Regla YARA
¿Qué es Regla YARA?
Regla YARAFirma textual en lenguaje YARA que describe patrones de bytes, cadenas o comportamiento para clasificar y detectar muestras de malware y archivos.
YARA es un lenguaje y una herramienta de coincidencia de patrones creada por Victor Manuel Alvarez en VirusTotal (hoy Google) para ayudar a los investigadores a describir familias de malware. Una regla YARA contiene metadatos, definiciones de strings (texto, hex, regex) y una condicion booleana que los combina con logica, propiedades de archivo y modulos como PE, ELF o Mach-O. Analistas de malware, cazadores de amenazas y equipos de respuesta ejecutan YARA contra disco, dumps de memoria, adjuntos de correo, sandboxes y plataformas como VirusTotal o retro-hunts de EDR para triar archivos sospechosos y pivotar entre campanas. Las reglas pueden producir falsos positivos, por lo que se ajustan con conjuntos conocidos como buenos.
● Ejemplos
- 01
Regla YARA que detecta cadenas de configuracion de Cobalt Strike Beacon en memoria de procesos.
- 02
Buscar un backdoor a medida en toda una flota EDR con una regla YARA de alta confianza sobre escrituras de fichero.
● Preguntas frecuentes
¿Qué es Regla YARA?
Firma textual en lenguaje YARA que describe patrones de bytes, cadenas o comportamiento para clasificar y detectar muestras de malware y archivos. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Regla YARA?
Firma textual en lenguaje YARA que describe patrones de bytes, cadenas o comportamiento para clasificar y detectar muestras de malware y archivos.
¿Cómo defenderse de Regla YARA?
Las defensas contra Regla YARA combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Regla YARA?
Nombres alternativos comunes: Firma YARA, YARA-X.