YARA не заменит антивирусное программное обеспечение, но поможет вам обнаружить проблемы гораздо эффективнее!
Далее мы расскажем как установить YARA на Mac, Windows и Linux.
Существует множество различных инструментов для обнаружения угроз корпоративной сети.
Некоторые из этих средств обнаружения основаны на сетевых сигнатурах, другие – на файлах или поведении на конечных точках или серверах компании.
Большинство этих решений используют для обнаружения опасности существующие правила, которые, надеемся, часто обновляются.
Но что происходит, когда сотрудники службы безопасности хотят добавить пользовательские правила для обнаружения или самостоятельно реагировать на инциденты на конечных точках, используя определенные правила?
Именно здесь в игру вступает YARA.
- Что такое YARA?
- Для чего можно использовать YARA?
- Обнаружение вредоносных программ
- Обработка инцидентов
- Быстрая классификация содержимого
- Анализ входящих сетевых соединений
- Анализ исходящих сетевых коммуникаций
- Интеграция EDR
- Как установить YARA?
- Как установить YARA на macOS
- Как установить YARA на Windows
- Как установить YARA в системах Linux
Что такое YARA?
YARA – это бесплатный инструмент с открытым исходным кодом, призванный помочь сотрудникам службы безопасности обнаруживать и классифицировать вредоносное ПО, но не стоит ограничиваться только этой целью.
Правила YARA также могут помочь обнаружить определенные файлы или любое другое содержимое, которое вы захотите обнаружить.
YARA поставляется в виде бинарного файла, который можно запускать для аудита файла, принимая правила YARA в качестве аргументов.
Инструмент работает в операционных системах Windows, Linux и Mac.
Его также можно использовать в сриптах Python с помощью расширения YARA-python.
Правила YARA – это текстовые файлы, содержащие элементы и условия, при выполнении которых происходит обнаружение.
Эти правила могут быть запущены на один файла, папки, содержащей несколько файлов, или даже всей файловой системы.
Для чего можно использовать YARA?
Вот несколько способов использования YARA.
Обнаружение вредоносных программ
Основное применение YARA, для которого он был создан в 2008 году, – это обнаружение вредоносных программ.
Вы должны понимать, что он не работает как традиционное антивирусное программное обеспечение.
В то время как последние в основном обнаруживают статические сигнатуры из нескольких байтов в двоичных файлах или подозрительное поведение файлов, YARA может расширить возможности обнаружения, используя определенные комбинации компонентов.
Таким образом, можно создавать правила YARA для обнаружения целых семейств вредоносных программ, а не только одного варианта.
Возможность использовать логические условия для соответствия правилу делает его очень гибким инструментом для обнаружения вредоносных файлов.
Также следует отметить, что в данном контексте можно использовать правила YARA не только для файлов, но и для дампов памяти.
Обработка инцидентов
Во время инцидентов аналитикам безопасности и угроз иногда требуется быстро проверить, не спрятан ли где-то на конечной точке или даже во всей корпоративной сети один конкретный файл или контент.
Одним из решений для обнаружения файла независимо от того, где он находится, может быть создание и использование специальных правил YARA.
Быстрая классификация содержимого
Использование правил YARA может сделать реальную сортировку файлов, когда это необходимо.
Классификация вредоносных программ по семействам может быть оптимизирована с помощью правил YARA.
Однако правила должны быть очень точными, чтобы избежать ложных срабатываний.
Анализ входящих сетевых соединений
Можно использовать YARA в сетевом контексте для обнаружения вредоносного содержимого, которое отправляется в корпоративную сеть для защиты.
Правила YARA могут быть запущены на электронные письма и особенно на их вложенные файлы, или на другие части сети, например, HTTP-соединения на обратном прокси-сервере.
Конечно, его можно использовать в качестве дополнения к уже существующему аналитическому программному обеспечению.
Анализ исходящих сетевых коммуникаций
Исходящие коммуникации могут быть проанализированы с помощью правил YARA для обнаружения исходящих сообщений вредоносного ПО, а также для обнаружения утечки данных.
Использование специальных правил YARA на основе пользовательских правил, созданных для обнаружения легитимных документов компании, может работать как система предотвращения потери данных и обнаруживать возможную утечку внутренних данных.
Интеграция EDR
YARA является зрелым продуктом, поэтому несколько различных решений EDR (Endpoint Detection and Response) позволяют интегрировать в него персональные правила YARA, что упрощает запуск обнаружения на всех конечных точках одним щелчком мыши.
Как установить YARA?
YARA доступна для различных операционных систем: macOS, Windows и Linux.
Как установить YARA на macOS
YARA может быть установлена на macOS с помощью Homebrew.
Просто введите и выполните команду:
brew install YARA
После этой операции YARA готова к использованию в командной строке.
Как установить YARA на Windows
YARA предлагает бинарники для Windows для простоты использования:
https://github.com/VirusTotal/yara/releases/
После загрузки zip-файла с сайта он может быть разархивирован в любую папку и содержит два файла: Yara64.exe и Yarac64.exe (или Yara32.exe и Yarac32.exe, если вы выбрали 32-битную версию файлов).
После этого инструмент готов к работе в командной строке.
Как установить YARA в системах Linux
YARA может быть установлена непосредственно из исходного кода.
Скачайте его здесь, нажав на ссылку исходного кода (tar.gz), затем распакуйте файлы и скомпилируйте его.
В качестве примера мы будем использовать версию 4.1.3 YARA, последнюю на момент написания статьи, на системе Ubuntu.
Обратите внимание, что несколько пакетов являются обязательными и должны быть установлены до установки YARA:
sudo apt install automake libtool make gcc pkg-config
После этого запустите извлечение файлов и установку:
tar -zxf YARA-4.1.3.tar.gz
cd YARA-4.1.3
./bootstrap.sh
./configure
make
sudo make install
YARA легко установить – самое сложное – научиться писать эффективные правила YARA, о чем я расскажу в следующей статье.
См. также:
- 🐧 Как контролировать целостность файлов в Linux с помощью Osquery
- ☕ Установите и используйте Linux Malware Detect в CentOS / Fedora / Ubuntu / Debian
- 👩🔬 Noriben: портативная, простая песочница для анализа вредоносных программ
- CAPE: настройка вредоносных программ и извлечение эксплойтов
- ✗ 11 лучших сканеров безопасности PHP для поиска уязвимостей ✗
- Как настроить File Integrity Monitoring (FIM) с использованием osquery в Linux
- CuckooAutoInstall – скрипт автоматического установщика для песочницы Cuckoo
- MalScan – простые сканеры эвристики PE-файлов
- Noriben – портативный, простой анализатор вредоноса
