบัติตามแบบแผนที่ชัดเจน เช่น มัลแวร์_แฟมิลี่_ตัวแปร o เครื่องมือ APT_Actor_Toolซึ่งช่วยให้คุณระบุได้ในทันทีว่าต้องการตรวจจับอะไร

ต่อไปก็มาถึงส่วน stringsซึ่งคุณจะกำหนดรูปแบบที่ต้องการค้นหาได้ ที่นี่คุณสามารถเลือกใช้รูปแบบหลักได้สามแบบ: สตริงข้อความ ลำดับเลขฐานสิบหก และนิพจน์ทั่วไปสตริงข้อความเหมาะอย่างยิ่งสำหรับโค้ดสั้นๆ ที่มนุษย์สามารถอ่านได้, URL, ข้อความภายใน, ชื่อพาธ หรือ PDB เลขฐานสิบหกช่วยให้คุณสามารถบันทึกรูปแบบไบต์ดิบ ซึ่งมีประโยชน์มากเมื่อโค้ดถูกทำให้คลุมเครือแต่ยังคงรักษาลำดับคงที่บางอย่างไว้

นิพจน์ทั่วไปให้ความยืดหยุ่นเมื่อคุณต้องการครอบคลุมการเปลี่ยนแปลงเล็กๆ น้อยๆ ในสตริง เช่น การเปลี่ยนโดเมนหรือส่วนโค้ดที่เปลี่ยนแปลงเล็กน้อย นอกจากนี้ ทั้งสตริงและ regex ยังอนุญาตให้มีการ escape เพื่อแสดงไบต์ตามต้องการซึ่งเปิดประตูสู่รูปแบบไฮบริดที่แม่นยำมาก

ส่วนนั้น condition เป็นเพียงคำสั่งบังคับเดียว และกำหนดว่าเมื่อใดที่กฎจะถือว่า "ตรงกัน" กับไฟล์ ณ จุดนี้ คุณจะใช้การดำเนินการแบบบูลีนและเลขคณิต (และ, หรือ, ไม่, +, -, *, /, ใด ๆ, ทั้งหมด, มี, ฯลฯ) เพื่อแสดงตรรกะการตรวจจับที่ละเอียดกว่าการถามแบบง่ายๆ ว่า "ถ้าสตริงนี้ปรากฏขึ้น"

ตัวอย่างเช่น คุณสามารถระบุให้กฎนั้นถูกต้องได้เฉพาะเมื่อไฟล์มีขนาดเล็กกว่าขนาดที่กำหนด หากสตริงที่สำคัญทั้งหมดปรากฏขึ้น หรือมีสตริงอย่างน้อยหนึ่งรายการอยู่ คุณสามารถรวมเงื่อนไขต่างๆ เช่น ความยาวของสตริง จำนวนการจับคู่ ออฟเซ็ตเฉพาะในไฟล์ หรือขนาดของไฟล์นั้นเองได้ด้วยความคิดสร้างสรรค์ที่นี่ทำให้เกิดความแตกต่างระหว่างกฎทั่วไปและการตรวจจับทางการผ่าตัด

ในที่สุดคุณก็มีส่วนเสริมแล้ว metaเหมาะสำหรับการบันทึกช่วงเวลา โดยทั่วไปจะรวม ผู้เขียน, วันที่สร้าง, คำอธิบาย, เวอร์ชันภายใน, การอ้างอิงถึงรายงานหรือตั๋ว และโดยทั่วไปข้อมูลใดๆ ที่ช่วยจัดระเบียบและช่วยให้นักวิเคราะห์คนอื่นๆ เข้าใจข้อมูลที่จัดเก็บได้

ตัวอย่างการปฏิบัติของกฎ YARA ขั้นสูง

หากจะพิจารณาสิ่งที่กล่าวมาทั้งหมดข้างต้น จะเป็นประโยชน์หากดูว่ากฎง่ายๆ มีโครงสร้างอย่างไร และกฎจะซับซ้อนมากขึ้นอย่างไรเมื่อต้องใช้ไฟล์ปฏิบัติการ การนำเข้าที่น่าสงสัย หรือลำดับคำสั่งที่ซ้ำกัน มาเริ่มด้วยไม้บรรทัดของเล่นก่อนแล้วค่อยๆ เพิ่มขนาดขึ้น.

