Signature-Based Detection With YARA

edellisessä viestissä puhuin siitä, miten voit käyttää STIXIÄ, TAXII: ta ja Cyboxia uhkatiedon jakamiseen.

yksi kybertuhoavan tiedon hyvään käyttöön saattamisen avaintekijöistä edellyttää, että tieto on toimintakelpoista tai ainakin käyttökelpoista. Jaettujen tietojen on oltava tarkkoja, täydellisiä ja ympäristösi kannalta merkityksellisiä.

CybOX tarjoaa yhteisen rakenteen kyberhavaintojen esittämiseen yritysten kyberturvallisuuden toiminta-alueilla ja niiden kesken. CybOX voi sisältää hasheja, merkkijonoja tai rekisteriavaimia. Järjestelmän kautta annettujen tietojen avulla voidaan tarkistaa, onko ympäristössäsi haittaohjelmia. YARA on yksi vaihtoehto Cyboxin käytölle, mutta nämä kaksi eivät sulje toisiaan pois.

mitä YARA on?

YARA on työkalu, joka on suunniteltu auttamaan haittaohjelmien tutkijoita tunnistamaan ja luokittelemaan haittaohjelmanäytteitä. Sitä on kutsuttu kuviota vastaavaksi Sveitsin armeijan veitseksi turvallisuustutkijoille (ja kaikille muillekin). Se on multiplatform ja sitä voidaan käyttää sekä sen komentoriviliitännästä tai omien Python-skriptien kautta.

työkalun avulla voit suorittaa allekirjoituspohjaisen haittaohjelmien tunnistuksen, jotain samaa, mitä virustorjuntaratkaisut voivat tehdä sinulle.

Miten Sitä Käytetään?

käyttääksesi tätä menetelmää tarvitset säännön ja tiedoston, jonka haluat tarkistaa. Voit esimerkiksi ajaa sen komentoriviltä käyttämällä:
tämä tulostetaan, jos annettu sääntö vastaa annettua tiedostoa. Jos et näe tulosta, ja et ole käyttänyt negate-vaihtoehtoa, tämä tarkoittaa, että mikään sääntö ei ole täsmännyt.

voit käynnistää sen useilla konfiguraatiokytkimillä; nämä ovat kaksi tärkeintä :

  • -n: Print only not-satised rules (negate).
  • – r: Etsi rekursiivisesti kansioita.

säännöt

sääntö on joukko merkkijonoja ja jonkinlainen logiikka, joka on kirjoitettu Boolen lausekkeilla.

on olemassa tuki kolmelle eri merkkijonotyypille:

  • Heksadesimaaliset merkkijonot, jotka ovat hyödyllisiä raakojen tavujen määrittelyssä;
  • tekstijonot;
  • Säännölliset lausekkeet.

ehdot ovat Boolen lausekkeita, jotka tunnistaa tavallisista ohjelmointikielistä. Ne voivat toimia millä tahansa annetuilla merkkijonoilla, mutta myös erityisillä sisäänrakennetuilla muuttujilla, kuten tiedostokoolla, tai ulkopuolisilla muuttujilla, jotka määrittelet säännön ulkopuolella. Tukea on myös moduulien, kuten Käen, käytölle laajentaa ominaisuuksia, joita voi käyttää olosuhteissa.

hyödyt YARASTA eniten, jos annat sille hyvät säännöt. Voit joko kirjoittaa omat sääntösi tai hankkia ne toiselta palveluntarjoajalta.

kirjoita omat sääntösi

omien sääntöjen kirjoittaminen ei ole kovin vaikeaa, jos otat nämä ohjeet huomioon:

  • kriteerien, joita käytät täsmäämiseen, täytyy olla välttämätön osa haittaohjelman käyttäytymistä.
  • kriteerien pitäisi riittää erottamaan testattu haittaohjelmaperhe muista haittaohjelmaperheistä.
  • kriteerien on oltava sellaisia, jotka ovat yhteisiä eri otoksissa.

kun olet analysoinut haittaohjelman ja poiminut siitä hyödyllisiä, tunnistettavia tietoja, voit muuttaa tiedot YARA-kieliksi ja yhdistää ne jonkinlaiseen logiikkaan.

