جدید میلویئر کا پتہ لگانے کے لیے YARA کا استعمال کیسے کریں۔

¿جدید میلویئر کا پتہ لگانے کے لیے YARA کا استعمال کیسے کریں؟ جب روایتی اینٹی وائرس پروگرام اپنی حدوں کو پہنچ جاتے ہیں اور حملہ آور ہر ممکنہ شگاف سے پھسل جاتے ہیں، تو ایک ایسا ٹول جو واقعے کے ردعمل کی لیبز میں ناگزیر ہو گیا ہے: یارا، میلویئر کا شکار کرنے کے لیے "سوئس چاقو"متنی اور بائنری پیٹرن کا استعمال کرتے ہوئے بدنیتی پر مبنی سافٹ ویئر کے خاندانوں کو بیان کرنے کے لیے ڈیزائن کیا گیا، یہ سادہ ہیش مماثلت سے بہت آگے جانے کی اجازت دیتا ہے۔

دائیں ہاتھوں میں، یارا صرف تلاش کرنے کے لیے نہیں ہے۔ نہ صرف معلوم مالویئر کے نمونے، بلکہ نئی قسمیں، صفر دن کے کارنامے، اور یہاں تک کہ تجارتی جارحانہ ٹولز بھیاس آرٹیکل میں، ہم گہرائی سے اور عملی طور پر دریافت کریں گے کہ جدید میلویئر کا پتہ لگانے کے لیے YARA کو کیسے استعمال کیا جائے، مضبوط اصول کیسے لکھے جائیں، ان کی جانچ کیسے کی جائے، انہیں Veeam جیسے پلیٹ فارمز یا آپ کے اپنے تجزیاتی ورک فلو میں کیسے ضم کیا جائے، اور پیشہ ورانہ کمیونٹی کن بہترین طریقوں کی پیروی کرتی ہے۔

YARA کیا ہے اور یہ میلویئر کا پتہ لگانے میں اتنا طاقتور کیوں ہے؟

YARA کا مطلب ہے "ابھی ایک اور تکراری مخفف" اور خطرے کے تجزیے میں ایک حقیقی معیار بن گیا ہے کیونکہ یہ پڑھنے کے قابل، واضح، اور انتہائی لچکدار اصولوں کا استعمال کرتے ہوئے میلویئر خاندانوں کو بیان کرنے کی اجازت دیتا ہے۔صرف جامد اینٹی وائرس دستخطوں پر انحصار کرنے کے بجائے، YARA ان نمونوں کے ساتھ کام کرتا ہے جن کی آپ خود وضاحت کرتے ہیں۔

بنیادی خیال بہت سادہ ہے: YARA کا اصول فائل (یا میموری، یا ڈیٹا اسٹریم) کی جانچ کرتا ہے اور چیک کرتا ہے کہ آیا شرائط کا ایک سلسلہ پورا ہوا ہے۔ ٹیکسٹ سٹرنگز، ہیکساڈیسیمل سیکوینسز، ریگولر ایکسپریشنز، یا فائل کی خصوصیات پر مبنی شرائطاگر شرط پوری ہو جاتی ہے تو، ایک "میچ" ہے اور آپ الرٹ، بلاک، یا مزید گہرائی سے تجزیہ کر سکتے ہیں۔

یہ نقطہ نظر سیکورٹی ٹیموں کو اجازت دیتا ہے تمام اقسام کے مالویئر کی شناخت اور درجہ بندی کریں: کلاسک وائرس، کیڑے، ٹروجن، رینسم ویئر، ویب شیلز، کرپٹومائنر، نقصان دہ میکرو، اور بہت کچھیہ مخصوص فائل ایکسٹینشنز یا فارمیٹس تک محدود نہیں ہے، لہذا یہ .pdf ایکسٹینشن یا ویب شیل پر مشتمل ایچ ٹی ایم ایل فائل کے ساتھ بھیس میں ایگزیکیوٹیبل کا پتہ لگاتا ہے۔

مزید برآں، YARA پہلے ہی سائبرسیکیوریٹی ایکو سسٹم کی بہت سی کلیدی خدمات اور ٹولز میں ضم ہے: وائرس ٹوٹل، کوکی جیسے سینڈ باکسز، بیک اپ پلیٹ فارمز جیسے Veeam، یا اعلی درجے کے مینوفیکچررز سے خطرے کے شکار کے حللہذا، YARA میں مہارت حاصل کرنا ترقی یافتہ تجزیہ کاروں اور محققین کے لیے تقریباً ایک ضرورت بن گیا ہے۔

میلویئر کا پتہ لگانے میں YARA کے اعلی درجے کے استعمال کے معاملات

YARA کی ایک خوبی یہ ہے کہ یہ SOC سے لے کر میلویئر لیب تک متعدد حفاظتی منظرناموں کے لیے دستانے کی طرح ڈھل جاتا ہے۔ یکساں قاعدے ایک ہی شکار اور مسلسل نگرانی دونوں پر لاگو ہوتے ہیں۔.

