YARA 规则
YARA 规则 是什么?
YARA 规则采用 YARA 语言编写的文本签名,通过字节、字符串或行为模式对恶意软件样本和文件进行分类与检测。
YARA 是 VirusTotal(现属 Google)的 Victor Manuel Alvarez 创建的一种模式匹配语言和工具,旨在帮助研究人员描述恶意软件家族。一条 YARA 规则包含元数据、字符串定义(文本、十六进制、正则)以及将它们与逻辑、文件属性和 PE、ELF、Mach-O 等模块组合的布尔条件。恶意软件分析师、威胁猎手与事件响应团队会将 YARA 应用到磁盘文件、内存转储、邮件附件、沙箱以及 VirusTotal 或 EDR 回溯检索等平台,以分诊可疑文件并在攻击行动间进行枢轴。规则可能产生误报,因此作者通常使用已知良性样本对其进行调优。
● 示例
- 01
一条匹配进程内存中 Cobalt Strike Beacon 配置字符串的 YARA 规则。
- 02
在 EDR 资产中用高置信度 YARA 规则对文件写入事件进行猎捕,定位定制后门。
● 常见问题
YARA 规则 是什么?
采用 YARA 语言编写的文本签名,通过字节、字符串或行为模式对恶意软件样本和文件进行分类与检测。 它属于网络安全的 防御与运营 分类。
YARA 规则 是什么意思?
采用 YARA 语言编写的文本签名,通过字节、字符串或行为模式对恶意软件样本和文件进行分类与检测。
YARA 规则 是如何工作的?
YARA 是 VirusTotal(现属 Google)的 Victor Manuel Alvarez 创建的一种模式匹配语言和工具,旨在帮助研究人员描述恶意软件家族。一条 YARA 规则包含元数据、字符串定义(文本、十六进制、正则)以及将它们与逻辑、文件属性和 PE、ELF、Mach-O 等模块组合的布尔条件。恶意软件分析师、威胁猎手与事件响应团队会将 YARA 应用到磁盘文件、内存转储、邮件附件、沙箱以及 VirusTotal 或 EDR 回溯检索等平台,以分诊可疑文件并在攻击行动间进行枢轴。规则可能产生误报,因此作者通常使用已知良性样本对其进行调优。
如何防御 YARA 规则?
针对 YARA 规则 的防御通常结合技术控制与运营实践,详见上方完整定义。
YARA 规则 还有哪些其他名称?
常见的别称包括: YARA 签名, YARA-X。
● 相关术语
- forensics-ir№ 650
恶意软件分析
对恶意样本进行结构化研究,以了解其功能、来源、入侵指标以及对受影响系统的影响。
- defense-ops№ 1147
威胁狩猎
基于假设的主动搜索,深入遥测数据,发现绕过现有检测的威胁。
- defense-ops№ 527
入侵指标(IoC)
可观察的取证工件,如文件哈希、IP、域名、URL 或注册表键,可表明系统曾被或正被攻陷。
- defense-ops№ 1041
Sigma 规则
面向日志事件的厂商无关 YAML 检测签名,可转换为 SIEM、EDR 或 XDR 后端的查询语句。
- network-security№ 1043
基于特征的检测
通过将观察到的流量、文件或行为与已知恶意模式(特征/签名)数据库进行匹配来识别恶意活动的检测方法。
- defense-ops№ 371
EDR(端点检测与响应)
持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。
● 参见
- № 1081Splunk SPL 查询