와 함께 서명 기반 탐지 이전 게시물에서,나는 당신이 위협 인텔리전스를 공유 할 수 스틱스,택시와 싸이 박스를 사용하는 방법에 대해 이야기했다.
사이버 위협 정보를 잘 활용하기 위한 핵심 요소 중 하나는 해당 정보가 실행 가능하거나 최소한 사용 가능해야 한다는 것이다. 공유된 정보는 정확하고 완전하며 환경에 적합해야 합니다.
싸이박스는 기업 사이버보안의 운영 영역 전반과 그 사이에서 사이버 관찰 가능한 것들을 대표하기 위한 공통 구조를 제공한다. 사이 박스는 해시,문자열 또는 레지스트리 키를 포함 할 수 있습니다. 시스템을 통해 제공되는 정보를 사용하여 환경 내에 맬웨어가 있는지 확인할 수 있습니다. 야라는 사이 박스를 사용하는 대안 중 하나입니다,하지만 두 사람은 상호 배타적 없습니다.
야라 란 무엇입니까?
야라는 악성 코드 연구자가 악성 코드 샘플을 식별하고 분류 할 수 있도록 설계된 도구입니다. 보안 연구원(및 기타 모든 사람)을위한 패턴 매칭 스위스 군용 칼이라고 불 렸습니다. 그것은 멀티 플랫폼이며 명령 줄 인터페이스 모두에서 또는 자신의 파이썬 스크립트를 통해 사용할 수 있습니다.
이 도구를 사용하면 바이러스 백신 솔루션이 당신을 위해 할 수있는 것과 유사한 맬웨어의 서명 기반 탐지를 수행 할 수 있습니다.7329
어떻게 사용하나요?
이 방법을 사용하려면 규칙과 검사할 파일이 필요합니다. 예를 들어 명령줄에서 실행하려면 다음과 같이 사용합니다.
출력이 표시되지 않고 부정 옵션을 사용하지 않은 경우 일치하는 규칙이 없음을 의미합니다.
여러 구성 스위치로 시작할 수 있습니다; 이 두 가지 가장 중요한:
- -엔:만족하지 않은 규칙 만 인쇄하십시오(부정).
- -아르 자형:디렉토리를 통해 재귀 적으로 검색하십시오.
규칙
규칙은 부울 표현식으로 작성된 문자열 집합과 논리 형식입니다.
문자열의 세 가지 유형에 대한 지원이 있습니다:
- 원시 바이트를 정의하는 데 유용한 16 진수 문자열,
- 텍스트 문자열,
- 정규 표현식.
조건은 일반 프로그래밍 언어에서 인식하는 부울 식입니다. 지정된 문자열뿐만 아니라 파일 크기와 같은 특수 기본 제공 변수 또는 규칙 외부에서 정의하는 외부 변수에 대해서도 작업할 수 있습니다. 당신이 조건에서 사용할 수있는 기능을 확장,같은 뻐꾸기 등의 모듈의 사용에 대한 지원도 있습니다.
당신이 그것을 좋은 규칙 세트를 제공하는 경우 당신은 야라에서 가장 혜택을 누릴 수 있습니다. 당신은 당신의 자신의 규칙을 작성하거나 다른 공급자에서 그들을 얻을 수 있습니다.
자신의 규칙을 작성
자신의 규칙을 작성하는 것은 이러한 지침을 고려하는 경우 그렇게 어렵지 않다:
- 일치하는 데 사용하는 기준은 맬웨어 동작에 필요한 부분이어야 합니다.
- 기준은 테스트된 맬웨어 패밀리와 다른 맬웨어 패밀리를 구별하기에 충분해야 합니다.
- 기준은 서로 다른 샘플에서 공통적인 것이어야 합니다.
악성코드를 분석하고 악성코드에서 인식할 수 있는 유용한 데이터를 추출하면 정보를 야라 문자열로 변환하고 이를 논리 형식으로 결합할 수 있습니다.
외부 소스에서 규칙 가져오기
야라는 바이러스 백신 솔루션과 유사한 서명을 사용하기 때문에 이러한 서명을 규칙 데이터베이스로 재사용하는 것이 좋습니다. 스크립트를 사용하여 clamav_to_yara.py,당신은 당신의 자신의 규칙 집합에 클라 마브 서명 데이터베이스를 변환 할 수 있습니다.
규칙의 또 다른 소스는 다음과 같습니다. 이 패키지에는 주 프로그램 바이너리와 미리 컴파일된 대수 및 자동 로드 모듈이 전부 들어있습니다. 규칙은 디버그 방지 및 시각화 방지 기술,악성 문서,포장기 등을 탐지하기위한 규칙 등 다양한 범주에 저장됩니다. -자주 업데이트됩니다. 당신은 기 허브 저장소를 복제하여 그들을 얻을 수 있습니다.
일부 위협 인텔리전스 공유 플랫폼(예:잘못 및 위협 연결)도 야라를 지원합니다. 이를 통해 수집 된 위협 정보를 기반으로 규칙을 구축 할 수 있습니다.
규칙 자동 생성
조 샌드박스의 규칙 생성기를 사용하면 정적 및 동적 동작 데이터를 기반으로 윈도우에 대한 서명을 만들 수 있습니다. 무료 온라인 맬웨어 분석 샌드박스를 사용할 때와 동일한 규칙이 적용됩니다. 당신은 중요한 파일이나 사용자 자격 증명의 형태를 포함하는 데이터를 수행 할 수 없습니다 외부 클라우드 서비스에 파일을 업로드하고 있습니다.
추가 사용 사례
앞서 언급한 바와 같이,클라 마브 데이터베이스를 사용 가능한 규칙 집합으로 변환할 수 있습니다. 그것은 또한 다른 길을 간다. 자세한 규칙 집합이 있다고 가정해 보겠습니다. 당신은 당신이 제공하는 규칙 및 지원 야라와 설정 기능을 확장 클라 마브를 구성 할 수 있습니다. 이렇게 하면 압축 또는 압축된 파일에 대한 규칙을 일치시킬 수 있습니다. 당신이 당신의 자신의 규칙을 입력하고 일치하는 샘플이 업로드 될 때 트리거 할 수있는 기능을 가지고 있습니다.
서명 기반 보호만으로는 충분하지 않음
서명 기반 보호에만 의존하는 것만으로는 더 이상 충분하지 않습니다. 공격자는 이 방법을 우회하는 데 사용할 수 있는 대책을 개발했습니다. 다양한 암호화 서비스,포장업자 및 다형성을 사용하여 더 이상 기존 서명과 일치하지 않도록 충분히 다른 맬웨어를 쉽게 생성 할 수 있습니다. 그런 다음 새로운 맛을 선택하고 서명이 공유되기 전에 약간의 시간이 걸립니다.
이러한 단점은 시그니처 기반 검색을 쓸모 없게 만들지 않습니다. 보안 커뮤니티는 새로운 위협 지표를 공유하는 데 강하기 때문에 이러한 유형의 도구는 여전히 귀하의 무기고에 중요한 자산이 될 것입니다.
결론
야라와 서명 기반 탐지는 한계가 있지만,그것은 당신의 환경에서 악성 코드를 탐지하는 사용하기 쉽고 매우 간단한 방법입니다. 그것은 유일한 위협 보호 조치로 그것에 의존하는 것이 현명하지 않을 것이다,그러나 간단한 사용을 주어,이 도구에 밖으로 누락하는 것은 좋은 생각이 될 수 없습니다,하나.