سب سے براہ راست کیس تخلیق کرنا شامل ہے مخصوص مالویئر یا پورے خاندان کے لیے مخصوص اصولاگر آپ کی تنظیم پر کسی معروف خاندان پر مبنی مہم کے ذریعے حملہ کیا جا رہا ہے (مثال کے طور پر، ریموٹ ایکسیس ٹروجن یا APT خطرہ)، تو آپ خصوصیت کے تاروں اور نمونوں کی پروفائل کر سکتے ہیں اور ایسے قوانین کو بڑھا سکتے ہیں جو نئے متعلقہ نمونوں کی فوری شناخت کرتے ہیں۔

ایک اور کلاسک استعمال کی توجہ ہے یارا دستخطوں پر مبنی ہے۔یہ اصول ہیشز، بہت ہی مخصوص ٹیکسٹ سٹرنگز، کوڈ کے ٹکڑوں، رجسٹری کیز، یا یہاں تک کہ مخصوص بائٹ سیکوینسز کو تلاش کرنے کے لیے بنائے گئے ہیں جو ایک ہی میلویئر کے متعدد اقسام میں دہرائے جاتے ہیں۔ تاہم، ذہن میں رکھیں کہ اگر آپ صرف معمولی تاریں تلاش کرتے ہیں، تو آپ کو غلط مثبت پیدا ہونے کا خطرہ ہے۔

یارا بھی چمکتا ہے جب چھاننے کی بات آتی ہے۔ فائل کی اقسام یا ساختی خصوصیاتفائل سائز، مخصوص ہیڈرز (مثلاً، PE ایگزیکیوٹیبلز کے لیے 0x5A4D)، یا مشکوک فنکشن کی درآمدات جیسی خصوصیات کے ساتھ تاروں کو ملا کر PE ایگزیکیوٹیبلز، دفتری دستاویزات، PDFs، یا عملی طور پر کسی بھی فارمیٹ پر لاگو ہونے والے قوانین بنانا ممکن ہے۔

جدید ماحول میں، اس کے استعمال سے منسلک ہے خطرے کی انٹیلی جنسپبلک ریپوزٹریز، ریسرچ رپورٹس، اور IOC فیڈز کا ترجمہ YARA کے قواعد میں کیا جاتا ہے جو SIEM، EDR، بیک اپ پلیٹ فارمز، یا سینڈ باکسز میں ضم ہوتے ہیں۔ یہ تنظیموں کو اجازت دیتا ہے۔ تیزی سے ابھرتے ہوئے خطرات کا پتہ لگائیں جو پہلے سے تجزیہ شدہ مہمات کے ساتھ خصوصیات کا اشتراک کرتے ہیں۔.

YARA کے قواعد کی ترکیب کو سمجھنا

YARA کا نحو کافی حد تک C سے ملتا جلتا ہے، لیکن آسان اور زیادہ توجہ مرکوز انداز میں۔ ہر قاعدہ ایک نام، ایک اختیاری میٹا ڈیٹا سیکشن، ایک سٹرنگ سیکشن، اور لازمی طور پر ایک شرط سیکشن پر مشتمل ہوتا ہے۔یہاں سے، طاقت اس بات میں ہے کہ آپ ان سب کو کیسے یکجا کرتے ہیں۔

پہلا ہے اصول کا ناماسے کلیدی لفظ کے بالکل بعد جانا ہے۔ حکمرانی (o حکمران اگر آپ ہسپانوی میں دستاویز کرتے ہیں، حالانکہ فائل میں مطلوبہ لفظ ہوگا۔ حکمرانیاور ایک درست شناخت کنندہ ہونا چاہیے: کوئی خالی جگہ، کوئی نمبر، اور کوئی انڈر سکور نہیں۔ واضح کنونشن کی پیروی کرنا اچھا خیال ہے، مثال کے طور پر کچھ ایسا Malware_Family_variant o APT_Actor_Tool، جو آپ کو ایک نظر میں شناخت کرنے کی اجازت دیتا ہے کہ اس کا پتہ لگانے کا مقصد کیا ہے۔

