야라 규칙은 특정 특성을 찾는 규칙을 만들어 맬웨어(또는 기타 파일)를 식별하는 방법입니다. 이 리디렉션 바이러스는 지속적으로 인터넷 연결을 리디렉션하고 안전하지 않게보고 계십니다 있음을 알려드립니다. 그것은 특정 균주 또는 악성 코드의 전체 가족을 식별하는 패턴을 설명하는 아이디어로 개발되었다.
구문
각 규칙은 이름 또는 식별자 뒤에 단어 규칙으로 시작해야 합니다. 식별자는 영숫자와 밑줄 문자를 포함할 수 있지만 첫 번째 문자는 숫자가 될 수 없습니다. 그들은 미리 정의 된 의미를 가지고 있기 때문에 식별자로 사용할 수 없습니다 야라 키워드의 목록이 있습니다.
조건
규칙은 여러 섹션으로 구성됩니다. 조건 섹션은 필요한 유일한 섹션입니다. 이 섹션에서는 조사 중인 개체(파일)에 대해 규칙 결과가 참인 시기를 지정합니다. 결과를 결정하는 부울 식이 포함되어 있습니다. 조건은 설계 상 부울 표현식이며 모든 일반적인 논리 및 관계 연산자를 포함 할 수 있습니다. 당신은 또한 당신의 조건의 일부로 다른 규칙을 포함 할 수 있습니다.
문자열
조건 섹션에 의미를 부여하려면 문자열 섹션도 필요합니다. 문자열 섹션은 파일에서 찾을 문자열을 정의할 수 있는 섹션입니다. 의 쉬운 예를 살펴 보자.
rule vendor
{
strings:
$text_string1 = "Vendor name" wide
$text_string2 = "Alias name" wide
condition:
$text_string1 or $text_string2
}
위에 표시된 규칙은 공급 업체라고하며”공급 업체 이름”및”별칭 이름”문자열을 찾습니다. 이러한 문자열 중 하나가 발견되면 규칙의 결과가 참입니다.
찾을 수 있는 문자열에는 몇 가지 유형이 있습니다:
- 와일드 카드,점프 및 대안과 함께 16 진수.
- 텍스트 문자열.
- 정규 표현식(텍스트 문자열과 동일한 한정자 포함)
사용할 수있는 더 많은 고급 조건이 있지만 이 게시물의 범위를 벗어납니다. 당신이 더 알고 싶은 경우에 당신은 야라 문서에서 찾을 수 있습니다.
메타데이터
메타데이터를 추가하여 특정 규칙에 의해 선택된 파일을 식별할 수 있습니다. 메타데이터 식별자 뒤에는 항상 등호와 설정 값이 옵니다. 할당된 값은 문자열,정수 또는 부울 값일 수 있습니다. 메타데이터 섹션에 정의된 식별자/값 쌍은 조건 섹션에서 사용할 수 없으며 규칙에 대한 추가 정보를 저장하는 것이 유일한 목적입니다.
요약
야라는 특정 조건을 충족하는 파일을 식별하는 데 사용할 수 있는 도구입니다. 이 악성 코드를 분류하는 보안 연구자에 의해 주로 사용 중입니다.
링크
야라와 서명 기반 탐지
최신 야라 문서
야라: 악성 코드를 해부의 간단하고 효과적인 방법
스크린 샷은 애들리스 소프트웨어에 의해 야라 편집기를 사용하여 만들어졌다
피터 안츠