กฎขั้นต่ำสามารถมีได้เพียงสตริงและเงื่อนไขที่กำหนดให้เป็นข้อบังคับ ตัวอย่างเช่น คุณสามารถค้นหาสตริงข้อความเฉพาะหรือลำดับไบต์ที่เป็นตัวแทนของส่วนของมัลแวร์ เงื่อนไขในกรณีนั้นจะระบุเพียงว่ากฎจะได้รับการบรรลุหากสตริงหรือรูปแบบนั้นปรากฏขึ้นโดยไม่ต้องกรองเพิ่มเติม

อย่างไรก็ตาม ในการตั้งค่าโลกแห่งความเป็นจริง สิ่งนี้ยังไม่ถึงเกณฑ์ เนื่องจาก โซ่ที่เรียบง่ายมักจะสร้างผลบวกปลอมจำนวนมากนั่นเป็นเหตุว่าทำไมจึงมักรวมสตริงหลายตัว (ข้อความและเลขฐานสิบหก) พร้อมข้อจำกัดเพิ่มเติม เช่น ไฟล์ต้องมีขนาดไม่เกินที่กำหนด มีส่วนหัวที่เฉพาะเจาะจง หรือเปิดใช้งานเฉพาะเมื่อพบสตริงอย่างน้อยหนึ่งตัวจากแต่ละกลุ่มที่กำหนดเท่านั้น

ตัวอย่างทั่วไปในการวิเคราะห์ปฏิบัติการ PE เกี่ยวข้องกับการนำเข้าโมดูล pe จาก YARA ซึ่งช่วยให้คุณสามารถสอบถามคุณสมบัติภายในของไบนารีได้ เช่น ฟังก์ชันที่นำเข้า ส่วนต่างๆ ไทม์สแตมป์ ฯลฯ กฎขั้นสูงอาจกำหนดให้ไฟล์ต้องนำเข้า สร้างกระบวนการ จาก Kernel32.dll และฟังก์ชั่น HTTP บางส่วนจาก wininet.dllนอกจากจะมีข้อความเฉพาะที่บ่งบอกถึงพฤติกรรมที่เป็นอันตรายแล้ว

ตรรกะประเภทนี้เหมาะสำหรับการค้นหาตำแหน่ง โทรจันที่มีความสามารถในการเชื่อมต่อหรือแยกข้อมูลระยะไกลแม้ว่าชื่อไฟล์หรือเส้นทางจะเปลี่ยนจากแคมเปญหนึ่งไปอีกแคมเปญหนึ่งก็ตาม สิ่งสำคัญคือการมุ่งเน้นไปที่พฤติกรรมพื้นฐาน เช่น การสร้างกระบวนการ คำขอ HTTP การเข้ารหัส การคงอยู่ ฯลฯ

เทคนิคที่มีประสิทธิผลอีกประการหนึ่งคือการดู ลำดับคำสั่งที่ทำซ้ำ ระหว่างตัวอย่างจากตระกูลเดียวกัน แม้ว่าผู้โจมตีจะแพ็กเกจหรือทำให้ไบนารีนั้นคลุมเครือ พวกเขาก็มักจะนำส่วนของโค้ดที่เปลี่ยนแปลงได้ยากกลับมาใช้ซ้ำ หากหลังจากการวิเคราะห์แบบคงที่แล้ว คุณพบบล็อกคำสั่งคงที่ คุณสามารถกำหนดกฎได้ด้วย ไวด์การ์ดในสตริงเลขฐานสิบหก ที่จับรูปแบบนั้นในขณะที่ยังคงรักษาความคลาดเคลื่อนบางอย่างไว้

ด้วยกฎ "ตามพฤติกรรมของโค้ด" เหล่านี้ เป็นไปได้ ติดตามแคมเปญมัลแวร์ทั้งหมด เช่น PlugX/Korplug หรือกลุ่ม APT อื่นๆคุณไม่เพียงแต่ตรวจจับแฮชที่เฉพาะเจาะจงเท่านั้น แต่คุณยังตามสไตล์การพัฒนาของผู้โจมตีอีกด้วย

การใช้ YARA ในแคมเปญจริงและภัยคุกคามแบบ Zero-day

YARA ได้พิสูจน์คุณค่าของตนเองแล้ว โดยเฉพาะอย่างยิ่งในด้านภัยคุกคามขั้นสูงและการโจมตีแบบ zero-day ซึ่งกลไกการป้องกันแบบคลาสสิกมาช้าเกินไป ตัวอย่างที่รู้จักกันดีคือการใช้ YARA เพื่อค้นหาช่องโหว่ใน Silverlight จากข้อมูลข่าวกรองที่รั่วไหลเพียงเล็กน้อย.

ในกรณีนั้น จากอีเมลที่ขโมยมาจากบริษัทที่ทุ่มเทให้กับการพัฒนาเครื่องมือโจมตี ได้มีการสรุปรูปแบบที่เพียงพอเพื่อสร้างกฎที่มุ่งเน้นไปที่การโจมตีที่เฉพาะเจาะจง ด้วยกฎเพียงข้อเดียว นักวิจัยสามารถติดตามตัวอย่างผ่านไฟล์ที่น่าสงสัยมากมายได้ระบุช่องโหว่และบังคับใช้การแก้ไขเพื่อป้องกันความเสียหายที่ร้ายแรงกว่านี้มาก

เรื่องราวประเภทนี้แสดงให้เห็นว่า YARA สามารถทำหน้าที่เป็น ตาข่ายจับปลาในทะเลไฟล์ลองนึกภาพเครือข่ายองค์กรของคุณเป็นมหาสมุทรที่เต็มไปด้วย "ปลา" (ไฟล์) นานาชนิด กฎของคุณเปรียบเสมือนช่องในอวนลาก แต่ละช่องจะเก็บปลาที่มีลักษณะเฉพาะเฉพาะ

เมื่อคุณลากเสร็จแล้วคุณจะมี ตัวอย่างที่จัดกลุ่มตามความคล้ายคลึงกับครอบครัวหรือกลุ่มผู้โจมตีที่เฉพาะเจาะจง: “คล้ายกับสายพันธุ์ X”, “คล้ายกับสายพันธุ์ Y” เป็นต้น ตัวอย่างบางส่วนเหล่านี้อาจเป็นตัวอย่างใหม่สำหรับคุณโดยสิ้นเชิง (ไบนารีใหม่ แคมเปญใหม่) แต่ตัวอย่างเหล่านี้จะพอดีกับรูปแบบที่ทราบอยู่แล้ว ซึ่งจะช่วยเร่งการจำแนกและการตอบสนองของคุณ

เพื่อให้ได้ประโยชน์สูงสุดจาก YARA ในบริบทนี้ องค์กรต่างๆ จำนวนมากจึงรวมเข้าด้วยกัน การฝึกอบรมขั้นสูง ห้องปฏิบัติการภาคปฏิบัติ และสภาพแวดล้อมการทดลองที่ควบคุมมีหลักสูตรเฉพาะทางมากมายที่มุ่งเน้นเฉพาะด้านการเขียนกฎที่ดี โดยมักจะอิงจากกรณีจริงของการจารกรรมทางไซเบอร์ ซึ่งนักเรียนจะได้ฝึกฝนกับตัวอย่างจริงและเรียนรู้ที่จะค้นหา "บางสิ่ง" แม้ว่าพวกเขาจะไม่รู้ว่ากำลังมองหาอะไรแน่ชัดก็ตาม

บูรณาการ YARA เข้ากับแพลตฟอร์มการสำรองข้อมูลและการกู้คืน

พื้นที่หนึ่งที่ YARA เข้ากันได้อย่างลงตัวและมักถูกมองข้ามไปก็คือการปกป้องการสำรองข้อมูล หากการสำรองข้อมูลติดมัลแวร์หรือแรนซัมแวร์ การคืนค่าสามารถเริ่มแคมเปญทั้งหมดใหม่ได้นั่นเป็นสาเหตุที่ผู้ผลิตบางรายจึงรวมเครื่องยนต์ YARA เข้ากับโซลูชันของตนโดยตรง

สามารถเปิดตัวแพลตฟอร์มสำรองข้อมูลรุ่นถัดไปได้ เซสชันการวิเคราะห์ตามกฎ YARA บนจุดคืนค่าเป้าหมายมีสองประการ: เพื่อค้นหาจุด "สะอาด" สุดท้ายก่อนที่จะเกิดเหตุการณ์ และเพื่อตรวจจับเนื้อหาอันตรายที่ซ่อนอยู่ในไฟล์ที่อาจไม่ได้เกิดจากการตรวจสอบอื่น

ในสภาพแวดล้อมเหล่านี้ กระบวนการทั่วไปเกี่ยวข้องกับการเลือกตัวเลือกของ "สแกนจุดคืนค่าด้วยไม้บรรทัด YARA"ระหว่างการกำหนดค่างานวิเคราะห์ ขั้นต่อไปคือการกำหนดเส้นทางไปยังไฟล์กฎ (โดยปกติจะมีนามสกุล .yara หรือ .yar) ซึ่งโดยทั่วไปจะเก็บไว้ในโฟลเดอร์กำหนดค่าเฉพาะสำหรับโซลูชันการสำรองข้อมูล"

ในระหว่างการดำเนินการ เครื่องยนต์จะวนซ้ำผ่านวัตถุที่มีอยู่ในสำเนา ใช้กฎ และ บันทึกการแข่งขันทั้งหมดลงในบันทึกการวิเคราะห์ YARA ที่เฉพาะเจาะจงผู้ดูแลระบบสามารถดูบันทึกเหล่านี้จากคอนโซล ตรวจสอบสถิติ ดูไฟล์ที่ทำให้เกิดการแจ้งเตือน และแม้กระทั่งติดตามเครื่องและวันที่ที่ตรงกันแต่ละรายการ

การบูรณาการนี้ได้รับการเสริมด้วยกลไกอื่น ๆ เช่น การตรวจจับความผิดปกติ การตรวจสอบขนาดการสำรองข้อมูล การค้นหา IOC เฉพาะ หรือการวิเคราะห์เครื่องมือที่น่าสงสัยแต่เมื่อพูดถึงกฎที่ปรับแต่งให้เหมาะกับกลุ่มหรือแคมเปญแรนซัมแวร์โดยเฉพาะ YARA ถือเป็นเครื่องมือที่ดีที่สุดสำหรับการปรับแต่งการค้นหานั้น

วิธีทดสอบและตรวจสอบกฎ YARA โดยไม่ทำลายเครือข่ายของคุณ

เมื่อคุณเริ่มเขียนกฎของตัวเอง ขั้นตอนสำคัญต่อไปคือการทดสอบกฎเหล่านั้นอย่างละเอียด กฎที่เข้มงวดเกินไปอาจทำให้เกิดผลบวกปลอมจำนวนมาก ในขณะที่กฎที่ผ่อนปรนเกินไปก็อาจทำให้ภัยคุกคามที่แท้จริงหลุดรอดไปได้ดังนั้นขั้นตอนการทดสอบจึงมีความสำคัญเท่ากับขั้นตอนการเขียน

ข่าวดีคือคุณไม่จำเป็นต้องติดตั้งแล็บที่เต็มไปด้วยมัลแวร์ที่ทำงานได้จริงและแพร่เชื้อไปทั่วทั้งเครือข่ายเพื่อทำสิ่งนี้ เพราะมีคลังข้อมูลและชุดข้อมูลที่ให้ข้อมูลนี้อยู่แล้ว ตัวอย่างมัลแวร์ที่รู้จักและควบคุมเพื่อวัตถุประสงค์ในการวิจัยคุณสามารถดาวน์โหลดตัวอย่างเหล่านั้นลงในสภาพแวดล้อมที่แยกไว้และใช้เป็นแหล่งทดสอบสำหรับกฎของคุณได้

แนวทางปกติคือเริ่มต้นด้วยการรัน YARA ในเครื่องจากบรรทัดคำสั่งกับไดเร็กทอรีที่มีไฟล์ที่น่าสงสัย หากกฎของคุณตรงตามที่ควรและแทบจะไม่ทำลายไฟล์ที่สะอาด แสดงว่าคุณมาถูกทางแล้วหากมีการกระตุ้นมากเกินไป แสดงว่าถึงเวลาต้องตรวจสอบสตริง ปรับปรุงเงื่อนไข หรือแนะนำข้อจำกัดเพิ่มเติม (ขนาด การนำเข้า ออฟเซ็ต ฯลฯ)