اگلا حصہ آتا ہے۔ ڈورجہاں آپ ان نمونوں کی وضاحت کرتے ہیں جسے آپ تلاش کرنا چاہتے ہیں۔ یہاں آپ تین اہم اقسام استعمال کر سکتے ہیں: ٹیکسٹ سٹرنگز، ہیکساڈیسیمل سیکوینسز، اور ریگولر ایکسپریشنزمتن کے تار انسانی پڑھنے کے قابل کوڈ کے ٹکڑوں، URLs، اندرونی پیغامات، راستے کے نام، یا PDBs کے لیے مثالی ہیں۔ ہیکساڈیسیملز آپ کو خام بائٹ پیٹرن کیپچر کرنے کی اجازت دیتے ہیں، جو بہت مفید ہوتے ہیں جب کوڈ کو مبہم کیا جاتا ہے لیکن کچھ مستقل ترتیب کو برقرار رکھتا ہے۔

ریگولر ایکسپریشن لچک فراہم کرتے ہیں جب آپ کو سٹرنگ میں چھوٹے تغیرات کا احاطہ کرنے کی ضرورت ہوتی ہے، جیسے ڈومینز کو تبدیل کرنا یا کوڈ کے تھوڑا سا تبدیل شدہ حصے۔ مزید برآں، دونوں سٹرنگز اور ریجیکس فرار کو صوابدیدی بائٹس کی نمائندگی کرنے کی اجازت دیتے ہیں۔, جو انتہائی درست ہائبرڈ نمونوں کا دروازہ کھولتا ہے۔

سیکشن شرط یہ واحد لازمی ہے اور اس کی وضاحت کرتا ہے جب کسی اصول کو کسی فائل کو "مماثل" سمجھا جاتا ہے۔ وہاں آپ بولین اور ریاضی کی کارروائیوں کا استعمال کرتے ہیں (اور، یا، نہیں، +، -، *، /، کوئی بھی، تمام، پر مشتمل ہے، وغیرہ۔) ایک سادہ "اگر یہ تار ظاہر ہوتا ہے" سے بہتر کھوج کی منطق کا اظہار کرنا۔

مثال کے طور پر، آپ یہ بتا سکتے ہیں کہ اصول صرف اس صورت میں درست ہے جب فائل ایک خاص سائز سے چھوٹی ہو، اگر تمام اہم تار ظاہر ہوں، یا اگر کم از کم کئی تاروں میں سے ایک موجود ہو۔ آپ سٹرنگ کی لمبائی، میچوں کی تعداد، فائل میں مخصوص آفسیٹس، یا فائل کا سائز جیسی شرائط کو بھی یکجا کر سکتے ہیں۔یہاں تخلیقی صلاحیت عام اصولوں اور جراحی کی کھوج کے درمیان فرق کرتی ہے۔

آخر میں، آپ کے پاس اختیاری سیکشن ہے۔ میٹامدت کی دستاویز کرنے کے لئے مثالی۔ شامل کرنا عام ہے۔ مصنف، تاریخ تخلیق، تفصیل، اندرونی ورژن، رپورٹس یا ٹکٹ کا حوالہ اور، عام طور پر، کوئی بھی معلومات جو ذخیرہ کو منظم اور دوسرے تجزیہ کاروں کے لیے قابل فہم رکھنے میں مدد کرتی ہے۔

YARA کے جدید قوانین کی عملی مثالیں۔

مندرجہ بالا تمام چیزوں کو تناظر میں رکھنے کے لیے، یہ دیکھنا مددگار ہے کہ ایک سادہ اصول کی ساخت کیسے بنتی ہے اور جب قابل عمل فائلیں، مشکوک درآمدات، یا دہرائی جانے والی ہدایات کے سلسلے عمل میں آتے ہیں تو یہ کیسے زیادہ پیچیدہ ہو جاتا ہے۔ آئیے ایک کھلونا حکمران کے ساتھ شروع کریں اور آہستہ آہستہ سائز میں اضافہ کریں۔.

ایک کم سے کم اصول میں صرف ایک تار اور شرط شامل ہو سکتی ہے جو اسے لازمی بناتی ہے۔ مثال کے طور پر، آپ کسی مخصوص ٹیکسٹ سٹرنگ یا میلویئر کے ٹکڑے کے بائٹ تسلسل کے نمائندے کو تلاش کر سکتے ہیں۔ شرط، اس صورت میں، صرف یہ بتائے گی کہ اگر وہ سٹرنگ یا پیٹرن ظاہر ہوتا ہے تو اس اصول کو پورا کیا جاتا ہے۔مزید فلٹرز کے بغیر۔

تاہم، حقیقی دنیا کی ترتیبات میں یہ کم پڑتا ہے، کیونکہ سادہ زنجیریں اکثر بہت سے غلط مثبت پیدا کرتی ہیں۔یہی وجہ ہے کہ اضافی پابندیوں کے ساتھ متعدد سٹرنگز (ٹیکسٹ اور ہیکساڈیسیمل) کو جوڑنا عام ہے: کہ فائل ایک خاص سائز سے زیادہ نہ ہو، کہ اس میں مخصوص ہیڈر ہوں، یا یہ کہ یہ صرف اس صورت میں چالو ہوتی ہے جب ہر متعین گروپ سے کم از کم ایک سٹرنگ مل جائے۔

