Wir haben eine Einführung in YARA-Regeln gegeben und wie man sie erstellt, um Malware anhand von Mustern zu erkennen, die mit gängigen Indikatoren für Kompromittierung übereinstimmen. YARA-Regeln werden in Regeldateien mit der Erweiterung .yar erstellt und gespeichert und in der Sprache YAML geschrieben. Wir haben auch das LOKI-Python-Skript als Tool verwendet, um mithilfe von Yara-Regeln nach schädlichen Dateien zu suchen. Wir haben auch erläutert, wie man Yara-Regeln mit dem Tool yaraGen generiert. Abschließend haben wir erklärt, wie man Yara-Regeln mithilfe des VALHALLA-Feeds recherchiert und herunterlädt. Dies war Teil von TryHackMe Yara welches sich unter dem SOC Level 1 Pathway befindet.

Hinweise zum COMPTIA Security+-Zertifikat abrufen

Der komplette praktische Kurs zum Penetrationstest von Webanwendungen

Video-Highlights

„Das Schweizer Messer zur Mustererkennung für Malware-Forscher (und alle anderen)“ (Virustotal., 2020)
 
Mit einem so passenden Zitat kann Yara Informationen sowohl anhand binärer als auch textlicher Muster, wie etwa hexadezimaler Zahlen und Zeichenfolgen, die in einer Datei enthalten sind, identifizieren.
Regeln werden verwendet, um diese Muster zu kennzeichnen. Beispielsweise werden häufig Yara-Regeln geschrieben, um anhand der Merkmale – oder Muster – einer Datei zu bestimmen, ob sie bösartig ist oder nicht. Zeichenfolgen sind ein grundlegender Bestandteil von Programmiersprachen. Anwendungen verwenden Zeichenfolgen, um Daten wie Text zu speichern.
Die Anwendung einer Yara-Regel ist einfach. yara Der Befehl erfordert zwei Argumente, um gültig zu sein. Diese sind:
1) Die von uns erstellte Regeldatei
2) Name der Datei, des Verzeichnisses oder der Prozess-ID, für die die Regel verwendet werden soll. Jede Regel muss einen Namen und eine Bedingung haben. Wenn wir beispielsweise „myrule.yar“ im Verzeichnis „irgendein Verzeichnis“ verwenden möchten, würden wir den folgenden Befehl verwenden:
yara myrule.yar irgendeinVerzeichnis

LOKI ist ein kostenloses Open-Source IOC (Indikator für Kompromisse) Scanner erstellt/geschrieben von Florian Roth.

Laut der GitHub-Seite basiert die Erkennung auf vier Methoden:

  1. Dateiname IOC Überprüfen
  2. Yara-Regelprüfung (wir sind hier)
  3. Hash-Prüfung
  4. C2 Zurück Connect Check

Es gibt noch weitere Prüfungen, für die LOKI verwendet werden kann. Eine vollständige Übersicht finden Sie im GitHub-Readme.

LOKI kann sowohl unter Windows als auch Linux Systeme und können heruntergeladen werden Hier.

Als Sicherheitsanalyst müssen Sie möglicherweise verschiedene Bedrohungsinformationen, Blogeinträge usw. recherchieren und Informationen zu den neuesten Taktiken und Techniken sammeln, die in der Vergangenheit oder Gegenwart verwendet wurden. In der Regel werden bei diesen Lesungen IOCs (Hashes, IP-Adressen, Domänennamen usw.) weitergegeben, sodass Regeln zum Erkennen dieser Bedrohungen in Ihrer Umgebung erstellt werden können, zusammen mit Yara-Regeln. Auf der anderen Seite könnten Sie sich in einer Situation wiederfinden, in der Sie auf etwas Unbekanntes gestoßen sind, das Ihr Sicherheits-Tool-Stack nicht erkennen kann/nicht erkannt hat. Bei Verwendung von Tools wie Loki müssen Sie Ihre eigenen Regeln basierend auf Ihren gesammelten Bedrohungsinformationen oder Erkenntnissen aus einem Incident-Response-Engagement (Forensik) hinzufügen.

Raumantworten

Wie heißt das Zahlensystem mit der Basis 16, das Yara erkennen kann?

Wäre der Text „Geben Sie Ihren Namen ein“ eine Zeichenfolge in einer Anwendung? (Ja/Nein)

Datei 1 scannen. Erkennt Loki diese Datei als verdächtig/bösartig oder harmlos?

Mit welcher Yara-Regel stimmte es überein?

Als was klassifiziert Loki diese Datei?

Basierend auf der Ausgabe: Mit welcher Zeichenfolge innerhalb der Yara-Regel stimmte es überein?

Wie lauten Name und Version dieses Hacktools?

Untersuchen Sie die eigentliche Yara-Datei, die Datei 1 markiert hat. Wie viele Zeichenfolgen gibt es innerhalb dieser Regel, um diese Datei zu markieren?

Datei 2 scannen. Erkennt Loki diese Datei als verdächtig/bösartig oder harmlos?

Überprüfen Sie Datei 2. Wie lauten Name und Version dieser Web-Shell?

Welchen Befehl würden Sie aus dem Stammverzeichnis des Verzeichnisses für verdächtige Dateien ausführen, um Yara und Ihre Yara-Regel für Datei 2 zu testen?

Hat Yara die Flaggendatei 2 regiert? (Ja/Nein)

Kopieren Sie die von Ihnen erstellte Yara-Regel in das Loki-Signaturverzeichnis.

Testen Sie die Yara-Regel mit Loki. Markiert sie Datei 2? (Ja/Nein)

Wie lautet der Name der Variable für die Zeichenfolge, mit der sie übereinstimmt?

Überprüfen Sie die Yara-Regel. Wie viele Zeichenfolgen wurden generiert?

Eine der Bedingungen, die der Yara-Regel entsprechen müssen, gibt die Dateigröße an. Wie groß muss die Datei sein?

Geben Sie den SHA256-Hash von Datei 1 in Valhalla ein. Ist diese Datei einer APT-Gruppe zuzuordnen? (Yay/Nay)

Machen Sie dasselbe für Datei 2. Wie heißt die erste Yara-Regel zum Erkennen von Datei 2?

Untersuchen Sie die Informationen für Datei 2 von Virus Total (VT). Von welchem Scanner stammt die Yara-Signaturübereinstimmung?

Geben Sie den SHA256-Hash von Datei 2 in Virus Total ein. EIN V Wird dies als bösartig erkannt? (Ja/Nein)

Außerdem .PHP, welche andere Erweiterung ist für diese Datei aufgezeichnet?

Welche JavaScript-Bibliothek wird von Datei 2 verwendet?
Befindet sich diese Yara-Regel in der Standard-Yara-Datei, die Loki zum Erkennen dieser Art von Hack-Tools verwendet? (Yay/Nay)

Video-Komplettlösung

, ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen