Articles

Signaturbasert Deteksjon med YARA

author
5 Min Read

I et tidligere innlegg snakket jeg om HVORDAN DU kan bruke STIX, TAXII og CybOX til å dele trusselintelligens.

en av de viktigste elementene for å sette cyberthreat informasjon til god bruk krever at informasjonen er praktisk, eller i det minste brukbar. Den delte informasjonen må være nøyaktig, fullstendig og relevant for ditt miljø.

CybOX gir en felles struktur for å representere cyberobservasjoner på tvers av og blant de operative områdene av bedriftens cybersikkerhet. CybOX kan inneholde hashes, strenger eller registernøkler. Informasjon gitt via systemet kan brukes til å sjekke om det finnes skadelig programvare i ditt miljø. YARA er et av alternativene til Å bruke CyBOX, men de to er ikke gjensidig utelukkende.

HVA ER YARA?

YARA ER et verktøy utviklet for å hjelpe forskere med å identifisere og klassifisere prøver av skadelig programvare. Det har blitt kalt Den mønstermatching Swiss Army knife for sikkerhetsforskere (og alle andre). Det er multiplattform og kan brukes fra både sin kommandolinjegrensesnitt eller gjennom dine egne Python-skript.

verktøyet lar deg utføre signaturbasert deteksjon av skadelig programvare, noe som ligner på hva antivirusløsninger kan gjøre for deg.

Hvordan Bruker Du Det?

for å kunne bruke denne metoden trenger du en regel og en fil som du vil sjekke. For eksempel, for å kjøre den fra kommandolinjen, vil du bruke:
dette vil sendes ut hvis den gitte regelen samsvarer med den angitte filen. Hvis du ikke ser utdata, og du ikke har brukt alternativet negate, betyr dette at ingen regel har matchet.

du kan starte den med en rekke konfigurasjonsbrytere; dette er de to viktigste :

  • -n: Skriv ut bare ikke-fornøyde regler (negere).
  • – r: Søk Rekursivt gjennom kataloger.

Regler

en regel er et sett med strenger og en form for logikk, skrevet I Boolske uttrykk.

det er støtte for tre forskjellige typer strenger:

  • Heksadesimale strenger, som er nyttige for å definere rå bytes;
  • Tekststrenger;
  • Regulære uttrykk.

betingelsene Er Boolske uttrykk som du vil gjenkjenne fra vanlige programmeringsspråk. De kan fungere på en hvilken som helst av de gitte strengene, men også på spesielle innebygde variabler, for eksempel filstørrelsen, eller på eksterne variabler som du definerer utenfor regelen. Det er også støtte for bruk av moduler, For Eksempel Gjøk, for å utvide funksjonene du kan bruke under forholdene.

DU vil dra mest nytte AV YARA hvis DU gir DET et godt regelsett. Du kan enten skrive dine egne regler eller få dem fra en annen leverandør.

Skriv Dine Egne Regler

Å Skrive dine egne regler er ikke så vanskelig hvis du tar hensyn til disse retningslinjene:

  • kriteriene du bruker for å matche, må være en nødvendig del av skadelig programvare.
  • kriteriene bør være tilstrekkelige nok til å skille den testede malware-familien fra andre malware-familier.
  • kriteriene må være noe som er vanlig på tvers av ulike prøver.

når du har analysert skadevaren og hentet ut nyttige, gjenkjennelige data fra den, kan du forvandle informasjonen til yara-strenger og kombinere dem med en eller annen form for logikk.

Hent Regler Fra Eksterne Kilder

FORDI YARA bruker signaturer som ligner på antivirusløsninger, ville det være fornuftig å gjenbruke disse signaturene som en regeldatabase. Ved bruk av skriptet clamav_to_yara.py, kan du konvertere ClamAV signatur database til ditt eget regelsett.

En annen kilde for regler er Github repository YaraRules. DETTE er et regelsett under GNU-GPLv2-lisensen vedlikeholdt av EN GRUPPE it-sikkerhetsforskere. Reglene er lagret i ulike kategorier-regler rettet mot å oppdage anti-debug og anti-visualisering teknikker, ondsinnede dokumenter, packers, etc. – og ofte oppdatert. Du kan få dem ved å klone Github-depotet.

enkelte plattformer for deling av trusseletterretning, SOM MISP og ThreatConnect, støtter OGSÅ YARA. Dette lar deg bygge regler basert på din egen innsamlede trusselinformasjon.

Generer Automatisk Regler

Ved Bruk Av Regelgeneratoren Fra Joe Sandbox kan du opprette signaturer for Windows basert på statiske og dynamiske oppførselsdata. Merk at de samme reglene gjelder som når du bruker gratis online malware analyse sandkasser. Du laster opp filene dine til en ekstern skytjeneste, noe som ikke bør gjøres med sensitive filer eller data som inneholder noen form for brukerlegitimasjon.

Ekstra Brukstilfeller

jeg nevnte tidligere at Du kan konvertere ClamAV-databasen til et brukbart regelsett. Det går også den andre veien rundt. Anta at du har et sett med detaljerte regler. Du kan konfigurere ClamAV til å utvide funksjonssettet med de angitte reglene OG støtte YARA. Dette lar deg matche reglene for komprimerte eller pakkede filer. VirusTotal private API har også en funksjon som du kan legge inn dine egne regler og få dem utløst når en matchende prøve lastes opp.

Signaturbasert Beskyttelse Er Ikke nok

bare å stole på signaturbasert beskyttelse er ikke lenger god nok. Attackers har utviklet mottiltak som de kan bruke til å omgå denne metoden. Med bruk av ulike krypteringstjenester, pakkere og polymorfisme, kan de enkelt generere skadelig programvare som er forskjellig nok, slik at den ikke lenger samsvarer med eksisterende signaturer. Det tar litt tid før den nye smaken blir plukket opp og en signatur deles.

disse ulempene gjør ikke signaturbasert gjenkjenning foreldet. Sikkerhetssamfunnet er sterkt på å dele nye trusselindikatorer, så disse typer verktøy vil fortsatt vise seg å være en viktig ressurs for arsenalet ditt.

Konklusjon

selv om signaturbasert deteksjon med YARA har sine grenser, er det en brukervennlig og ganske enkel måte å oppdage skadelig programvare i miljøet på. Det ville ikke være lurt å stole på det som det eneste trusselbeskyttelsesforanstaltningen, men gitt den enkle bruken, ville det heller ikke være en god ide å gå glipp av dette verktøyet.

You might also like

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.