Bii o ṣe le lo YAR fun iṣawari malware to ti ni ilọsiwaju

¿Bii o ṣe le lo YAR fun iṣawari malware to ti ni ilọsiwaju? Nigbati awọn eto antivirus ibile ba de opin wọn ati awọn ikọlu yo nipasẹ gbogbo kiraki ti o ṣeeṣe, ohun elo kan ti o ti di pataki ni awọn ile-iṣẹ esi iṣẹlẹ wa sinu ere: YARA, “ọbẹ Switzerland” fun ọdẹ malwareTi ṣe apẹrẹ lati ṣapejuwe awọn idile ti sọfitiwia irira nipa lilo ọrọ ọrọ ati awọn ilana alakomeji, o gba laaye lati lọ jina ju ibaramu hash rọrun.

Ni ọwọ ọtun, YAR kii ṣe fun wiwa nikan kii ṣe awọn ayẹwo malware nikan ti a mọ, ṣugbọn tun awọn iyatọ tuntun, awọn ilokulo ọjọ-odo, ati paapaa awọn irinṣẹ ibinu ti iṣowoNinu nkan yii, a yoo ṣawari ni ijinle ati adaṣe bii o ṣe le lo YARA fun iṣawari malware ti ilọsiwaju, bii o ṣe le kọ awọn ofin to lagbara, bii o ṣe le ṣe idanwo wọn, bii o ṣe le ṣepọ wọn sinu awọn iru ẹrọ bii Veeam tabi iṣan-iṣẹ itupalẹ tirẹ, ati awọn iṣe ti o dara julọ ti agbegbe alamọdaju tẹle.

Kini YARA ati kilode ti o lagbara ni wiwa malware?

YARA duro fun “Sibẹsibẹ Acronym Recursive Miiran” ati pe o ti di boṣewa de facto ni itupalẹ irokeke nitori O ngbanilaaye lati ṣe apejuwe awọn idile malware ni lilo kika, ko o, ati awọn ofin rọ pupọ.Dipo ti gbigbekele awọn ibuwọlu antivirus aimi, YARA ṣiṣẹ pẹlu awọn ilana ti o ṣalaye funrararẹ.

Ero ipilẹ jẹ rọrun: ofin YARA ṣe ayẹwo faili kan (tabi iranti, tabi ṣiṣan data) ati ṣayẹwo ti awọn ipo lẹsẹsẹ ba pade. awọn ipo ti o da lori awọn gbolohun ọrọ, awọn ilana hexadecimal, awọn ikosile deede, tabi awọn ohun-ini failiTi ipo naa ba pade, “baramu” wa ati pe o le ṣe akiyesi, dina, tabi ṣe itupalẹ ijinle diẹ sii.

Ọna yii ngbanilaaye awọn ẹgbẹ aabo Ṣe idanimọ ati ṣe iyasọtọ malware ti gbogbo iru: awọn ọlọjẹ Ayebaye, awọn kokoro, Trojans, ransomware, webshells, cryptominers, macros irira, ati pupọ diẹ siiKo ni opin si awọn amugbooro faili kan pato tabi awọn ọna kika, nitorinaa o tun ṣe awari ipaniyan ti o ni iyipada pẹlu itẹsiwaju .pdf tabi faili HTML ti o ni webshell kan ninu.

Pẹlupẹlu, YARA ti wa tẹlẹ sinu ọpọlọpọ awọn iṣẹ bọtini ati awọn irinṣẹ ti ilolupo cybersecurity: VirusTotal, awọn apoti iyanrin bi Cuckoo, awọn iru ẹrọ afẹyinti bi Veeam, tabi awọn solusan ọdẹ irokeke lati ọdọ awọn aṣelọpọ ipele okeNitorinaa, Titunto si YARA ti fẹrẹ jẹ ibeere fun awọn atunnkanka ilọsiwaju ati awọn oniwadi.

