egy korábbi bejegyzésben arról beszéltem, hogyan lehet a Stix, a TAXII és a CybOX segítségével megosztani a fenyegetési intelligenciát.
a kiberfenyegetési információk megfelelő hasznosításának egyik kulcseleme megköveteli, hogy az információ cselekvőképes vagy legalábbis használható legyen. A megosztott információknak pontosnak, teljesnek és a környezet szempontjából relevánsnak kell lenniük.
a CybOX közös struktúrát biztosít a számítógépes megfigyelések ábrázolására a vállalati kiberbiztonság működési területein és azok között. A CybOX tartalmazhat hash-eket, karakterláncokat vagy rendszerleíró kulcsokat. A rendszeren keresztül szolgáltatott információk felhasználhatók a rosszindulatú programok jelenlétének ellenőrzésére a környezetben. A YARA a CyBOX használatának egyik alternatívája, de a kettő nem zárja ki egymást.
mi az A YARA?
A YARA egy olyan eszköz, amelyet arra terveztek, hogy segítse a rosszindulatú programok kutatóit a rosszindulatú programok mintáinak azonosításában és osztályozásában. A svájci bicska a biztonsági kutatók (és mindenki más) számára. Ez többplatformos, és lehet használni mind a parancssori felület vagy a saját Python szkriptek.
az eszköz lehetővé teszi a rosszindulatú programok aláírás-alapú észlelését, ami hasonló ahhoz, amit a víruskereső megoldások tehetnek az Ön számára.
Hogyan Használja?
a módszer használatához szükség van egy szabályra és egy fájlra, amelyet ellenőrizni szeretne. Például a parancssorból történő futtatáshoz használja:
ez akkor jelenik meg, ha az adott szabály megegyezik a megadott fájlban. Ha nem látja a kimenetet, és nem használta a negate opciót, akkor ez azt jelenti, hogy egyetlen szabály sem egyezik meg.
számos konfigurációs kapcsolóval indíthatja el; ez a két legfontosabb :
- -n: csak nem elégedett szabályok nyomtatása (negate).
- – r: rekurzív keresés a könyvtárak között.
szabályok
a szabály egy sor húrok és valamilyen formában a logika, írt logikai kifejezések.
három különböző típusú karakterláncot támogat:
- hexadecimális karakterláncok, amelyek hasznosak a nyers bájtok meghatározásához;
- szöveges karakterláncok;
- reguláris kifejezések.
a feltételek logikai kifejezések, amelyeket fel fog ismerni a szokásos programozási nyelvekből. Működhetnek az adott karakterláncok bármelyikén, de speciális beépített változókon is, például a fájlméreten vagy a szabályon kívül definiált külső változókon. Támogatja a modulok, például a kakukk használatát is, hogy kiterjessze azokat a funkciókat, amelyeket a körülmények között használhat.
a Yara a legtöbbet fogja profitálni, ha jó szabályrendszert biztosít. Vagy megírhatja saját szabályait, vagy beszerezheti azokat egy másik szolgáltatótól.
Írja meg saját szabályait
a saját szabályainak megírása nem olyan nehéz, ha figyelembe veszi ezeket az irányelveket:
- az egyeztetéshez használt kritériumoknak a rosszindulatú program viselkedésének szükséges részét kell képezniük.
- a kritériumoknak elegendőnek kell lenniük ahhoz, hogy megkülönböztessék a tesztelt kártevőcsaládot a többi kártevőcsaládtól.
- a kritériumoknak közösnek kell lenniük a különböző mintákban.
miután elemezte a rosszindulatú programot, és hasznos, felismerhető adatokat vont ki belőle, átalakíthatja az információkat YARA karakterláncokká, és összekapcsolhatja őket valamilyen logikával.
szabályok beszerzése külső forrásokból
mivel a YARA a víruskereső megoldásokhoz hasonló aláírásokat használ, érdemes ezeket az aláírásokat szabályadatbázisként újra felhasználni. A szkript használatával clamav_to_yara.py, konvertálhatja a ClamAV aláírási adatbázist saját szabálykészletévé.
a szabályok másik forrása a Github repository YaraRules. Ez egy szabálykészlet a GNU-GPLv2 licenc alatt, amelyet informatikai biztonsági kutatók egy csoportja tart fenn. A szabályokat különböző kategóriákban tárolják — olyan szabályok, amelyek célja a hibakeresés és a megjelenítés elleni technikák, a rosszindulatú dokumentumok, a csomagolók stb. – és gyakran frissítik. A Github adattár klónozásával megszerezheti őket.
egyes fenyegetésintelligencia-megosztó platformok, mint például a MISP és a ThreatConnect, szintén támogatják a YARA-t. Ez lehetővé teszi a szabályok felépítését a saját összegyűjtött fenyegetési információk alapján.
automatikusan létrehoz szabályokat
A Joe Sandbox Szabálygenerátorának használatával létrehozhat aláírásokat a Windows rendszerhez statikus és dinamikus viselkedési adatok alapján. Vegye figyelembe, hogy ugyanazok a szabályok érvényesek, mint az ingyenes online rosszindulatú programok elemzésének homokozóinak használatakor. A fájlokat egy külső felhőszolgáltatásba tölti fel, amelyet nem szabad érzékeny fájlokkal vagy a felhasználói hitelesítő adatok bármilyen formáját tartalmazó adatokkal megtenni.
további használati esetek
korábban említettem, hogy a ClamAV adatbázist használható szabálykészletre konvertálhatja. Ez fordítva is megy. Tegyük fel, hogy van egy sor részletes szabály. Beállíthatja, hogy a ClamAV kibővítse a szolgáltatáskészletét a megadott szabályokkal, és támogassa a YARA-t. Ez lehetővé teszi, hogy megfeleljen a tömörített vagy csomagolt fájlok szabályainak. A VirusTotal private API-nak van egy olyan funkciója is, amellyel megadhatja saját szabályait, és aktiválhatja őket, amikor egy megfelelő mintát tölt fel.
az aláírás-alapú védelem nem elég
már nem elég csak az aláírás-alapú védelemre támaszkodni. A támadók ellenintézkedéseket fejlesztettek ki, amelyekkel megkerülhetik ezt a módszert. A különböző kriptográfiai szolgáltatások, a csomagolók és a polimorfizmus használatával könnyen létrehozhatnak olyan rosszindulatú programokat, amelyek eléggé különböznek egymástól, így már nem felelnek meg a meglévő aláírásoknak. Ezután eltart egy ideig, amíg az új ízt felveszi,és aláírja.
ezek a hátrányok nem teszik elavulttá az aláírás-alapú észlelést. A biztonsági közösség erősen megosztja az új fenyegetési mutatókat, így az ilyen típusú eszközök továbbra is fontos eszköznek bizonyulnak arzenáljában.
következtetés
bár a Yara-val való aláírás-alapú észlelésnek vannak korlátai, ez egy könnyen használható és meglehetősen egyszerű módja a rosszindulatú programok észlelésének a környezetben. Nem lenne bölcs dolog, hogy támaszkodni, mint az egyetlen fenyegetés védelmi intézkedés, de mivel az egyszerű használat, kimaradnak ez az eszköz nem lenne jó ötlet, bármelyik.