Wir haben eine Einführung in YARA-Regeln gegeben und wie man sie erstellt, um Malware anhand von Mustern zu erkennen, die mit gängigen Indikatoren für Kompromittierung übereinstimmen. YARA-Regeln werden in Regeldateien mit der Erweiterung .yar erstellt und gespeichert und in der Sprache YAML geschrieben. Wir haben auch das LOKI-Python-Skript als Tool verwendet, um mithilfe von Yara-Regeln nach schädlichen Dateien zu suchen. Wir haben auch erläutert, wie man Yara-Regeln mit dem Tool yaraGen generiert. Abschließend haben wir erklärt, wie man Yara-Regeln mithilfe des VALHALLA-Feeds recherchiert und herunterlädt. Dies war Teil von TryHackMe Yara welches sich unter dem SOC Level 1 Pathway befindet.
Hinweise zum COMPTIA Security+-Zertifikat abrufen
Der komplette praktische Kurs zum Penetrationstest von Webanwendungen
Video-Highlights
yara
Der Befehl erfordert zwei Argumente, um gültig zu sein. Diese sind:1) Die von uns erstellte Regeldatei
2) Name der Datei, des Verzeichnisses oder der Prozess-ID, für die die Regel verwendet werden soll. Jede Regel muss einen Namen und eine Bedingung haben. Wenn wir beispielsweise „myrule.yar“ im Verzeichnis „irgendein Verzeichnis“ verwenden möchten, würden wir den folgenden Befehl verwenden:
yara myrule.yar irgendeinVerzeichnis
LOKI ist ein kostenloses Open-Source IOC (Indikator für Kompromisse) Scanner erstellt/geschrieben von Florian Roth.
Laut der GitHub-Seite basiert die Erkennung auf vier Methoden:
Es gibt noch weitere Prüfungen, für die LOKI verwendet werden kann. Eine vollständige Übersicht finden Sie im GitHub-Readme.
LOKI kann sowohl unter Windows als auch Linux Systeme und können heruntergeladen werden Hier.
Als Sicherheitsanalyst müssen Sie möglicherweise verschiedene Bedrohungsinformationen, Blogeinträge usw. recherchieren und Informationen zu den neuesten Taktiken und Techniken sammeln, die in der Vergangenheit oder Gegenwart verwendet wurden. In der Regel werden bei diesen Lesungen IOCs (Hashes, IP-Adressen, Domänennamen usw.) weitergegeben, sodass Regeln zum Erkennen dieser Bedrohungen in Ihrer Umgebung erstellt werden können, zusammen mit Yara-Regeln. Auf der anderen Seite könnten Sie sich in einer Situation wiederfinden, in der Sie auf etwas Unbekanntes gestoßen sind, das Ihr Sicherheits-Tool-Stack nicht erkennen kann/nicht erkannt hat. Bei Verwendung von Tools wie Loki müssen Sie Ihre eigenen Regeln basierend auf Ihren gesammelten Bedrohungsinformationen oder Erkenntnissen aus einem Incident-Response-Engagement (Forensik) hinzufügen.
Raumantworten
Wäre der Text „Geben Sie Ihren Namen ein“ eine Zeichenfolge in einer Anwendung? (Ja/Nein)
Mit welcher Yara-Regel stimmte es überein?
Als was klassifiziert Loki diese Datei?
Basierend auf der Ausgabe: Mit welcher Zeichenfolge innerhalb der Yara-Regel stimmte es überein?
Wie lauten Name und Version dieses Hacktools?
Untersuchen Sie die eigentliche Yara-Datei, die Datei 1 markiert hat. Wie viele Zeichenfolgen gibt es innerhalb dieser Regel, um diese Datei zu markieren?
Datei 2 scannen. Erkennt Loki diese Datei als verdächtig/bösartig oder harmlos?
Überprüfen Sie Datei 2. Wie lauten Name und Version dieser Web-Shell?
Hat Yara die Flaggendatei 2 regiert? (Ja/Nein)
Kopieren Sie die von Ihnen erstellte Yara-Regel in das Loki-Signaturverzeichnis.
Testen Sie die Yara-Regel mit Loki. Markiert sie Datei 2? (Ja/Nein)
Wie lautet der Name der Variable für die Zeichenfolge, mit der sie übereinstimmt?
Überprüfen Sie die Yara-Regel. Wie viele Zeichenfolgen wurden generiert?
Eine der Bedingungen, die der Yara-Regel entsprechen müssen, gibt die Dateigröße an. Wie groß muss die Datei sein?
Machen Sie dasselbe für Datei 2. Wie heißt die erste Yara-Regel zum Erkennen von Datei 2?
Untersuchen Sie die Informationen für Datei 2 von Virus Total (VT). Von welchem Scanner stammt die Yara-Signaturübereinstimmung?
Geben Sie den SHA256-Hash von Datei 2 in Virus Total ein. EIN V Wird dies als bösartig erkannt? (Ja/Nein)
Außerdem .PHP, welche andere Erweiterung ist für diese Datei aufgezeichnet?
Video-Komplettlösung