PE قابل عمل تجزیہ میں ایک عام مثال میں ماڈیول درآمد کرنا شامل ہے۔ pe YARA سے، جو آپ کو بائنری کی اندرونی خصوصیات کے بارے میں استفسار کرنے کی اجازت دیتا ہے: درآمد شدہ فنکشنز، سیکشنز، ٹائم اسٹیمپ وغیرہ۔ ایک جدید اصول فائل کو درآمد کرنے کی ضرورت ہو سکتی ہے۔ CreateProcess سے Kernel32.dll اور سے کچھ HTTP فنکشن wininet.dll, بدنیتی پر مبنی رویے کی نشاندہی کرنے والی مخصوص سٹرنگ پر مشتمل ہونے کے علاوہ۔

اس قسم کی منطق تلاش کرنے کے لیے بہترین ہے۔ ریموٹ کنکشن یا اخراج کی صلاحیتوں کے ساتھ ٹروجنیہاں تک کہ جب فائل نام یا راستے ایک مہم سے دوسری مہم میں بدل جائیں۔ اہم بات یہ ہے کہ بنیادی رویے پر توجہ مرکوز کی جائے: عمل کی تخلیق، HTTP درخواستیں، خفیہ کاری، استقامت، وغیرہ۔

ایک اور بہت مؤثر تکنیک کو دیکھنے کے لئے ہے ہدایات کے سلسلے جو دہرائے جاتے ہیں۔ ایک ہی خاندان کے نمونوں کے درمیان۔ یہاں تک کہ اگر حملہ آور بائنری کو پیک کرتے ہیں یا مبہم کر دیتے ہیں، وہ اکثر کوڈ کے ان حصوں کو دوبارہ استعمال کرتے ہیں جنہیں تبدیل کرنا مشکل ہوتا ہے۔ اگر، جامد تجزیہ کے بعد، آپ کو ہدایات کے مستقل بلاکس ملتے ہیں، تو آپ اس کے ساتھ ایک اصول بنا سکتے ہیں ہیکساڈیسیمل تاروں میں وائلڈ کارڈز جو ایک مخصوص رواداری کو برقرار رکھتے ہوئے اس پیٹرن کو حاصل کرتا ہے۔

ان "کوڈ رویے پر مبنی" قوانین کے ساتھ یہ ممکن ہے۔ PlugX/Korplug یا دیگر APT خاندانوں جیسی پوری میلویئر مہمات کو ٹریک کریں۔آپ صرف ایک مخصوص ہیش کا پتہ نہیں لگاتے ہیں، بلکہ آپ حملہ آوروں کی ترقی کے انداز پر عمل کرتے ہیں۔

حقیقی مہمات اور صفر دن کے خطرات میں یارا کا استعمال

YARA نے خاص طور پر اعلی درجے کے خطرات اور صفر دن کے کارناموں کے میدان میں اپنی اہمیت کو ثابت کیا ہے، جہاں کلاسک حفاظتی میکانزم بہت دیر سے پہنچتے ہیں۔ ایک معروف مثال سلور لائٹ میں کم سے کم لیک ہونے والی انٹیلی جنس سے استحصال کا پتہ لگانے کے لیے YARA کا استعمال ہے۔.

اس صورت میں، جارحانہ ٹولز کی ترقی کے لیے وقف ایک کمپنی سے چوری کی گئی ای میلز سے، کسی مخصوص استحصال پر مبنی اصول بنانے کے لیے کافی نمونے اخذ کیے گئے تھے۔ اس ایک اصول کے ساتھ، محققین مشکوک فائلوں کے سمندر کے ذریعے نمونے کا پتہ لگانے کے قابل تھے۔استحصال کی شناخت کریں اور اس کے پیچ کو زبردستی بنائیں، بہت زیادہ سنگین نقصان کو روکیں۔

اس قسم کی کہانیاں واضح کرتی ہیں کہ YARA کیسے کام کر سکتا ہے۔ فائلوں کے سمندر میں ماہی گیری کا جالاپنے کارپوریٹ نیٹ ورک کو ہر قسم کی "مچھلی" (فائلوں) سے بھرا ہوا سمندر سمجھیں۔ آپ کے اصول ٹرول جال کے ڈبوں کی طرح ہیں: ہر ڈبے میں مخصوص خصوصیات کے مطابق مچھلیاں رکھی جاتی ہیں۔