Awọn ọran lilo ilọsiwaju ti YAR ni wiwa malware

Ọkan ninu awọn agbara YARA ni pe o ṣe deede bi ibọwọ si awọn oju iṣẹlẹ aabo pupọ, lati SOC si laabu malware. Awọn ofin kanna lo si awọn ọdẹ ọkan-pipa ati ibojuwo lemọlemọfún..

Ọran taara julọ pẹlu ṣiṣẹda awọn ofin kan pato fun malware kan pato tabi gbogbo awọn idileTi ile-iṣẹ rẹ ba n kọlu nipasẹ ipolongo ti o da lori idile ti a mọ (fun apẹẹrẹ, trojan iwọle latọna jijin tabi irokeke APT), o le ṣe profaili awọn gbolohun ọrọ abuda ati awọn ilana ati gbe awọn ofin dide ti o ṣe idanimọ awọn apẹẹrẹ ti o ni ibatan ni iyara.

Miiran Ayebaye lilo ni awọn idojukọ ti YAR da lori awọn ibuwọluAwọn ofin wọnyi jẹ apẹrẹ lati wa awọn hashes, awọn gbolohun ọrọ kan pato, awọn snippets koodu, awọn bọtini iforukọsilẹ, tabi paapaa awọn ilana baiti kan pato ti o tun ṣe ni ọpọlọpọ awọn iyatọ ti malware kanna. Sibẹsibẹ, ni lokan pe ti o ba wa awọn gbolohun ọrọ bintin nikan, o ni ewu ti o ṣẹda awọn idaniloju eke.

YARA tun nmọlẹ nigbati o ba de sisẹ nipasẹ faili orisi tabi igbekale abudaO ṣee ṣe lati ṣẹda awọn ofin ti o kan si awọn iṣẹ ṣiṣe PE, awọn iwe aṣẹ ọfiisi, PDFs, tabi ọna kika eyikeyi, nipa apapọ awọn okun pẹlu awọn ohun-ini bii iwọn faili, awọn akọle kan pato (fun apẹẹrẹ, 0x5A4D fun awọn adaṣe PE), tabi awọn agbewọle iṣẹ ifura.

Ni igbalode agbegbe, awọn oniwe-lilo ti sopọ si awọn itetisi ewuAwọn ibi ipamọ ti gbogbo eniyan, awọn ijabọ iwadii, ati awọn ifunni IOC ni a tumọ si awọn ofin YARA ti o ṣepọ si SIEM, EDR, awọn iru ẹrọ afẹyinti, tabi awọn apoti iyanrin. Eyi ngbanilaaye awọn ajo lati ni kiakia ṣe awari awọn irokeke ti o nwaye ti o pin awọn abuda pẹlu awọn ipolongo ti ṣe atupale tẹlẹ.

Agbọye sintasi ti awọn ofin YARA

Sintasi YARA jọra si ti C, ṣugbọn ni ọna ti o rọrun ati idojukọ diẹ sii. Ofin kọọkan ni orukọ kan, apakan metadata yiyan, apakan okun, ati, dandan, apakan ipo kan.Lati ibi yii lọ, agbara wa ni bi o ṣe darapọ gbogbo iyẹn.

Akọkọ ni orukọ ofinO ni lati lọ lẹsẹkẹsẹ lẹhin Koko ofin (o ofin Ti o ba ṣe iwe ni ede Spani, botilẹjẹpe ọrọ-ọrọ inu faili yoo jẹ ofinati pe o gbọdọ jẹ idanimọ ti o wulo: ko si awọn aaye, ko si nọmba, ko si si abẹlẹ. O jẹ imọran ti o dara lati tẹle apejọ mimọ kan, fun apẹẹrẹ nkan bii Malware_Family_Variant o APT_Actor_Tool, eyiti o fun ọ laaye lati ṣe idanimọ ni wiwo ohun ti o pinnu lati rii.

