Yaran säännöt ovat tapa tunnistaa haittaohjelmia (tai muita tiedostoja) luomalla sääntöjä, jotka etsivät tiettyjä ominaisuuksia. YARA on alun perin VirusTotalin Victor Alvarezin kehittämä ja sitä käytetään pääasiassa haittaohjelmien tutkimuksessa ja havaitsemisessa. Sen ideana oli kuvata kuvioita, jotka tunnistavat tiettyjä kantoja tai kokonaisia haittaohjelmaperheitä.
syntaksi
jokaisen säännön on alettava sanalla sääntö, jota seuraa nimi tai tunniste. Tunniste voi sisältää minkä tahansa aakkosnumeerisen merkin ja alaviivan, mutta ensimmäinen merkki ei saa olla numero. On luettelo YARA-avainsanoista, joita ei saa käyttää tunnisteena, koska niillä on ennalta määritelty merkitys.
ehto
säännöt koostuvat useista osioista. Kunto-osio on ainoa, joka tarvitaan. Tässä osiossa määritetään, milloin säännön tulos on tosi tutkittavalle objektille (tiedostolle). Se sisältää Boolen lausekkeen, joka määrittää tuloksen. Ehdot ovat rakenteeltaan Boolen lausekkeita ja voivat sisältää kaikki tavanomaiset loogiset ja relaatio-operaattorit. Voit myös sisällyttää toisen säännön osaksi ehtoja.
Jouset
jotta ehtoosiolle annettaisiin merkitys, tarvitaan myös jousisektio. Merkkijonot osiot on, jossa voit määritellä merkkijonoja, joita etsitään tiedostosta. Katsotaanpa helppo esimerkki.
rule vendor
{
strings:
$text_string1 = "Vendor name" wide
$text_string2 = "Alias name" wide
condition:
$text_string1 or $text_string2
}
yllä oleva sääntö on nimeltään myyjä ja etsii merkkijonoja ”toimittajan nimi”ja” Alias nimi”. Jos jompikumpi noista merkkijonoista löytyy, niin säännön tulos on tosi.
on olemassa useita kielityyppejä, joita voi etsiä:
- heksadesimaali yhdessä villikorttien, hyppyjen ja vaihtoehtojen kanssa.
- tekstijonot, joissa on modifioijia: nocase, fullword, wide ja ascii.
- Säännölliset lausekkeet, joissa on samat modifioijat kuin tekstimerkeissä.
on monia kehittyneempiä ehtoja, joita voi käyttää, mutta ne eivät kuulu tämän viran piiriin. Jos haluat tietää enemmän, löydät sen YARA-dokumentaatiosta.
metatiedot
metatiedot voidaan lisätä, jotta voidaan tunnistaa tietyllä säännöllä poimitut tiedostot. Metatunnisteita seuraa aina tasamerkki ja asetusarvo. Annetut arvot voivat olla merkkijonoja, kokonaislukuja tai Boolen arvo. Huomaa, että metatieto-osiossa määriteltyjä tunniste/arvo-pareja ei voi käyttää ehto-osiossa, niiden ainoa tarkoitus on tallentaa lisätietoja säännöstä.
Yhteenveto
YARA on työkalu, jolla voidaan tunnistaa tietyt ehdot täyttäviä tiedostoja. Se on pääasiassa tietoturvatutkijoiden käytössä haittaohjelmien luokittelussa.
linkit
allekirjoitukseen perustuva tunnistus Yaran kanssa
viimeisin Yara-dokumentaatio
YARA: Yksinkertainen ja tehokas tapa Dissektoida haittaohjelmia
kuvakaappauksia tehtiin Yara-Editorin avulla adlice Softwaren toimesta
Pieter Arntz