Magyarázat: YARA szabályok

    Pieter Arntz Pieter Arntz
    4 évvel ezelőtt

Yara logo

A YARA szabályok A rosszindulatú programok (vagy más fájlok) azonosítására szolgálnak bizonyos jellemzőket kereső szabályok létrehozásával. A YARA-t eredetileg Victor Alvarez, a Virustotal fejlesztette ki, és elsősorban a rosszindulatú programok kutatásában és felderítésében használják. Azzal a gondolattal fejlesztették ki, hogy leírják azokat a mintákat, amelyek azonosítják a rosszindulatú programok bizonyos törzseit vagy egész családjait.

szintaxis

minden szabálynak a szabály szóval kell kezdődnie, amelyet a név vagy az azonosító követ. Az azonosító tartalmazhat bármilyen alfanumerikus karaktert és aláhúzás karaktert, de az első karakter nem lehet számjegy. Van egy lista A Yara kulcsszavakról, amelyeket nem szabad azonosítóként használni, mert előre meghatározott jelentéssel bírnak.

feltétel

a szabályok több szakaszból állnak. A feltétel szakasz az egyetlen, amelyre szükség van. Ez a szakasz meghatározza, hogy a szabály eredménye mikor igaz a vizsgált objektumra (fájlra). Tartalmaz egy logikai kifejezést, amely meghatározza az eredményt. A feltételek logikai kifejezések, és tartalmazhatnak minden szokásos logikai és relációs operátort. A feltételek részeként egy másik szabályt is felvehet.

Strings

ahhoz, hogy a feltétel szakasz jelentést adjon, szükség lesz egy strings szakaszra is. A karakterláncok szakaszokban határozhatja meg a fájlban keresett karakterláncokat. Nézzünk egy egyszerű példát.

rule vendor
{
strings:
$text_string1 = "Vendor name" wide
$text_string2 = "Alias name" wide
condition:
$text_string1 or $text_string2
}

a fenti szabály neve szállító, és a “szállító neve” és az “Alias neve”karakterláncokat keresi. Ha bármelyik karakterlánc megtalálható, akkor a szabály eredménye igaz.

többféle karakterláncot lehet keresni:

  • hexadecimális, vadkártyákkal, ugrásokkal és alternatívákkal kombinálva.
  • szöveges karakterláncok módosítókkal: nocase, fullword, wide és ascii.
  • reguláris kifejezések, ugyanazokkal a módosítókkal, mint a szöveges karakterláncok.

sokkal fejlettebb feltételek is használhatók, de ezek kívül esnek ezen a poszton. Ha többet szeretne tudni, megtalálja a YARA dokumentációjában.

metaadatok

metaadatok adhatók hozzá, hogy segítsenek azonosítani azokat a fájlokat, amelyeket egy bizonyos szabály felvett. A metaadat-azonosítókat mindig egy egyenlőségjel és a beállított érték követi. A hozzárendelt értékek lehetnek karakterláncok, egész számok vagy logikai értékek. Ne feledje, hogy a metaadatok szakaszban meghatározott azonosító/érték párok nem használhatók a feltétel szakaszban, egyetlen céljuk a szabályra vonatkozó további információk tárolása.

összefoglaló

A YARA olyan eszköz, amely bizonyos feltételeknek megfelelő fájlok azonosítására használható. Elsősorban a biztonsági kutatók használják a rosszindulatú programok osztályozására.

linkek

aláírás-alapú észlelés A YARA-val

legújabb Yara dokumentáció

YARA: Egyszerű és hatékony módja a Boncoló Malware

screenshotok készült A Yara szerkesztő által Adlice Software

Pieter Arntz



+