لقد قمنا بتغطية مقدمة لقواعد YARA وكيفية إنشائها لاكتشاف البرامج الضارة باستخدام الأنماط التي تتوافق مع مؤشرات الاختراق الشائعة. يتم إنشاء قواعد YARA وتخزينها داخل ملفات القواعد التي لها امتداد .yar ويتم كتابة القواعد بلغة YAML. استخدمنا أيضًا البرنامج النصي LOKI python كأداة للبحث عن الملفات الضارة باستخدام قواعد Yara. لقد تناولنا أيضًا كيفية إنشاء قواعد Yara باستخدام أداة yaraGen. أخيرًا شرحنا كيفية البحث عن قواعد Yara وتنزيلها باستخدام خلاصة VALHALLA. كان هذا جزءًا من جربHackMe يارا والذي يقع ضمن مسار SOC من المستوى الأول.
احصل على ملاحظات شهادة COMPTIA Security+
الدورة العملية الكاملة لاختبار اختراق تطبيقات الويب
أبرز مقاطع الفيديو
يارا
يتطلب الأمر وسيطتين ليكونا صالحين، وهما:1) ملف القاعدة الذي نقوم بإنشائه
2) اسم الملف أو الدليل أو معرف العملية لاستخدام القاعدة. يجب أن يكون لكل قاعدة اسم وشرط. على سبيل المثال، إذا أردنا استخدام "myrule.yar" في الدليل "بعض الدليل"، فسنستخدم الأمر التالي :
يارا myrule.yar somedirectory
LOKI هو مصدر مجاني مفتوح اللجنة الأولمبية الدولية (مؤشر التسوية) تم إنشاء/كتابة الماسح الضوئي بواسطة فلوريان روث.
بناءً على صفحة GitHub، يعتمد الكشف على 4 طرق:
- اسم الملف اللجنة الأولمبية الدولية يفحص
- التحقق من قاعدة يارا (نحن هنا)
- فحص التجزئة
- ج2 فحص الاتصال الخلفي
هناك فحوصات إضافية يمكن استخدام LOKI من أجلها. للحصول على ملخص كامل، يرجى الرجوع إلى الملف التمهيدي على جيثب.
يمكن استخدام LOKI على كل من Windows و لينكس الأنظمة ويمكن تحميلها هنا.
كمحلل أمني، قد تحتاج إلى البحث في العديد من تقارير استخبارات التهديدات، ومنشورات المدونات، وما إلى ذلك، وجمع معلومات حول أحدث التكتيكات والتقنيات المستخدمة في الواقع، في الماضي أو الحاضر. عادةً، في هذه القراءات، ستتم مشاركة IOCs (التجزئة، وعناوين IP، وأسماء النطاقات، وما إلى ذلك) بحيث يمكن إنشاء القواعد لاكتشاف هذه التهديدات في بيئتك، جنبًا إلى جنب مع قواعد Yara. على الجانب الآخر، قد تجد نفسك في موقف واجهت فيه شيئًا غير معروف، لا تستطيع/لم تتمكن مجموعة أدوات الأمان الخاصة بك من اكتشافه. باستخدام أدوات مثل Loki، ستحتاج إلى إضافة القواعد الخاصة بك استنادًا إلى عمليات جمع معلومات التهديدات أو النتائج المستخلصة من مشاركة الاستجابة للحوادث (الطب الشرعي).
إجابات الغرفة
هل سيكون النص "أدخل اسمك" عبارة عن سلسلة في التطبيق؟ (ياي/لاي)
ما هي قاعدة يارا التي تطابقت عليها؟
ماذا يصنف Loki هذا الملف؟
بناءً على المخرجات، ما هي السلسلة الموجودة في قاعدة Yara التي تطابقت عليها؟
ما هو اسم وإصدار أداة الاختراق هذه؟
افحص ملف Yara الفعلي الذي وضع علامة على الملف 1. ضمن هذه القاعدة، كم عدد السلاسل الموجودة لوضع علامة على هذا الملف؟
مسح الملف 2. هل يكتشف Loki هذا الملف باعتباره مشبوهًا/ضارًا أو حميدًا؟
فحص الملف 2. ما هو اسم وإصدار قشرة الويب هذه؟
هل حكمت يارا ملف العلم 2؟ (ياي/لاي)
انسخ قاعدة Yara التي قمت بإنشائها في دليل توقيعات Loki.
اختبر قاعدة Yara مع Loki، هل تشير إلى الملف 2؟ (ياي/لاي)
ما اسم المتغير للسلسلة التي طابقها؟
تحقق من قاعدة يارا، كم عدد السلاسل التي تم إنشاؤها؟
أحد الشروط الواجب توافرها في قاعدة Yara يحدد حجم الملف. الملف يجب أن يكون أقل من ما المبلغ؟
افعل نفس الشيء بالنسبة للملف 2. ما اسم قاعدة Yara الأولى للكشف عن الملف 2؟
قم بفحص المعلومات الخاصة بالملف 2 من Virus Total (VT). ماتش Yara Signature Match مأخوذ من أي ماسح ضوئي؟
أدخل تجزئة SHA256 للملف 2 في Virus Total. فعلت كل للمركبات اكتشاف هذا على أنه ضار؟ (ياي/لاي)
بجانب .بي أتش بيما هو الامتداد الآخر المسجل لهذا الملف؟
تجول الفيديو