ประเด็นสำคัญอีกประการหนึ่งคือการตรวจสอบให้แน่ใจว่ากฎของคุณไม่กระทบต่อประสิทธิภาพ เมื่อสแกนไดเรกทอรีขนาดใหญ่ การสำรองข้อมูลแบบเต็ม หรือคอลเลกชันตัวอย่างขนาดใหญ่ กฎที่ปรับให้เหมาะสมไม่ดีอาจทำให้การวิเคราะห์ช้าลงหรือใช้ทรัพยากรมากกว่าที่ต้องการดังนั้นขอแนะนำให้วัดเวลา ลดความซับซ้อนของนิพจน์ และหลีกเลี่ยง regex ที่มีมากเกินไป

หลังจากผ่านขั้นตอนการทดสอบในห้องปฏิบัติการแล้ว คุณจะสามารถทำได้ ส่งเสริมกฎเกณฑ์สู่สภาพแวดล้อมการผลิตไม่ว่าจะอยู่ใน SIEM ระบบสำรองข้อมูล เซิร์ฟเวอร์อีเมล หรือที่ใดก็ตามที่คุณต้องการผสานรวมระบบเหล่านี้ และอย่าลืมรักษาวงจรการตรวจสอบอย่างต่อเนื่อง เพราะเมื่อแคมเปญมีการเปลี่ยนแปลง กฎของคุณก็จำเป็นต้องปรับเปลี่ยนเป็นระยะ

เครื่องมือ โปรแกรม และเวิร์กโฟลว์กับ YARA

นอกเหนือจากไบนารีอย่างเป็นทางการแล้ว ผู้เชี่ยวชาญจำนวนมากยังได้พัฒนาโปรแกรมและสคริปต์ขนาดเล็กที่ใช้ YARA เพื่อรองรับการใช้งานประจำวัน แนวทางทั่วไปเกี่ยวข้องกับการสร้างแอปพลิเคชันสำหรับ ประกอบชุดรักษาความปลอดภัยของคุณเอง ที่อ่านกฎทั้งหมดในโฟลเดอร์โดยอัตโนมัติและนำไปใช้กับไดเร็กทอรีการวิเคราะห์.

เครื่องมือทำเองประเภทนี้มักจะทำงานด้วยโครงสร้างไดเร็กทอรีที่เรียบง่าย: โฟลเดอร์หนึ่งสำหรับ กฎเกณฑ์ที่ดาวน์โหลดมาจากอินเทอร์เน็ต (เช่น “rulesyar”) และโฟลเดอร์อื่นสำหรับ ไฟล์ที่น่าสงสัยที่จะได้รับการวิเคราะห์ (ตัวอย่างเช่น "มัลแวร์") เมื่อโปรแกรมเริ่มทำงาน โปรแกรมจะตรวจสอบว่ามีทั้งสองโฟลเดอร์อยู่ แสดงรายการกฎบนหน้าจอ และเตรียมพร้อมสำหรับการดำเนินการ

เมื่อคุณกดปุ่มเช่น “เริ่มตรวจสอบจากนั้นแอปพลิเคชันจะเปิดไฟล์ปฏิบัติการ YARA ด้วยพารามิเตอร์ที่ต้องการ ได้แก่ การสแกนไฟล์ทั้งหมดในโฟลเดอร์ การวิเคราะห์แบบเรียกซ้ำของไดเรกทอรีย่อย การแสดงผลสถิติ การพิมพ์ข้อมูลเมตา ฯลฯ การจับคู่ใดๆ จะแสดงในหน้าต่างผลลัพธ์ โดยระบุว่าไฟล์ใดตรงกับกฎใด

เวิร์กโฟลว์นี้ช่วยให้สามารถตรวจจับปัญหาในอีเมลที่ส่งออกเป็นกลุ่มได้ รูปภาพฝังที่เป็นอันตราย ไฟล์แนบที่เป็นอันตราย หรือเว็บเชลล์ที่ซ่อนอยู่ในไฟล์ที่ดูเหมือนไม่เป็นอันตรายการสืบสวนนิติวิทยาศาสตร์จำนวนมากในสภาพแวดล้อมขององค์กรจะต้องอาศัยกลไกประเภทนี้โดยเฉพาะ

เมื่อพิจารณาถึงพารามิเตอร์ที่มีประโยชน์ที่สุดเมื่อเรียกใช้ YARA ตัวเลือกต่างๆ เช่นต่อไปนี้โดดเด่นออกมา: -r เพื่อค้นหาแบบเรียกซ้ำ -S เพื่อแสดงสถิติ -m เพื่อแยกข้อมูลเมตา และ -w เพื่อละเว้นคำเตือนการรวมแฟล็กเหล่านี้จะช่วยให้คุณปรับเปลี่ยนพฤติกรรมให้เหมาะกับกรณีของคุณได้ ตั้งแต่การวิเคราะห์อย่างรวดเร็วในไดเร็กทอรีที่ระบุไปจนถึงการสแกนโครงสร้างโฟลเดอร์ที่ซับซ้อนทั้งหมด