Next ba wa ni apakan okunnibi ti o ti ṣalaye awọn ilana ti o fẹ wa. Nibi o le lo awọn oriṣi akọkọ mẹta: awọn gbolohun ọrọ, awọn ilana hexadecimal, ati awọn ikosile deedeAwọn gbolohun ọrọ jẹ apẹrẹ fun awọn snippets koodu ti eniyan le ka, URL, awọn ifiranṣẹ inu, awọn orukọ ọna, tabi awọn PDBs. Awọn hexadecimals gba ọ laaye lati mu awọn ilana baiti aise, eyiti o wulo pupọ nigbati koodu naa ba jẹ aṣiwere ṣugbọn da duro awọn ilana igbagbogbo kan.

Awọn ikosile deede n pese irọrun nigbati o nilo lati bo awọn iyatọ kekere ninu okun kan, gẹgẹbi iyipada awọn ibugbe tabi awọn ẹya iyipada diẹ ti koodu. Pẹlupẹlu, mejeeji awọn gbolohun ọrọ ati regex gba awọn ona abayo laaye lati ṣe aṣoju awọn baiti lainidii, eyi ti o ṣi ilẹkun si awọn ilana arabara kongẹ.

Abala majemu O jẹ dandan nikan ati asọye nigbati ofin ba gbero lati “baramu” faili kan. Nibẹ ni o lo Boolean ati awọn iṣẹ iṣiro (ati, tabi, kii ṣe, +, -, *, /, eyikeyi, gbogbo, ni, ati bẹbẹ lọ.) lati ṣafihan imọ-jinlẹ wiwa ti o dara ju “rọrun ti okun yii ba han”.

Fun apẹẹrẹ, o le pato pe ofin naa wulo nikan ti faili ba kere ju iwọn kan lọ, ti gbogbo awọn gbolohun ọrọ pataki ba han, tabi ti o ba jẹ pe o kere ju ọkan ninu awọn okun pupọ wa. O tun le darapọ awọn ipo bii gigun okun, nọmba awọn ere-kere, awọn aiṣedeede kan pato ninu faili, tabi iwọn faili funrararẹ.Ṣiṣẹda nibi ṣe iyatọ laarin awọn ofin jeneriki ati awọn iwari iṣẹ abẹ.

Ni ipari, o ni apakan aṣayan ìlépaApẹrẹ fun igbasilẹ akoko naa. O jẹ wọpọ lati pẹlu onkowe, ọjọ ẹda, apejuwe, ti abẹnu version, tọka si awọn iroyin tabi tiketi ati, ni gbogbogbo, alaye eyikeyi ti o ṣe iranlọwọ lati jẹ ki ibi ipamọ ti ṣeto ati oye fun awọn atunnkanka miiran.

Awọn apẹẹrẹ ti o wulo ti awọn ofin YAR ilọsiwaju

Lati fi gbogbo nkan ti o wa loke sinu irisi, o ṣe iranlọwọ lati rii bi ofin ti o rọrun kan ṣe leto ati bii o ṣe di eka sii nigbati awọn faili ṣiṣe, awọn agbewọle ifura, tabi awọn ilana ilana atunwi wa sinu ere. Jẹ ki a bẹrẹ pẹlu oludari isere kan ati ki o pọ si iwọn diẹdiẹ..

Ofin to kere le ni okun nikan ninu ati ipo ti o jẹ ki o jẹ dandan. Fun apẹẹrẹ, o le wa okun ọrọ kan pato tabi aṣoju lẹsẹsẹ baiti ti ajẹkù malware kan. Ipo naa, ninu ọran naa, yoo sọ nirọrun pe ofin naa ti pade ti okun tabi apẹrẹ ba han., lai siwaju Ajọ.

Sibẹsibẹ, ni awọn eto gidi-aye eyi ṣubu kukuru, nitori Awọn ẹwọn ti o rọrun nigbagbogbo n ṣe agbejade ọpọlọpọ awọn idaniloju ekeTi o ni idi ti o wọpọ lati darapo awọn okun pupọ (ọrọ ati hexadecimal) pẹlu awọn ihamọ afikun: pe faili ko kọja iwọn kan, pe o ni awọn akọle pato, tabi pe o ti muu ṣiṣẹ nikan ti o ba wa ni o kere ju okun kan lati ẹgbẹ kọọkan ti a ti pinnu.