جب آپ ڈریگ ختم کرتے ہیں، تو آپ کے پاس ہے۔ مخصوص خاندانوں یا حملہ آوروں کے گروہوں سے مماثلت کے لحاظ سے گروپ کردہ نمونے۔: "Species X سے مماثل"، "Species Y سے مماثل"، وغیرہ۔ ان میں سے کچھ نمونے آپ کے لیے بالکل نئے ہو سکتے ہیں (نئی بائنریز، نئی مہمات)، لیکن وہ ایک معروف پیٹرن میں فٹ ہوتے ہیں، جو آپ کی درجہ بندی اور ردعمل کو تیز کرتا ہے۔

اس تناظر میں YARA سے زیادہ سے زیادہ فائدہ اٹھانے کے لیے، بہت سی تنظیمیں یکجا کرتی ہیں۔ اعلی درجے کی تربیت، عملی تجربہ گاہیں اور کنٹرول شدہ تجرباتی ماحولاچھے اصول لکھنے کے فن کے لیے خاص طور پر وقف کردہ انتہائی خصوصی کورسز ہیں، جو اکثر سائبر جاسوسی کے حقیقی واقعات پر مبنی ہوتے ہیں، جن میں طلباء مستند نمونوں کے ساتھ مشق کرتے ہیں اور "کچھ" تلاش کرنا سیکھتے ہیں یہاں تک کہ جب وہ بالکل نہیں جانتے کہ وہ کیا ڈھونڈ رہے ہیں۔

YARA کو بیک اپ اور ریکوری پلیٹ فارمز میں ضم کریں۔

ایک ایسا علاقہ جہاں YARA بالکل فٹ بیٹھتا ہے، اور جس پر اکثر کسی کا دھیان نہیں جاتا، وہ بیک اپ کا تحفظ ہے۔ اگر بیک اپ مالویئر یا رینسم ویئر سے متاثر ہیں، تو بحالی ایک پوری مہم کو دوبارہ شروع کر سکتی ہے۔اسی لیے کچھ مینوفیکچررز نے براہ راست اپنے حل میں YARA انجن شامل کیے ہیں۔

اگلی نسل کا بیک اپ پلیٹ فارم لانچ کیا جا سکتا ہے۔ بحالی پوائنٹس پر YARA اصول پر مبنی تجزیہ سیشنمقصد دوہرا ہے: کسی واقعے سے پہلے آخری "صاف" پوائنٹ کا پتہ لگانا اور فائلوں میں چھپے ہوئے بدنیتی پر مبنی مواد کا پتہ لگانا جو شاید دوسرے چیکوں سے متحرک نہ ہوئے ہوں۔

ان ماحول میں عام عمل میں ایک آپشن کا انتخاب شامل ہوتا ہے "یارا حکمران کے ساتھ بحالی پوائنٹس کو اسکین کریں۔"تجزیہ کے کام کی ترتیب کے دوران۔ اس کے بعد، قواعد کی فائل کا راستہ متعین کیا جاتا ہے (عام طور پر ایکسٹینشن .yara یا .yar کے ساتھ)، جو عام طور پر بیک اپ حل کے لیے مخصوص کنفیگریشن فولڈر میں محفوظ ہوتا ہے۔"

عمل درآمد کے دوران، انجن کاپی میں موجود اشیاء کے ذریعے اعادہ کرتا ہے، قواعد کا اطلاق کرتا ہے، اور یہ تمام میچوں کو ایک مخصوص YARA تجزیہ لاگ میں ریکارڈ کرتا ہے۔منتظم کنسول سے ان لاگز کو دیکھ سکتا ہے، اعداد و شمار کا جائزہ لے سکتا ہے، دیکھ سکتا ہے کہ کن فائلوں نے الرٹ کو متحرک کیا، اور یہاں تک کہ یہ بھی معلوم کر سکتا ہے کہ ہر میچ کس مشین اور مخصوص تاریخ سے مطابقت رکھتا ہے۔

یہ انضمام دوسرے میکانزم کے ذریعہ تکمیل شدہ ہے جیسے بے ضابطگی کا پتہ لگانا، بیک اپ سائز کی نگرانی، مخصوص IOCs کی تلاش، یا مشکوک ٹولز کا تجزیہلیکن جب بات کسی مخصوص ransomware کے خاندان یا مہم کے مطابق بنائے گئے قوانین کی ہو تو YARA اس تلاش کو بہتر بنانے کے لیے بہترین ٹول ہے۔

اپنے نیٹ ورک کو توڑے بغیر YARA کے قوانین کی جانچ اور توثیق کیسے کریں۔

ایک بار جب آپ خود اپنے اصول لکھنا شروع کر دیتے ہیں، تو اگلا اہم مرحلہ ان کی اچھی طرح جانچ کرنا ہے۔ حد سے زیادہ جارحانہ اصول غلط مثبتات کا سیلاب پیدا کر سکتا ہے، جب کہ حد سے زیادہ کوتاہی حقیقی خطرات کو ختم کر سکتی ہے۔اس لیے ٹیسٹنگ کا مرحلہ بھی اتنا ہی اہم ہے جتنا کہ تحریر کا مرحلہ۔

