Правило YARA
Что такое Правило YARA?
Правило YARAТекстовая сигнатура на языке YARA, описывающая байтовые, строковые или поведенческие шаблоны для классификации и обнаружения образцов вредоносного ПО и файлов.
YARA — это язык и инструмент сопоставления шаблонов, созданный Victor Manuel Alvarez в VirusTotal (ныне Google), чтобы исследователи могли описывать семейства вредоносных программ. Правило YARA содержит метаданные, определения строк (текст, hex, regex) и логическое условие, которое объединяет их с логикой, свойствами файла и модулями вроде PE, ELF и Mach-O. Аналитики вредоносного ПО, threat hunter и респондеры запускают YARA по дискам, дампам памяти, почтовым вложениям, песочницам и платформам вроде VirusTotal и retro-hunt в EDR, чтобы триаджить подозрительные файлы и пивотировать между кампаниями. Правила могут давать ложные срабатывания, поэтому их обычно подстраивают по выборкам известного хорошего ПО.
● Примеры
- 01
Правило YARA, совпадающее с конфигурационными строками Cobalt Strike Beacon в памяти процесса.
- 02
Поиск кастомного бэкдора в парке EDR через высоконадёжное правило YARA по событиям записи файлов.
● Частые вопросы
Что такое Правило YARA?
Текстовая сигнатура на языке YARA, описывающая байтовые, строковые или поведенческие шаблоны для классификации и обнаружения образцов вредоносного ПО и файлов. Относится к категории Защита и операции в кибербезопасности.
Что означает Правило YARA?
Текстовая сигнатура на языке YARA, описывающая байтовые, строковые или поведенческие шаблоны для классификации и обнаружения образцов вредоносного ПО и файлов.
Как защититься от Правило YARA?
Защита от Правило YARA обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Правило YARA?
Распространённые альтернативные названия: Сигнатура YARA, YARA-X.