Apeere aṣoju ninu itupalẹ PE executable jẹ kikowọle module naa pe lati YARA, eyiti o fun ọ laaye lati beere awọn ohun-ini inu ti alakomeji: awọn iṣẹ ti a ṣe wọle, awọn apakan, awọn akoko, ati bẹbẹ lọ Ofin ilọsiwaju le nilo faili lati gbe wọle Ṣiṣẹda Ilana lati Ekuro32.dll ati diẹ ninu awọn HTTP iṣẹ lati winnet.dll, ni afikun si ti o ni awọn kan pato okun itọkasi ti irira iwa.

Iru imọran yii jẹ pipe fun wiwa Trojans pẹlu isakoṣo latọna jijin tabi awọn agbara exfiltrationpaapaa nigbati awọn orukọ faili tabi awọn ọna yipada lati ipolongo kan si ekeji. Ohun pataki ni lati dojukọ ihuwasi abẹlẹ: ṣiṣẹda ilana, awọn ibeere HTTP, fifi ẹnọ kọ nkan, itẹramọṣẹ, ati bẹbẹ lọ.

Ilana miiran ti o munadoko julọ ni lati wo awọn ọkọọkan ti awọn ilana ti o ti wa ni tun laarin awọn ayẹwo lati kanna ebi. Paapa ti awọn ikọlu ba ṣe akopọ tabi pa alakomeji, wọn nigbagbogbo tun lo awọn apakan koodu ti o nira lati yipada. Ti, lẹhin itupalẹ aimi, o rii awọn bulọọki igbagbogbo ti awọn itọnisọna, o le ṣe agbekalẹ ofin kan pẹlu wildcards ni hexadecimal awọn gbolohun ọrọ ti o gba ilana yẹn lakoko mimu ifarada kan.

Pẹlu awọn ofin “orisun ihuwasi koodu” o ṣee ṣe tọpa gbogbo awọn ipolongo malware bii ti PlugX/Korplug tabi awọn idile APT miiranIwọ kii ṣe iwari hash kan pato, ṣugbọn o tẹle aṣa idagbasoke, bẹ si sọrọ, ti awọn ikọlu.

Lilo YARA ni awọn ipolongo gidi ati awọn irokeke ọjọ-odo

YARA ti ṣe afihan iye rẹ ni pataki ni aaye ti awọn irokeke ilọsiwaju ati awọn ilokulo ọjọ-odo, nibiti awọn ọna aabo Ayebaye ti pẹ ju. Apẹẹrẹ ti a mọ daradara ni lilo YARA lati wa ilokulo ni Silverlight lati inu oye ti o jo diẹ..

Ni ọran naa, lati awọn apamọ jile lati ile-iṣẹ ti a ṣe igbẹhin si idagbasoke awọn irinṣẹ ikọlu, awọn ilana ti o to ni a yọkuro lati kọ ofin kan ti o kọlu si ilokulo kan pato. Pẹlu ofin ẹyọkan yẹn, awọn oniwadi ni anfani lati wa kakiri ayẹwo nipasẹ okun ti awọn faili ifura.Ṣe idanimọ ilokulo ati fi ipa mu patching rẹ, idilọwọ ibajẹ to ṣe pataki pupọ diẹ sii.

Awọn iru awọn itan wọnyi ṣe apejuwe bi YAR ṣe le ṣiṣẹ bi apapọ ipeja ni okun awọn failiFojuinu wo nẹtiwọọki ile-iṣẹ rẹ bi okun ti o kun fun “ẹja” (awọn faili) ti gbogbo iru. Awọn ofin rẹ dabi awọn apakan ninu apapọ trawl: apakan kọọkan n tọju ẹja ti o baamu awọn abuda kan pato.

Nigbati o ba pari fifa, o ni awọn apẹẹrẹ ti a ṣe akojọpọ nipasẹ ibajọra si awọn idile kan pato tabi awọn ẹgbẹ ti awọn ikọlu: "iru si Awọn eya X", "iru si Awọn eya Y", bbl Diẹ ninu awọn ayẹwo wọnyi le jẹ tuntun patapata si ọ (awọn alakomeji tuntun, awọn ipolongo titun), ṣugbọn wọn wọ inu apẹrẹ ti a mọ, eyi ti o mu ki ipinnu ati idahun rẹ yarayara.