اچھی خبر یہ ہے کہ آپ کو کام کرنے والے میلویئر سے بھری لیب قائم کرنے اور ایسا کرنے کے لیے آدھے نیٹ ورک کو متاثر کرنے کی ضرورت نہیں ہے۔ ذخیرے اور ڈیٹاسیٹس پہلے سے موجود ہیں جو یہ معلومات پیش کرتے ہیں۔ تحقیقی مقاصد کے لیے معلوم اور کنٹرول شدہ مالویئر کے نمونےآپ ان نمونوں کو الگ تھلگ ماحول میں ڈاؤن لوڈ کر سکتے ہیں اور انہیں اپنے قواعد کے لیے ٹیسٹ بیڈ کے طور پر استعمال کر سکتے ہیں۔

عام طریقہ یہ ہے کہ YARA کو مقامی طور پر، کمانڈ لائن سے، مشکوک فائلوں پر مشتمل ڈائریکٹری کے خلاف چلا کر شروع کیا جائے۔ اگر آپ کے قواعد اس جگہ سے ملتے ہیں جہاں انہیں صاف فائلوں میں بمشکل توڑنا چاہئے، تو آپ صحیح راستے پر ہیں۔اگر وہ بہت زیادہ متحرک ہو رہے ہیں، تو یہ سٹرنگز کا جائزہ لینے، حالات کو بہتر بنانے، یا اضافی پابندیاں متعارف کرانے کا وقت ہے (سائز، درآمدات، آفسیٹ وغیرہ)۔

ایک اور اہم نکتہ یہ یقینی بنانا ہے کہ آپ کے قواعد کارکردگی سے سمجھوتہ نہ کریں۔ بڑی ڈائرکٹریز، مکمل بیک اپ، یا بڑے پیمانے پر نمونے کے مجموعے کو اسکین کرتے وقت، ناقص طور پر بہتر بنائے گئے اصول تجزیہ کو سست کر سکتے ہیں یا مطلوبہ سے زیادہ وسائل استعمال کر سکتے ہیں۔لہذا، وقت کی پیمائش کرنے، پیچیدہ تاثرات کو آسان بنانے، اور ضرورت سے زیادہ بھاری ریجیکس سے گریز کرنے کا مشورہ دیا جاتا ہے۔

لیبارٹری ٹیسٹنگ کے اس مرحلے سے گزرنے کے بعد، آپ اس قابل ہو جائیں گے۔ پیداواری ماحول میں قواعد کو فروغ دیں۔چاہے یہ آپ کے SIEM میں ہو، آپ کے بیک اپ سسٹمز، ای میل سرورز، یا جہاں بھی آپ ان کو ضم کرنا چاہتے ہیں۔ اور مسلسل نظرثانی کے چکر کو برقرار رکھنا نہ بھولیں: جیسے جیسے مہمات تیار ہوں گی، آپ کے قواعد کو وقتاً فوقتاً ایڈجسٹمنٹ کی ضرورت ہوگی۔

YARA کے ساتھ ٹولز، پروگرامز اور ورک فلو

سرکاری بائنری سے ہٹ کر، بہت سے پیشہ ور افراد نے YARA کے روزمرہ استعمال میں آسانی کے لیے چھوٹے پروگرام اور اسکرپٹ تیار کیے ہیں۔ ایک عام نقطہ نظر کے لئے ایک درخواست بنانا شامل ہے۔ اپنی حفاظتی کٹ خود جمع کریں۔ جو فولڈر میں موجود تمام اصولوں کو خود بخود پڑھتا ہے اور ان کا اطلاق تجزیہ ڈائریکٹری میں کرتا ہے۔.

اس قسم کے گھریلو ٹولز عام طور پر ایک سادہ ڈائرکٹری ڈھانچے کے ساتھ کام کرتے ہیں: ایک فولڈر کے لیے انٹرنیٹ سے ڈاؤن لوڈ کردہ قواعد (مثال کے طور پر، "rulesyar") اور ایک اور فولڈر کے لیے مشکوک فائلوں کا تجزیہ کیا جائے۔ (مثال کے طور پر، "مالویئر")۔ جب پروگرام شروع ہوتا ہے، یہ چیک کرتا ہے کہ دونوں فولڈرز موجود ہیں، اسکرین پر قواعد کی فہرست بناتا ہے، اور عمل درآمد کے لیے تیاری کرتا ہے۔

