Правило YARA
Что такое Правило YARA?
Правило YARAТекстовая сигнатура на языке YARA, описывающая байтовые, строковые или поведенческие шаблоны для классификации и обнаружения образцов вредоносного ПО и файлов.
YARA — это язык и инструмент сопоставления шаблонов, созданный Victor Manuel Alvarez в VirusTotal (ныне Google), чтобы исследователи могли описывать семейства вредоносных программ. Правило YARA содержит метаданные, определения строк (текст, hex, regex) и логическое условие, которое объединяет их с логикой, свойствами файла и модулями вроде PE, ELF и Mach-O. Аналитики вредоносного ПО, threat hunter и респондеры запускают YARA по дискам, дампам памяти, почтовым вложениям, песочницам и платформам вроде VirusTotal и retro-hunt в EDR, чтобы триаджить подозрительные файлы и пивотировать между кампаниями. Правила могут давать ложные срабатывания, поэтому их обычно подстраивают по выборкам известного хорошего ПО.
● Примеры
- 01
Правило YARA, совпадающее с конфигурационными строками Cobalt Strike Beacon в памяти процесса.
- 02
Поиск кастомного бэкдора в парке EDR через высоконадёжное правило YARA по событиям записи файлов.
● Частые вопросы
Что такое Правило YARA?
Текстовая сигнатура на языке YARA, описывающая байтовые, строковые или поведенческие шаблоны для классификации и обнаружения образцов вредоносного ПО и файлов. Относится к категории Защита и операции в кибербезопасности.
Что означает Правило YARA?
Текстовая сигнатура на языке YARA, описывающая байтовые, строковые или поведенческие шаблоны для классификации и обнаружения образцов вредоносного ПО и файлов.
Как работает Правило YARA?
YARA — это язык и инструмент сопоставления шаблонов, созданный Victor Manuel Alvarez в VirusTotal (ныне Google), чтобы исследователи могли описывать семейства вредоносных программ. Правило YARA содержит метаданные, определения строк (текст, hex, regex) и логическое условие, которое объединяет их с логикой, свойствами файла и модулями вроде PE, ELF и Mach-O. Аналитики вредоносного ПО, threat hunter и респондеры запускают YARA по дискам, дампам памяти, почтовым вложениям, песочницам и платформам вроде VirusTotal и retro-hunt в EDR, чтобы триаджить подозрительные файлы и пивотировать между кампаниями. Правила могут давать ложные срабатывания, поэтому их обычно подстраивают по выборкам известного хорошего ПО.
Как защититься от Правило YARA?
Защита от Правило YARA обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Правило YARA?
Распространённые альтернативные названия: Сигнатура YARA, YARA-X.
● Связанные термины
- forensics-ir№ 650
Анализ вредоносного ПО
Структурированное исследование вредоносного образца для понимания его функциональности, происхождения, индикаторов компрометации и воздействия на затронутые системы.
- defense-ops№ 1147
Охота за угрозами
Проактивный поиск по телеметрии на основе гипотез, направленный на обнаружение угроз, проскочивших мимо имеющихся детектов.
- defense-ops№ 527
Индикатор компрометации (IoC)
Наблюдаемый артефакт — хэш файла, IP, домен, URL, ключ реестра, — указывающий на то, что система была или находится в процессе компрометации.
- defense-ops№ 1041
Правило Sigma
Вендоронезависимая YAML-сигнатура детектирования для логовых событий, которую можно конвертировать в запросы SIEM, EDR или XDR.
- network-security№ 1043
Сигнатурное обнаружение
Метод обнаружения, при котором наблюдаемый трафик, файлы или поведение сопоставляются с базой известных вредоносных шаблонов (сигнатур) для выявления вредоносной активности.
- defense-ops№ 371
EDR (обнаружение и реагирование на конечных точках)
Технология защиты конечных точек, которая непрерывно фиксирует активность процессов, файлов, реестра и сети, чтобы обнаруживать, расследовать и устранять угрозы на хостах.
● См. также
- № 1081Запрос Splunk SPL