Lati ni anfani pupọ julọ ninu YAR ni aaye yii, ọpọlọpọ awọn ajo darapọ ikẹkọ to ti ni ilọsiwaju, awọn ile-iṣẹ iṣe iṣe ati awọn agbegbe idanwo idanwoAwọn iṣẹ ikẹkọ amọja ti o ga julọ wa ti iyasọtọ si aworan kikọ awọn ofin to dara, nigbagbogbo da lori awọn ọran gidi ti aṣiwa cyber, ninu eyiti awọn ọmọ ile-iwe ṣe adaṣe pẹlu awọn apẹẹrẹ ododo ati kọ ẹkọ lati wa “nkankan” paapaa nigba ti wọn ko mọ pato ohun ti wọn n wa.

Ṣepọ YAR sinu afẹyinti ati awọn iru ẹrọ imularada

Agbegbe kan nibiti YARA ti baamu ni pipe, ati eyiti o ma lọ ni itumo diẹ, ni aabo ti awọn afẹyinti. Ti awọn afẹyinti ba ni akoran pẹlu malware tabi ransomware, imupadabọ le tun bẹrẹ gbogbo ipolongo kan.Ti o ni idi ti diẹ ninu awọn aṣelọpọ ti dapọ awọn ẹrọ YARA taara sinu awọn solusan wọn.

Awọn iru ẹrọ afẹyinti iran-tẹle le ṣe ifilọlẹ Awọn akoko itupalẹ ti o da lori ofin YAR lori awọn aaye imupadabọIbi-afẹde naa jẹ ilọpo meji: lati wa aaye “mimọ” ti o kẹhin ṣaaju iṣẹlẹ kan ati lati ṣawari akoonu irira ti o farapamọ sinu awọn faili ti o le ma ti fa nipasẹ awọn sọwedowo miiran.

Ni awọn agbegbe wọnyi ilana aṣoju pẹlu yiyan aṣayan ti “.Ṣayẹwo awọn aaye mimu-pada sipo pẹlu alaṣẹ YAR kan"Nigba ti iṣeto ni ti ohun onínọmbà ise. Next, awọn ona si awọn ofin faili ti wa ni pato (nigbagbogbo pẹlu awọn itẹsiwaju .yara tabi .yar), eyi ti o ti wa ni ojo melo ti o ti fipamọ ni a iṣeto ni folda kan pato si awọn afẹyinti ojutu."

Nigba ipaniyan, awọn engine iterates nipasẹ awọn ohun ti o wa ninu awọn daakọ, waye awọn ofin, ati O ṣe igbasilẹ gbogbo awọn ere-kere ni akọọlẹ itupalẹ YARA kan pato.Alakoso le wo awọn akọọlẹ wọnyi lati inu console, awọn iṣiro atunyẹwo, wo iru awọn faili ti o fa itaniji, ati paapaa wa awọn ẹrọ wo ati ọjọ kan pato ti ibaamu kọọkan baamu.

Isopọpọ yii jẹ iranlowo nipasẹ awọn ilana miiran gẹgẹbi wiwa anomaly, ibojuwo iwọn afẹyinti, wiwa awọn IOC kan pato, tabi itupalẹ awọn irinṣẹ ifuraṢugbọn nigbati o ba de awọn ofin ti a ṣe deede si idile ransomware kan pato tabi ipolongo, YARA jẹ ohun elo ti o dara julọ fun isọdọtun wiwa yẹn.

Bii o ṣe le ṣe idanwo ati fọwọsi awọn ofin YAR laisi fifọ nẹtiwọọki rẹ

Ni kete ti o bẹrẹ kikọ awọn ofin tirẹ, igbesẹ pataki ti o tẹle ni lati ṣe idanwo wọn daradara. Ofin ibinu aṣeju le ṣe agbekalẹ ikun omi ti awọn idaniloju eke, lakoko ti airẹwẹsi aṣeju le jẹ ki awọn irokeke gidi wọ inu.Ti o ni idi ti ipele idanwo jẹ pataki bi apakan kikọ.

Irohin ti o dara ni pe o ko nilo lati ṣeto laabu kan ti o kun fun malware ṣiṣẹ ati ki o ṣe akoran idaji nẹtiwọọki lati ṣe eyi. Awọn ibi ipamọ ati awọn ipilẹ data ti wa tẹlẹ ti o funni ni alaye yii. awọn ayẹwo malware ti a mọ ati iṣakoso fun awọn idi iwadiiO le ṣe igbasilẹ awọn apẹẹrẹ wọnyẹn si agbegbe ti o ya sọtọ ki o lo wọn bi ibusun idanwo fun awọn ofin rẹ.

Ọna deede ni lati bẹrẹ nipasẹ ṣiṣiṣẹ YARA ni agbegbe, lati laini aṣẹ, lodi si itọsọna ti o ni awọn faili ifura ninu. Ti awọn ofin rẹ ba baamu nibiti wọn yẹ ki o si fọ ni awọn faili mimọ, o wa lori ọna ti o tọ.Ti wọn ba nfa pupọ pupọ, o to akoko lati ṣe atunyẹwo awọn okun, ṣatunṣe awọn ipo, tabi ṣafihan awọn ihamọ afikun (iwọn, awọn agbewọle lati ilu okeere, awọn aiṣedeede, ati bẹbẹ lọ).

Koko bọtini miiran ni lati rii daju pe awọn ofin rẹ ko ba iṣẹ ṣiṣe jẹ. Nigbati o ba n ṣayẹwo awọn ilana nla, awọn afẹyinti ni kikun, tabi awọn akojọpọ apẹẹrẹ nla, Awọn ofin iṣapeye ti ko dara le fa fifalẹ itupalẹ tabi jẹ awọn orisun diẹ sii ju ti o fẹ lọ.Nitorinaa, o ni imọran lati wiwọn awọn akoko, jẹ ki awọn ikosile idiju rọrun, ati yago fun regex iwuwo pupọ.

Lẹhin ti o kọja nipasẹ ipele idanwo yàrá yẹn, iwọ yoo ni anfani lati Ṣe igbega awọn ofin si agbegbe iṣelọpọBoya o wa ninu SIEM rẹ, awọn ọna ṣiṣe afẹyinti rẹ, awọn olupin imeeli, tabi nibikibi ti o fẹ lati ṣepọ wọn. Maṣe gbagbe lati ṣetọju iwọn atunwo lemọlemọfún: bi awọn ipolongo ṣe ndagba, awọn ofin rẹ yoo nilo awọn atunṣe igbakọọkan.

Awọn irinṣẹ, awọn eto ati ṣiṣan iṣẹ pẹlu YAR

Ni ikọja alakomeji osise, ọpọlọpọ awọn akosemose ti ṣe agbekalẹ awọn eto kekere ati awọn iwe afọwọkọ ni ayika YARA lati dẹrọ lilo ojoojumọ rẹ. A aṣoju ona je ṣiṣẹda ohun elo fun jọ ara rẹ aabo kit ti o laifọwọyi ka gbogbo awọn ofin ninu folda kan ati ki o kan wọn si ohun onínọmbà liana.

Iru awọn irinṣẹ ibilẹ wọnyi nigbagbogbo n ṣiṣẹ pẹlu ilana ilana ti o rọrun: folda kan fun ofin gbaa lati ayelujara lati ayelujara (fun apẹẹrẹ, "rulesyar") ati folda miiran fun awọn awọn faili ifura ti yoo ṣe atupale (fun apẹẹrẹ, "malware"). Nigbati eto naa ba bẹrẹ, o ṣayẹwo pe awọn folda mejeeji wa, ṣe atokọ awọn ofin loju iboju, ati murasilẹ fun ipaniyan.

