Regla YARA
¿Qué es Regla YARA?
Regla YARAFirma textual en lenguaje YARA que describe patrones de bytes, cadenas o comportamiento para clasificar y detectar muestras de malware y archivos.
YARA es un lenguaje y una herramienta de coincidencia de patrones creada por Victor Manuel Alvarez en VirusTotal (hoy Google) para ayudar a los investigadores a describir familias de malware. Una regla YARA contiene metadatos, definiciones de strings (texto, hex, regex) y una condicion booleana que los combina con logica, propiedades de archivo y modulos como PE, ELF o Mach-O. Analistas de malware, cazadores de amenazas y equipos de respuesta ejecutan YARA contra disco, dumps de memoria, adjuntos de correo, sandboxes y plataformas como VirusTotal o retro-hunts de EDR para triar archivos sospechosos y pivotar entre campanas. Las reglas pueden producir falsos positivos, por lo que se ajustan con conjuntos conocidos como buenos.
● Ejemplos
- 01
Regla YARA que detecta cadenas de configuracion de Cobalt Strike Beacon en memoria de procesos.
- 02
Buscar un backdoor a medida en toda una flota EDR con una regla YARA de alta confianza sobre escrituras de fichero.
● Preguntas frecuentes
¿Qué es Regla YARA?
Firma textual en lenguaje YARA que describe patrones de bytes, cadenas o comportamiento para clasificar y detectar muestras de malware y archivos. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Regla YARA?
Firma textual en lenguaje YARA que describe patrones de bytes, cadenas o comportamiento para clasificar y detectar muestras de malware y archivos.
¿Cómo funciona Regla YARA?
YARA es un lenguaje y una herramienta de coincidencia de patrones creada por Victor Manuel Alvarez en VirusTotal (hoy Google) para ayudar a los investigadores a describir familias de malware. Una regla YARA contiene metadatos, definiciones de strings (texto, hex, regex) y una condicion booleana que los combina con logica, propiedades de archivo y modulos como PE, ELF o Mach-O. Analistas de malware, cazadores de amenazas y equipos de respuesta ejecutan YARA contra disco, dumps de memoria, adjuntos de correo, sandboxes y plataformas como VirusTotal o retro-hunts de EDR para triar archivos sospechosos y pivotar entre campanas. Las reglas pueden producir falsos positivos, por lo que se ajustan con conjuntos conocidos como buenos.
¿Cómo defenderse de Regla YARA?
Las defensas contra Regla YARA combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Regla YARA?
Nombres alternativos comunes: Firma YARA, YARA-X.
● Términos relacionados
- forensics-ir№ 650
Análisis de malware
Estudio estructurado de una muestra maliciosa para comprender su funcionamiento, origen, indicadores de compromiso e impacto sobre los sistemas afectados.
- defense-ops№ 1147
Caza de Amenazas
Búsqueda proactiva basada en hipótesis sobre la telemetría para descubrir amenazas que han eludido las detecciones existentes.
- defense-ops№ 527
Indicador de Compromiso (IoC)
Artefacto observable —como un hash, IP, dominio, URL o clave de registro— que sugiere que un sistema ha sido o está siendo comprometido.
- defense-ops№ 1041
Regla Sigma
Firma de deteccion neutral respecto al fabricante, en YAML, para eventos de log que se convierte en consultas para SIEM, EDR o XDR.
- network-security№ 1043
Detección basada en firmas
Método de detección que compara tráfico, archivos o comportamientos observados con una base de datos de patrones maliciosos conocidos (firmas) para marcar actividad maliciosa.
- defense-ops№ 371
EDR (Detección y Respuesta en Endpoints)
Tecnología de seguridad para endpoints que registra continuamente actividad de procesos, ficheros, registro y red para detectar, investigar y responder a amenazas en los equipos.
● Véase también
- № 1081Consulta SPL de Splunk