جب آپ بٹن دبائیں جیسے "تصدیق شروع کریں۔اس کے بعد ایپلیکیشن مطلوبہ پیرامیٹرز کے ساتھ YARA ایگزیکیوٹیبل لانچ کرتی ہے: فولڈر میں موجود تمام فائلوں کو اسکین کرنا، سب ڈائرکٹریز کا بار بار تجزیہ کرنا، اعداد و شمار کو آؤٹ پٹ کرنا، میٹا ڈیٹا پرنٹ کرنا وغیرہ۔ نتائج کی ونڈو میں کوئی بھی میچ ظاہر ہوتا ہے، جس سے ظاہر ہوتا ہے کہ کون سی فائل کس اصول سے مماثل ہے۔

یہ ورک فلو، مثال کے طور پر، برآمد شدہ ای میلز کے بیچ میں مسائل کا پتہ لگانے کی اجازت دیتا ہے۔ بدنیتی پر مبنی ایمبیڈڈ تصاویر، خطرناک منسلکات، یا بظاہر بے ضرر فائلوں میں چھپی ہوئی ویب شیلزکارپوریٹ ماحول میں بہت سی فرانزک تحقیقات اس قسم کے طریقہ کار پر بالکل انحصار کرتی ہیں۔

YARA کو استعمال کرتے وقت سب سے زیادہ مفید پیرامیٹرز کے بارے میں، مندرجہ ذیل اختیارات نمایاں ہیں: -r بار بار تلاش کرنے کے لیے، -S اعداد و شمار ظاہر کرنے کے لیے، -m میٹا ڈیٹا نکالنے کے لیے، اور -w انتباہات کو نظر انداز کرنے کے لیےان جھنڈوں کو ملا کر آپ اپنے معاملے میں رویے کو ایڈجسٹ کر سکتے ہیں: کسی مخصوص ڈائرکٹری میں فوری تجزیہ سے لے کر ایک پیچیدہ فولڈر کی ساخت کے مکمل اسکین تک۔

YARA کے قوانین لکھنے اور برقرار رکھنے کے بہترین طریقے

آپ کے قواعد کے ذخیرے کو ناقابل انتظام گڑبڑ بننے سے روکنے کے لیے، بہترین طریقوں کی ایک سیریز کو لاگو کرنے کا مشورہ دیا جاتا ہے۔ سب سے پہلے مستقل ٹیمپلیٹس اور نام دینے کے کنونشنز کے ساتھ کام کرنا ہے۔تاکہ کوئی بھی تجزیہ کار ایک نظر میں سمجھ سکے کہ ہر اصول کیا کرتا ہے۔

بہت سی ٹیمیں ایک معیاری فارمیٹ اپناتی ہیں جس میں شامل ہیں۔ میٹا ڈیٹا کے ساتھ ہیڈر، خطرے کی قسم، اداکار یا پلیٹ فارم کی نشاندہی کرنے والے ٹیگز، اور کیا پتہ چلا ہے اس کی واضح وضاحتیہ نہ صرف اندرونی طور پر، بلکہ اس وقت بھی مدد کرتا ہے جب آپ کمیونٹی کے ساتھ قواعد کا اشتراک کرتے ہیں یا عوامی ذخیروں میں حصہ ڈالتے ہیں۔

ایک اور سفارش یہ ہے کہ اسے ہمیشہ یاد رکھیں یارا دفاع کی صرف ایک اور تہہ ہے۔یہ اینٹی وائرس سافٹ ویئر یا ای ڈی آر کو تبدیل نہیں کرتا ہے، بلکہ ان کے لیے حکمت عملیوں میں تکمیل کرتا ہے۔ اپنے ونڈوز پی سی کی حفاظت کریں۔مثالی طور پر، YARA کو وسیع تر حوالہ جات کے فریم ورک کے اندر فٹ ہونا چاہیے، جیسے NIST فریم ورک، جو اثاثوں کی شناخت، تحفظ، پتہ لگانے، ردعمل، اور بازیابی کو بھی مخاطب کرتا ہے۔

تکنیکی نقطہ نظر سے، یہ وقت وقف کرنے کے قابل ہے غلط مثبت سے بچیںاس میں ضرورت سے زیادہ عام تاروں سے گریز کرنا، کئی شرائط کو یکجا کرنا، اور آپریٹرز کا استعمال کرنا شامل ہے جیسے کے تمام o کوئی سا اپنا سر استعمال کریں اور فائل کی ساختی خصوصیات سے فائدہ اٹھائیں۔ میلویئر کے رویے سے متعلق منطق جتنی زیادہ مخصوص ہوگی، اتنا ہی بہتر ہے۔