Nigbati o ba tẹ bọtini kan bi "Bẹrẹ ayẹwoOhun elo naa lẹhinna ṣe ifilọlẹ iṣẹ YARA pẹlu awọn aye ti o fẹ: ọlọjẹ gbogbo awọn faili inu folda, itupalẹ igbagbogbo ti awọn iwe-ipamọ, awọn iṣiro ti njade, metadata titẹjade, bbl Eyikeyi awọn ere-kere ti han ni window awọn abajade, nfihan iru faili wo ni ibamu pẹlu ofin naa.

Ṣiṣan iṣẹ yii ngbanilaaye, fun apẹẹrẹ, wiwa awọn ọran ni ipele ti awọn imeeli okeere. awọn aworan ifibọ irira, awọn asomọ ti o lewu, tabi awọn oju opo wẹẹbu ti o farapamọ sinu awọn faili ti o dabi ẹnipe aibikitaỌpọlọpọ awọn iwadii oniwadi ni awọn agbegbe ile-iṣẹ gbarale ni pipe lori iru ẹrọ yii.

Nipa awọn paramita to wulo julọ nigbati o n pe YAR, awọn aṣayan bii atẹle yii duro jade: -r lati wa leralera, -S lati ṣafihan awọn iṣiro, -m lati jade metadata, ati -w lati foju kọ awọn ikilọNipa apapọ awọn asia wọnyi o le ṣatunṣe ihuwasi si ọran rẹ: lati itupalẹ iyara ni itọsọna kan pato si ọlọjẹ pipe ti eto folda eka kan.

Awọn iṣe ti o dara julọ nigba kikọ ati mimu awọn ofin YARA

Lati ṣe idiwọ ibi ipamọ awọn ofin rẹ lati di idotin ti a ko le ṣakoso, o ni imọran lati lo lẹsẹsẹ awọn iṣe ti o dara julọ. Ohun akọkọ ni lati ṣiṣẹ pẹlu awọn awoṣe deede ati awọn apejọ orukọki oluyanju eyikeyi le loye ni iwo kan kini ofin kọọkan ṣe.

Ọpọlọpọ awọn ẹgbẹ gba ọna kika boṣewa ti o pẹlu akọsori pẹlu metadata, awọn afi ti o nfihan iru irokeke, oṣere tabi pẹpẹ, ati apejuwe ti o daju ti ohun ti a riiEyi ṣe iranlọwọ kii ṣe inu nikan, ṣugbọn tun nigbati o ba pin awọn ofin pẹlu agbegbe tabi ṣe alabapin si awọn ibi ipamọ ti gbogbo eniyan.

Atilẹyin miiran ni lati ranti nigbagbogbo YARA jẹ ipele aabo kan diẹ siiKo rọpo sọfitiwia antivirus tabi EDR, ṣugbọn kuku ṣe iranlowo wọn ni awọn ilana fun Dabobo PC Windows rẹNi deede, YAR yẹ ki o baamu laarin awọn ilana itọkasi gbooro, gẹgẹbi ilana NIST, eyiti o tun ṣalaye idanimọ dukia, aabo, wiwa, idahun, ati imularada.

Lati oju-ọna imọ-ẹrọ, o tọ lati ya akoko si yago fun eke positivesEyi pẹlu yago fun awọn okun jeneriki pupọju, apapọ awọn ipo pupọ, ati lilo awọn oniṣẹ bii gbogbo o eyikeyi ti Lo ori rẹ ki o lo anfani awọn ohun-ini igbekale faili naa. Ni pato diẹ sii ni imọran ti o wa ni ayika ihuwasi malware, dara julọ.

Níkẹyìn, bojuto kan discipline ti versioning ati igbakọọkan awotẹlẹ O ṣe pataki. Awọn idile Malware ndagba, awọn afihan yipada, ati awọn ofin ti o ṣiṣẹ loni le kuna tabi di ti atijo. Atunwo ati isọdọtun ofin rẹ ti a ṣeto lorekore jẹ apakan ti ere ologbo-ati-asin ti cybersecurity.