Hanki säännöt ulkoisista lähteistä

koska YARA käyttää allekirjoituksia samaan tapaan kuin virustorjuntaratkaisut, olisi järkevää käyttää näitä allekirjoituksia uudelleen sääntötietokantana. Skriptin avulla clamav_to_yara.py, voit muuntaa ClamAV allekirjoitus tietokanta omaan sääntöihin.

toinen sääntöjen lähde on Github-arkiston YaraRules. Kyseessä on GNU-GPLv2-lisenssin alainen sääntökokoelma, jota ylläpitää joukko tietoturvatutkijoita. Säännöt on tallennettu eri luokkiin-sääntöjen tarkoituksena on havaita anti-debug ja anti-visualisointi tekniikoita, haitallisia asiakirjoja, pakkaajia, jne. – ja usein päivitetty. Voit saada ne kloonaamalla GitHub arkisto.

jotkin uhkatiedon jakamisalustat, kuten MISP ja ThreatConnect, tukevat myös YARAA. Näin voit rakentaa sääntöjä omien kerättyjen uhkatietojen pohjalta.

luo automaattisesti säännöt

Joe Sandboxin Sääntögeneraattorin avulla voit luoda allekirjoituksia Windowsille staattisen ja dynaamisen käyttäytymisen perusteella. Huomaa, että samat säännöt pätevät kuin käytettäessä ilmaisia online-haittaohjelmistojen analysointihiekkalaatikoita. Lataat tiedostosi ulkoiseen pilvipalveluun, mitä ei pitäisi tehdä arkaluonteisilla tiedostoilla tai tiedoilla, jotka sisältävät minkäänlaisia käyttäjätunnuksia.

Lisäkäyttötapaukset

mainitsin aiemmin, että ClamAV-tietokannan voi muuntaa käyttökelpoiseksi sääntökokonaisuudeksi. Se menee myös toisinpäin. Oletetaan, että sinulla on joukko yksityiskohtaisia sääntöjä. Voit määrittää Clamavin laajentamaan ominaisuuskokonaisuuttaan antamillasi säännöillä ja tukemaan YARAA. Näin voit sovittaa sääntöjä pakattuja tai pakattuja tiedostoja. VirusTotal private API: ssa on myös ominaisuus, jolla voit syöttää omia sääntöjäsi ja saada ne käynnistymään, kun vastaava näyte Ladataan.

allekirjoitukseen perustuva suoja ei riitä

pelkkä allekirjoitukseen perustuva suoja ei enää kelpaa. Hyökkääjät ovat kehittäneet vastatoimia, joilla he voivat ohittaa tämän menetelmän. Käyttämällä erilaisia kryptauspalveluja, pakkaajia ja polymorphism, ne voivat helposti luoda haittaohjelmia, jotka ovat tarpeeksi erilaisia niin, että se ei enää vastaa olemassa olevia allekirjoituksia. Sen jälkeen kestää jonkin aikaa, ennen kuin uusi maku on poimittu ja allekirjoitus on jaettu.

nämä haitat eivät tee allekirjoitukseen perustuvaa tunnistusta vanhentuneeksi. Turvallisuusyhteisö on vahva jakamaan uusia uhkamittareita, joten tämäntyyppiset työkalut osoittautuvat silti tärkeäksi voimavaraksi arsenaalillesi.

johtopäätös

vaikka allekirjoituspohjaisella tunnistuksella YARALLA on rajansa, se on helppokäyttöinen ja melko yksinkertainen tapa havaita haittaohjelmat ympäristössäsi. Ei olisi viisasta luottaa siihen ainoana uhkien suojaamistoimenpiteenä, mutta suoraviivaisen käytön vuoksi tämänkin työkalun puuttuminen ei olisi hyvä idea.

You might also like

Vastaa

Sähköpostiosoitettasi ei julkaista.