آخر میں، کا نظم و ضبط برقرار رکھیں ورژننگ اور متواتر جائزہ یہ بہت اہم ہے۔ میلویئر فیملیز تیار ہوتی ہیں، اشارے بدل جاتے ہیں، اور آج کام کرنے والے اصول کم پڑ سکتے ہیں یا متروک ہو سکتے ہیں۔ وقتاً فوقتاً اپنے اصول کا جائزہ لینا اور اسے بہتر بنانا سائبر سیکیورٹی کے بلی اور چوہے کے کھیل کا حصہ ہے۔

YARA کمیونٹی اور دستیاب وسائل

YARA کے اب تک آنے کی ایک اہم وجہ اس کی کمیونٹی کی طاقت ہے۔ دنیا بھر سے محققین، سیکیورٹی فرم، اور رسپانس ٹیمیں قوانین، مثالیں اور دستاویزات کا مسلسل اشتراک کرتی ہیں۔ایک بہت امیر ماحولیاتی نظام کی تشکیل.

حوالہ کا بنیادی نقطہ ہے GitHub پر YARA کا سرکاری ذخیرہوہاں آپ کو ٹول کے تازہ ترین ورژن، سورس کوڈ، اور دستاویزات کے لنکس ملیں گے۔ وہاں سے آپ پروجیکٹ کی پیشرفت کی پیروی کرسکتے ہیں، مسائل کی اطلاع دے سکتے ہیں، یا اگر آپ چاہیں تو بہتری میں حصہ ڈال سکتے ہیں۔

ReadTheDocs جیسے پلیٹ فارمز پر دستیاب سرکاری دستاویزات، پیشکش کرتی ہیں۔ ایک مکمل نحو گائیڈ، دستیاب ماڈیولز، اصول کی مثالیں، اور استعمال کے حوالےیہ جدید ترین فنکشنز، جیسے پی ای انسپیکشن، ای ایل ایف، میموری رولز، یا دوسرے ٹولز کے ساتھ انضمام سے فائدہ اٹھانے کے لیے ایک ضروری وسیلہ ہے۔

اس کے علاوہ، YARA کے قوانین اور دستخطوں کے کمیونٹی ذخیرے موجود ہیں جہاں دنیا بھر کے تجزیہ کار وہ استعمال کے لیے تیار مجموعے یا مجموعے شائع کرتے ہیں جنہیں آپ کی ضروریات کے مطابق ڈھالا جا سکتا ہے۔ان ذخیروں میں عام طور پر مخصوص مالویئر خاندانوں کے لیے قواعد، استحصال کٹس، بدنیتی سے استعمال ہونے والے پینٹسٹنگ ٹولز، ویب شیلز، کرپٹومائنر اور بہت کچھ شامل ہوتا ہے۔

متوازی طور پر، بہت سے مینوفیکچررز اور ریسرچ گروپ پیش کرتے ہیں YARA میں مخصوص تربیت، بنیادی سطحوں سے لے کر بہت اعلی درجے کے کورسز تکان اقدامات میں اکثر حقیقی دنیا کے منظرناموں پر مبنی ورچوئل لیبز اور ہینڈ آن مشقیں شامل ہوتی ہیں۔ یہاں تک کہ کچھ غیر منافع بخش تنظیموں یا اداروں کو بھی مفت پیش کیے جاتے ہیں جو خاص طور پر ٹارگٹ حملوں کا شکار ہوتے ہیں۔

اس پورے ماحولیاتی نظام کا مطلب یہ ہے کہ، تھوڑی سی لگن کے ساتھ، آپ اپنے پہلے بنیادی اصول لکھنے سے لے کر جا سکتے ہیں۔ پیچیدہ مہمات سے باخبر رہنے اور بے مثال خطرات کا پتہ لگانے کے قابل جدید ترین سویٹس تیار کریں۔اور، YARA کو روایتی اینٹی وائرس، محفوظ بیک اپ، اور خطرے کی ذہانت کے ساتھ ملا کر، آپ انٹرنیٹ پر رومنگ کرنے والے بدنیتی پر مبنی اداکاروں کے لیے چیزوں کو کافی زیادہ مشکل بنا دیتے ہیں۔

مندرجہ بالا سب کے ساتھ، یہ واضح ہے کہ YARA ایک سادہ کمانڈ لائن افادیت سے کہیں زیادہ ہے: یہ ایک کلیدی ٹکڑا میلویئر کا پتہ لگانے کی کسی بھی جدید حکمت عملی میں، ایک لچکدار ٹول جو آپ کے سوچنے کے انداز کو بطور تجزیہ کار اور عام زبان جو دنیا بھر میں لیبارٹریوں، SOCs اور ریسرچ کمیونٹیز کو جوڑتا ہے، جس سے ہر نئے قاعدے کو تیزی سے نفیس مہمات کے خلاف تحفظ کی ایک اور تہہ شامل کرنے کی اجازت ملتی ہے۔