Cubrimos una introducción a las reglas de YARA y cómo crearlas para detectar malwares utilizando patrones que coincidan con indicadores comunes de compromiso. Las reglas de YARA se crean y almacenan dentro de archivos de reglas que tienen la extensión .yar y las reglas están escritas en lenguaje YAML. También utilizamos el script LOKI Python como herramienta para buscar archivos maliciosos usando las reglas de Yara. También cubrimos cómo generar reglas de Yara usando la herramienta yaraGen. Finalmente explicamos cómo buscar y descargar reglas de Yara usando el feed VALHALLA. Esto fue parte de PruebaHackMe Yara que está bajo la vía SOC Nivel 1.
Obtenga notas del certificado COMPTIA Security+
El curso completo y práctico de pruebas de penetración de aplicaciones web
Vídeos destacados
yara
El comando requiere dos argumentos para ser válido, estos son:1) El archivo de reglas que creamos.
2) Nombre del archivo, directorio o ID de proceso para el que se usará la regla. Cada regla debe tener un nombre y una condición. Por ejemplo, si quisiéramos usar "myrule.yar" en el directorio "algún directorio", usaríamos el siguiente comando :
yara myrule.yar algún directorio
LOKI es un código abierto gratuito COI (Indicador de compromiso) escáner creado/escrito por Florian Roth.
Según la página de GitHub, la detección se basa en 4 métodos:
- Nombre del archivo COI Controlar
- Verificación de la regla Yara (estamos aquí)
- Verificación de hash
- C2 Atrás Conectar Verificar
Hay comprobaciones adicionales para las que se puede utilizar LOKI. Para obtener un resumen completo, consulte la Léame de GitHub.
LOKI se puede utilizar tanto en Windows como en linux sistemas y se puede descargar aquí.
Como analista de seguridad, es posible que deba investigar varios informes de inteligencia sobre amenazas, publicaciones de blogs, etc. y recopilar información sobre las últimas tácticas y técnicas utilizadas en el pasado o en el presente. Normalmente, en estas lecturas, los IOC (hashes, direcciones IP, nombres de dominio, etc.) se compartirán para que se puedan crear reglas para detectar estas amenazas en su entorno, junto con las reglas de Yara. Por otro lado, es posible que se encuentre en una situación en la que haya encontrado algo desconocido que su conjunto de herramientas de seguridad no puede detectar o no. Al utilizar herramientas como Loki, deberá agregar sus propias reglas basadas en la recopilación de inteligencia sobre amenazas o los hallazgos de un compromiso de respuesta a incidentes (análisis forense).
Respuestas de la habitación
¿El texto “Ingrese su nombre” sería una cadena en una aplicación? (Sí/No)
¿Con qué regla de Yara coincidía?
¿Cómo clasifica Loki este archivo?
Según el resultado, ¿con qué cadena dentro de la regla de Yara coincidió?
¿Cuál es el nombre y la versión de esta herramienta de hackeo?
Inspeccione el archivo Yara real que marcó el archivo 1. Dentro de esta regla, ¿cuántas cadenas hay para marcar este archivo?
Escanear el archivo 2. ¿Loki detecta este archivo como sospechoso/malicioso o benigno?
Inspeccionar el archivo 2. ¿Cuál es el nombre y la versión de este shell web?
¿Yara gobernó el archivo de bandera 2? (Sí/No)
Copie la regla de Yara que creó en el directorio de firmas de Loki.
Pruebe la regla de Yara con Loki, ¿marca el archivo 2? (Sí/No)
¿Cuál es el nombre de la variable de la cadena con la que coincidió?
Inspeccione la regla de Yara, ¿cuántas cadenas se generaron?
Una de las condiciones para que coincida con la regla de Yara especifica el tamaño del archivo. ¿El archivo tiene que ser menor de qué cantidad?
Haga lo mismo con el archivo 2. ¿Cuál es el nombre de la primera regla de Yara para detectar el archivo 2?
Examine la información del archivo 2 de Virus Total (VT). ¿De qué escáner es Yara Signature Match?
Ingrese el hash SHA256 del archivo 2 en Virus Total. ¿Todos AV ¿Detectar esto como malicioso? (Sí/No)
Además .PHP, ¿qué otra extensión está registrada para este archivo?
Tutorial en vídeo