YARA ルール
YARA ルール とは何ですか?
YARA ルールYARA 言語で記述されたテキスト シグネチャで、バイト・文字列・挙動のパターンによりマルウェア サンプルやファイルを分類・検出する。
YARA は、VirusTotal (現在は Google) に在籍する Victor Manuel Alvarez が、研究者がマルウェア ファミリーを記述できるように開発したパターン マッチ言語およびツールです。YARA ルールはメタデータ、文字列定義 (テキスト、HEX、正規表現)、それらをロジック、ファイル属性、PE/ELF/Mach-O などのモジュールと組み合わせるブール条件から構成されます。マルウェア アナリスト、脅威ハンター、インシデント レスポンダーは、ディスク、メモリー ダンプ、メール添付、サンドボックス、VirusTotal、EDR の Retro-Hunt などで YARA を実行し、疑わしいファイルのトリアージやキャンペーンへのピボットに活用します。誤検知が出ることがあるため、Known-Good サンプルでチューニングするのが一般的です。
● 例
- 01
プロセス メモリー内の Cobalt Strike Beacon の構成文字列にマッチする YARA ルール。
- 02
高信頼度の YARA ルールでファイル書き込みイベントを対象に、EDR 環境全体でカスタム バックドアを狩猟する。
● よくある質問
YARA ルール とは何ですか?
YARA 言語で記述されたテキスト シグネチャで、バイト・文字列・挙動のパターンによりマルウェア サンプルやファイルを分類・検出する。 サイバーセキュリティの 防御と運用 カテゴリに属します。
YARA ルール とはどういう意味ですか?
YARA 言語で記述されたテキスト シグネチャで、バイト・文字列・挙動のパターンによりマルウェア サンプルやファイルを分類・検出する。
YARA ルール からどのように防御しますか?
YARA ルール に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
YARA ルール の別名は何ですか?
一般的な別名: YARA シグネチャ, YARA-X。