Abuse.ch ve ThreatFox’un arkasındaki ekip, YARA kullanarak dosyaları taramak ve aramak için yeni bir merkez başlattı
Güvenlik ekipleri, açık kaynak YARA kurallarını kullanarak kötü amaçlı yazılımları avlamak için yeni bir araca sahip.
YARAify genel YARA kurallarını kullanarak dosyaları tarayabilir, Almanya’nın Fraunhofer Enstitüsü tarafından işletilen Malpedia’dan genel ve herkese açık olmayan YARA kurallarını entegre edebilir ve açık ve ticari ClamAV imzalarını kullanarak tarayabilir.
Araştırmacılar, hem YARA kurallarıyla hem de ClamAV imzalarıyla eşleşecek arama kuralları oluşturabilir ve YARAify’ı API’ler aracılığıyla diğer araçlara bağlayabilir.
desen eşleştirme
YARAify, güvenlik araştırmacıları tarafından geliştirildi. Abuse.chİsviçre, Bern’deki Uygulamalı Bilimler Üniversitesi’ndeki Siber Güvenlik ve Mühendislik Enstitüsü’nden (ICE) bir proje.
Kurucu Roman Hüssy’ye göre, YARA kuralları güçlüdür ancak ele alınması zordur.
Örneğin, kurallar platformlara ve git depolarına yayılmıştır ve bunları paylaşmanın basit bir yolu yoktur. YARA kuralları için kural işlemede yinelemeye ve zorluklara yol açan tek ve tutarlı bir adlandırma kuralı da yoktur.
Hüssy, araştırmacıların kuralları paylaşmasına yardımcı olmak için hem benzersiz bir kimlik hem de YARAhub ekledi.
ÖNERİLEN GhostTouch: Bilgisayar korsanları telefonunuzun dokunmatik ekranına dokunmadan bile ulaşabilir
Kural yazarları, başkalarının YARA kuralını, kuralın kendisini görmeden tehditleri aramak için kullanmasına izin vermek için YARAhub’da TLP sınıflandırmaları da kurabilir.
“YARA bir açık kaynak desen eşleştirme aracı,” dedi Hüssy Günlük Swig. “Genellikle güvenlik araştırmacıları veya güvenlik yazılımı satıcıları olmak üzere herkesin, tespit etmek için kendi kurallarını yazmasına izin verir. [issues] kötü amaçlı veya şüpheli dosyalar gibi.
“Herkesin YARA kurallarını toplulukla yapılandırılmış bir şekilde paylaşmasına ve bunları Abuse.ch evreninde görülen şüpheli ve kötü niyetli dosyaları avlamak için kullanmasına izin vermek için YARAify platformunu halka açmaya karar verdik.”
Hüssy, YARAify’ın güvenlik araştırmacılarının YARA kurallarını paylaşabileceği varsayılan platform olmasını umuyor. Şu ana kadar gelen tepkiler son derece olumlu” dedi.
Tehdit istihbaratı
Güvenlik satıcıları, kendi uygulamalarında YARA kurallarını giderek daha fazla desteklemektedir ve YARA kuralları, SOC’ler tarafından ve tehdit avcılığı ve tehdit istihbaratında yaygın olarak kullanılmaktadır.
Örneğin, veri koruma ve esneklik sağlayıcısı Rubrik, BT ekiplerine olay sınırlama ve tehdit avlama konusunda yardımcı olmak için, özellikle de bir firmanın sistemlerine güvenliği ihlal edilmiş yedeklemelerden yeniden bulaşmasını önlemek için YARA kuralları desteğini araçlarına yerleştirdi.
Rubrik CISO’su James Blake, “YARA hakkında konuşurken YARA aracı ile YARA kuralları arasında ayrım yapmak önemlidir,” dedi. Günlük Swig.
“YARA kuralları, kötü amaçlı yazılım YARA aracının, analiz edilecek bir dosya verildiğinde oluşturduğu. Açık kaynak ve ticari önleyici ve dedektif kontrollerinde YARA kurallarının benimsenmesi, tehdit istihbaratı alışverişi için STIX gibi diğer standartların yanı sıra tehdit istihbarat platformlarında artık YARA aracının ötesine geçmiştir.”
En yeni bilgisayar korsanlığı araçlarından daha fazlasına göz atın
YARA kuralları, araştırmacılar belirli kötü amaçlı yazılım türlerine odaklandığından, tehdit avı sırasında “bir ağın geniş bir alana yayılmasına ve ardından kademeli olarak iyileştirilmesine” izin vermek için kullanılabilir. Ancak YARA kuralları güçlüdür, çünkü yalnızca yürütülebilir dosyanın içeriğini değil, davranışını da tanımlayabilirler. Bu, araştırmacıların uyum sağlarken bile kötü amaçlı yazılım ailelerini izlemelerine yardımcı olur.
Danışmanlık firması Bridewell’de yönetilen güvenlik hizmetleri direktörü Martin Riley, “YARA kuralları, algılamayı iyileştirmek ve daha basitleştirilmiş karma tabanlı algılamalar tarafından üretilen gürültünün bir kısmını önlemek için olgun SOC’lerde ve olgun hizmet sağlayıcı kuruluşlarında yaygın olarak kullanılmaktadır.” Günlük Swig.
Bridewell, eğilimleri belirlemek ve bazı kötü amaçlı yazılımlar üzerinde ters harita mühendisliği yapmak için YARA kurallarını kullanır.
Riley, “YARA kuralları, esasen, saldırganlar tarafından kolayca manipüle edilebilecek dosyaların karma değerlerinin yerini alıyor” dedi.
“YARA kuralları, bir ağ içindeki kötü amaçlı nesneler için daha yüksek doğruluk ve daha değerli algılama mekanizması sağlar.” YARAify, araştırmacılara Google’ın VirusTotal gibi araçlara bir alternatif sağladığını öne sürdü.
KAÇIRMAYIN Hazır fidye yazılımı kitlerindeki artış devam ediyor