Entry № 1399
YARA 规则
YARA 规则 是什么?
YARA 规则采用 YARA 语言编写的文本签名,通过字节、字符串或行为模式对恶意软件样本和文件进行分类与检测。
YARA 是 VirusTotal(现属 Google)的 Victor Manuel Alvarez 创建的一种模式匹配语言和工具,旨在帮助研究人员描述恶意软件家族。一条 YARA 规则包含元数据、字符串定义(文本、十六进制、正则)以及将它们与逻辑、文件属性和 PE、ELF、Mach-O 等模块组合的布尔条件。恶意软件分析师、威胁猎手与事件响应团队会将 YARA 应用到磁盘文件、内存转储、邮件附件、沙箱以及 VirusTotal 或 EDR 回溯检索等平台,以分诊可疑文件并在攻击行动间进行枢轴。规则可能产生误报,因此作者通常使用已知良性样本对其进行调优。
● 示例
- 01
一条匹配进程内存中 Cobalt Strike Beacon 配置字符串的 YARA 规则。
- 02
在 EDR 资产中用高置信度 YARA 规则对文件写入事件进行猎捕,定位定制后门。
● 常见问题
YARA 规则 是什么?
采用 YARA 语言编写的文本签名,通过字节、字符串或行为模式对恶意软件样本和文件进行分类与检测。 它属于网络安全的 防御与运营 分类。
YARA 规则 是什么意思?
采用 YARA 语言编写的文本签名,通过字节、字符串或行为模式对恶意软件样本和文件进行分类与检测。
如何防御 YARA 规则?
针对 YARA 规则 的防御通常结合技术控制与运营实践,详见上方完整定义。
YARA 规则 还有哪些其他名称?
常见的别称包括: YARA 签名, YARA-X。