YARA-Regel
Was ist YARA-Regel?
YARA-RegelEine textuelle Signatur in der YARA-Sprache, die Byte-, String- oder Verhaltensmuster beschreibt, um Malware-Samples und Dateien zu klassifizieren und zu erkennen.
YARA ist eine Pattern-Matching-Sprache und ein Werkzeug, das Victor Manuel Alvarez bei VirusTotal (heute Google) entwickelt hat, um Malware-Familien zu beschreiben. Eine YARA-Regel besteht aus Metadaten, String-Definitionen (Text, Hex, Regex) und einer booleschen Bedingung, die diese mit Logik, Dateieigenschaften und Modulen wie PE, ELF oder Mach-O verknuepft. Malware-Analysten, Threat Hunter und Incident Responder fuehren YARA gegen Dateien auf Disk, Memory-Dumps, E-Mail-Anhaenge, Sandboxes und Plattformen wie VirusTotal sowie EDR-Retro-Hunts aus, um verdaechtige Dateien zu triagen und auf Kampagnen zu pivotieren. Regeln koennen False Positives erzeugen und werden daher gegen Known-Good-Baselines getunt.
● Beispiele
- 01
Eine YARA-Regel, die Konfigurations-Strings von Cobalt Strike Beacon im Prozessspeicher trifft.
- 02
Hunting nach einer massgeschneiderten Backdoor in der EDR-Flotte mit einer hochkonfidenten YARA-Regel auf Datei-Schreibevents.
● Häufige Fragen
Was ist YARA-Regel?
Eine textuelle Signatur in der YARA-Sprache, die Byte-, String- oder Verhaltensmuster beschreibt, um Malware-Samples und Dateien zu klassifizieren und zu erkennen. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet YARA-Regel?
Eine textuelle Signatur in der YARA-Sprache, die Byte-, String- oder Verhaltensmuster beschreibt, um Malware-Samples und Dateien zu klassifizieren und zu erkennen.
Wie schützt man sich gegen YARA-Regel?
Schutzmaßnahmen gegen YARA-Regel kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für YARA-Regel?
Übliche alternative Bezeichnungen: YARA-Signatur, YARA-X.