แนวทางปฏิบัติที่ดีที่สุดในการเขียนและดูแลรักษากฎ YARA

เพื่อป้องกันไม่ให้ที่เก็บกฎของคุณกลายเป็นความยุ่งเหยิงที่จัดการไม่ได้ ขอแนะนำให้ใช้แนวทางปฏิบัติที่ดีที่สุดชุดหนึ่ง ประการแรกคือการทำงานกับเทมเพลตและรูปแบบการตั้งชื่อที่สอดคล้องกันเพื่อให้นักวิเคราะห์สามารถเข้าใจได้ทันทีว่ากฎแต่ละข้อทำหน้าที่อย่างไร

หลายทีมใช้รูปแบบมาตรฐานที่รวมถึง ส่วนหัวที่มีข้อมูลเมตา แท็กที่ระบุประเภทภัยคุกคาม ผู้กระทำหรือแพลตฟอร์ม และคำอธิบายที่ชัดเจนเกี่ยวกับสิ่งที่ตรวจพบสิ่งนี้ช่วยไม่เพียงแต่ภายในเท่านั้น แต่ยังรวมถึงเมื่อคุณแบ่งปันกฎกับชุมชนหรือมีส่วนสนับสนุนในที่เก็บข้อมูลสาธารณะด้วย

คำแนะนำอีกประการหนึ่งคือให้จำไว้เสมอว่า YARA เป็นเพียงชั้นป้องกันอีกชั้นหนึ่งมันไม่ได้แทนที่ซอฟต์แวร์ป้องกันไวรัสหรือ EDR แต่เป็นการเสริมกลยุทธ์ให้กับซอฟต์แวร์เหล่านั้น ปกป้องพีซี Windows ของคุณในทางอุดมคติ YARA ควรจะเข้ากันได้กับกรอบงานอ้างอิงที่กว้างขึ้น เช่น กรอบงาน NIST ซึ่งยังกล่าวถึงการระบุสินทรัพย์ การป้องกัน การตรวจจับ การตอบสนอง และการกู้คืนอีกด้วย

จากมุมมองทางเทคนิคแล้ว ถือว่าคุ้มค่าที่จะอุทิศเวลาให้กับ evitar falsos positivosซึ่งเกี่ยวข้องกับการหลีกเลี่ยงสตริงทั่วไปมากเกินไป การรวมเงื่อนไขหลายๆ อย่าง และการใช้ตัวดำเนินการ เช่น all of o any of ใช้ความคิดของคุณและใช้ประโยชน์จากคุณสมบัติโครงสร้างของไฟล์ ยิ่งตรรกะที่เกี่ยวข้องกับพฤติกรรมของมัลแวร์มีความเฉพาะเจาะจงมากเท่าไหร่ก็ยิ่งดีเท่านั้น

สุดท้ายนี้ ให้รักษาวินัยของ การกำหนดเวอร์ชันและการทบทวนเป็นระยะ สิ่งสำคัญอย่างยิ่งคือ ตระกูลมัลแวร์มีวิวัฒนาการ ตัวบ่งชี้เปลี่ยนแปลง และกฎเกณฑ์ที่ใช้ได้ผลในปัจจุบันอาจไม่เพียงพอหรือล้าสมัย การตรวจสอบและปรับปรุงชุดกฎเกณฑ์ของคุณเป็นระยะๆ เป็นส่วนหนึ่งของเกมแมวไล่หนูแห่งความมั่นคงปลอดภัยทางไซเบอร์

ชุมชน YARA และทรัพยากรที่มีอยู่

เหตุผลหลักประการหนึ่งที่ทำให้ YARA ก้าวมาได้ไกลขนาดนี้ก็คือความเข้มแข็งของชุมชน นักวิจัย บริษัทด้านความปลอดภัย และทีมตอบสนองจากทั่วโลกต่างแบ่งปันกฎ ตัวอย่าง และเอกสารอย่างต่อเนื่องสร้างระบบนิเวศที่อุดมสมบูรณ์อย่างยิ่ง

