Regra YARA
O que é Regra YARA?
Regra YARAAssinatura textual em linguagem YARA que descreve padroes de bytes, strings ou comportamento para classificar e detectar amostras de malware e arquivos.
O YARA e uma linguagem e ferramenta de correspondencia de padroes criada por Victor Manuel Alvarez na VirusTotal (hoje Google) para descrever familias de malware. Uma regra YARA contem metadados, definicoes de strings (texto, hex, regex) e uma condicao booleana que as combina com logica, propriedades de arquivo e modulos como PE, ELF ou Mach-O. Analistas de malware, cacadores de ameacas e responders executam YARA sobre disco, dumps de memoria, anexos de e-mail, sandboxes e plataformas como VirusTotal ou retro-hunts em EDR para triar arquivos suspeitos e pivotar em campanhas. Regras podem gerar falsos positivos e costumam ser ajustadas contra baselines known-good.
● Exemplos
- 01
Regra YARA que casa com strings de configuracao do Beacon do Cobalt Strike em memoria de processo.
- 02
Cacar um backdoor sob medida em uma frota EDR com uma regra YARA de alta confianca sobre eventos de escrita de arquivo.
● Perguntas frequentes
O que é Regra YARA?
Assinatura textual em linguagem YARA que descreve padroes de bytes, strings ou comportamento para classificar e detectar amostras de malware e arquivos. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Regra YARA?
Assinatura textual em linguagem YARA que descreve padroes de bytes, strings ou comportamento para classificar e detectar amostras de malware e arquivos.
Como se defender contra Regra YARA?
As defesas contra Regra YARA costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Regra YARA?
Nomes alternativos comuns: Assinatura YARA, YARA-X.