Agbegbe YAR ati awọn orisun to wa

Ọkan ninu awọn idi pataki ti YAR ti de bẹ ni agbara ti agbegbe rẹ. Awọn oniwadi, awọn ile-iṣẹ aabo, ati awọn ẹgbẹ idahun lati kakiri agbaye nigbagbogbo n pin awọn ofin, awọn apẹẹrẹ, ati iwe.ṣiṣẹda kan gan ọlọrọ ilolupo.

Awọn ifilelẹ ti awọn ojuami ti itọkasi ni awọn Ibi ipamọ osise YAR lori GitHubNibẹ ni iwọ yoo rii awọn ẹya tuntun ti ọpa, koodu orisun, ati awọn ọna asopọ si iwe. Lati ibẹ o le tẹle ilọsiwaju ti iṣẹ akanṣe, jabo awọn ọran, tabi ṣe alabapin awọn ilọsiwaju ti o ba fẹ.

Awọn iwe aṣẹ osise, ti o wa lori awọn iru ẹrọ bii ReadTheDocs, awọn ipese Itọsọna sintasi pipe, awọn modulu ti o wa, awọn apẹẹrẹ ofin, ati awọn itọkasi liloO jẹ orisun pataki fun lilo awọn iṣẹ to ti ni ilọsiwaju julọ, gẹgẹbi ayewo PE, ELF, awọn ofin iranti, tabi awọn iṣọpọ pẹlu awọn irinṣẹ miiran.

Ni afikun, awọn ibi ipamọ agbegbe wa ti awọn ofin YARA ati awọn ibuwọlu nibiti awọn atunnkanka lati gbogbo agbala aye. Wọn ṣe atẹjade awọn akojọpọ imurasilẹ-lati-lo tabi awọn akojọpọ ti o le ṣe deede si awọn iwulo rẹ.Awọn ibi-ipamọ wọnyi ni igbagbogbo pẹlu awọn ofin fun awọn idile malware kan pato, awọn ohun elo ilokulo, awọn irinṣẹ inntisting ti irira, awọn oju opo wẹẹbu, awọn cryptominers, ati pupọ diẹ sii.

Ni afiwe, ọpọlọpọ awọn aṣelọpọ ati awọn ẹgbẹ iwadii nfunni Ikẹkọ ni pato ni YAR, lati awọn ipele ipilẹ si awọn iṣẹ ikẹkọ ti ilọsiwaju pupọAwọn ipilẹṣẹ wọnyi nigbagbogbo pẹlu awọn laabu foju ati awọn adaṣe ọwọ-lori ti o da lori awọn oju iṣẹlẹ gidi-aye. Diẹ ninu paapaa ni a funni ni ọfẹ si awọn ajọ ti kii ṣe ere tabi awọn nkan pataki ni pataki si awọn ikọlu ìfọkànsí.

Gbogbo ilolupo eda yii tumọ si pe, pẹlu iyasọtọ diẹ, o le lọ lati kikọ awọn ofin ipilẹ akọkọ rẹ si se agbekale fafa suites ti o lagbara ti ipasẹ eka ipolongo ati iwari mura awọn irokekeAti pe, nipa apapọ YARA pẹlu antivirus ibile, afẹyinti to ni aabo, ati oye eewu, o jẹ ki awọn nkan nira pupọ siwaju sii fun awọn oṣere irira ti n rin kiri lori intanẹẹti.

Pẹlu gbogbo awọn ti o wa loke, o han gbangba pe YARA jẹ diẹ sii ju ohun elo laini aṣẹ ti o rọrun: o jẹ nkan nkan ni eyikeyi ilana wiwa malware to ti ni ilọsiwaju, ohun elo ti o rọ ti o ṣe deede si ọna ironu rẹ bi oluyanju ati a ede ti o wọpọ ti o so awọn yàrá, SOCs ati agbegbe iwadi ni ayika agbaye, gbigba ofin titun kọọkan lati fi miiran Layer ti Idaabobo lodi si increasingly fafa ipolongo.