จุดอ้างอิงหลักคือ ที่เก็บข้อมูลอย่างเป็นทางการของ YARA บน GitHubคุณจะพบเครื่องมือเวอร์ชันล่าสุด ซอร์สโค้ด และลิงก์ไปยังเอกสารประกอบ จากนั้นคุณสามารถติดตามความคืบหน้าของโครงการ รายงานปัญหา หรือร่วมปรับปรุงได้หากต้องการ

เอกสารอย่างเป็นทางการซึ่งมีอยู่ในแพลตฟอร์มต่างๆ เช่น ReadTheDocs นำเสนอ คู่มือไวยากรณ์ที่สมบูรณ์ โมดูลที่มี ตัวอย่างกฎ และการอ้างอิงการใช้งานเป็นทรัพยากรที่จำเป็นสำหรับการใช้ประโยชน์จากฟังก์ชันขั้นสูงที่สุด เช่น การตรวจสอบ PE, ELF, กฎหน่วยความจำ หรือการบูรณาการกับเครื่องมืออื่นๆ

นอกจากนี้ ยังมีคลังข้อมูลกฎและลายเซ็นของ YARA ของชุมชน ซึ่งนักวิเคราะห์จากทั่วโลก พวกเขาเผยแพร่คอลเลกชันพร้อมใช้งานหรือคอลเลกชันที่สามารถปรับให้เหมาะกับความต้องการของคุณได้โดยทั่วไปที่เก็บข้อมูลเหล่านี้ประกอบด้วยกฎสำหรับมัลแวร์เฉพาะกลุ่ม ชุดเอ็กซ์พลอยต์ เครื่องมือทดสอบการเจาะระบบที่ใช้โดยเจตนาเป็นอันตราย เว็บเชลล์ โปรแกรมขุดคริปโต และอื่นๆ อีกมากมาย

ในขณะเดียวกัน ผู้ผลิตและกลุ่มวิจัยจำนวนมากก็เสนอ การฝึกอบรมเฉพาะที่ YARA ตั้งแต่ระดับพื้นฐานจนถึงหลักสูตรขั้นสูงโครงการริเริ่มเหล่านี้มักประกอบด้วยห้องปฏิบัติการเสมือนจริงและการฝึกปฏิบัติจริงที่อิงจากสถานการณ์จริง บางโครงการยังเสนอให้ฟรีแก่องค์กรไม่แสวงหาผลกำไรหรือหน่วยงานที่เสี่ยงต่อการถูกโจมตีแบบเจาะจงโดยเฉพาะ

ระบบนิเวศทั้งหมดนี้หมายความว่า ด้วยความทุ่มเทเพียงเล็กน้อย คุณสามารถก้าวไปจากการเขียนกฎพื้นฐานแรกของคุณไปเป็น พัฒนาชุดโปรแกรมที่ซับซ้อนซึ่งสามารถติดตามแคมเปญที่ซับซ้อนและตรวจจับภัยคุกคามที่ไม่เคยเกิดขึ้นมาก่อนและด้วยการรวม YARA เข้ากับโปรแกรมป้องกันไวรัสแบบดั้งเดิม การสำรองข้อมูลที่ปลอดภัย และข้อมูลเชิงลึกเกี่ยวกับภัยคุกคาม คุณจะทำให้การทำงานสำหรับผู้ไม่หวังดีที่สัญจรไปมาบนอินเทอร์เน็ตยากขึ้นอย่างมาก

จากทั้งหมดที่กล่าวมาข้างต้น ชัดเจนว่า YARA ไม่ได้เป็นเพียงแค่ยูทิลิตี้บรรทัดคำสั่งธรรมดาๆ เท่านั้น แต่ยังเป็น pieza clave ในกลยุทธ์การตรวจจับมัลแวร์ขั้นสูง เครื่องมือที่ยืดหยุ่นซึ่งปรับให้เข้ากับวิธีคิดของคุณในฐานะนักวิเคราะห์และ ภาษากลาง ที่เชื่อมโยงห้องปฏิบัติการ SOC และชุมชนการวิจัยทั่วโลก ช่วยให้กฎใหม่แต่ละข้อสามารถเพิ่มชั้นการป้องกันอีกชั้นหนึ่งต่อแคมเปญที่ซับซ้อนมากขึ้นเรื่อยๆ