Cubrimos una introducción a las reglas de YARA y cómo crearlas para detectar malwares utilizando patrones que coincidan con indicadores comunes de compromiso. Las reglas de YARA se crean y almacenan dentro de archivos de reglas que tienen la extensión .yar y las reglas están escritas en lenguaje YAML. También utilizamos el script LOKI Python como herramienta para buscar archivos maliciosos usando las reglas de Yara. También cubrimos cómo generar reglas de Yara usando la herramienta yaraGen. Finalmente explicamos cómo buscar y descargar reglas de Yara usando el feed VALHALLA. Esto fue parte de PruebaHackMe Yara que está bajo la vía SOC Nivel 1.

Obtenga notas del certificado COMPTIA Security+

El curso completo y práctico de pruebas de penetración de aplicaciones web

Vídeos destacados

“La navaja suiza que combina patrones para los investigadores de malware (y para todos los demás)” (Virustotal., 2020)
 
Con una cita tan adecuada, Yara puede identificar información basada en patrones binarios y textuales, como hexadecimal y cadenas contenidas en un archivo.
Se utilizan reglas para etiquetar estos patrones. Por ejemplo, las reglas de Yara se escriben con frecuencia para determinar si un archivo es malicioso o no, en función de las características (o patrones) que presenta. Las cadenas son un componente fundamental de los lenguajes de programación. Las aplicaciones utilizan cadenas para almacenar datos como texto.
Usar una regla de Yara es simple. Cada yara El comando requiere dos argumentos para ser válido, estos son:
1) El archivo de reglas que creamos.
2) Nombre del archivo, directorio o ID de proceso para el que se usará la regla. Cada regla debe tener un nombre y una condición. Por ejemplo, si quisiéramos usar "myrule.yar" en el directorio "algún directorio", usaríamos el siguiente comando :
yara myrule.yar algún directorio

LOKI es un código abierto gratuito COI (Indicador de compromiso) escáner creado/escrito por Florian Roth.

Según la página de GitHub, la detección se basa en 4 métodos:

  1. Nombre del archivo COI Controlar
  2. Verificación de la regla Yara (estamos aquí)
  3. Verificación de hash
  4. C2 Atrás Conectar Verificar

Hay comprobaciones adicionales para las que se puede utilizar LOKI. Para obtener un resumen completo, consulte la Léame de GitHub.

LOKI se puede utilizar tanto en Windows como en linux sistemas y se puede descargar aquí.

Como analista de seguridad, es posible que deba investigar varios informes de inteligencia sobre amenazas, publicaciones de blogs, etc. y recopilar información sobre las últimas tácticas y técnicas utilizadas en el pasado o en el presente. Normalmente, en estas lecturas, los IOC (hashes, direcciones IP, nombres de dominio, etc.) se compartirán para que se puedan crear reglas para detectar estas amenazas en su entorno, junto con las reglas de Yara. Por otro lado, es posible que se encuentre en una situación en la que haya encontrado algo desconocido que su conjunto de herramientas de seguridad no puede detectar o no. Al utilizar herramientas como Loki, deberá agregar sus propias reglas basadas en la recopilación de inteligencia sobre amenazas o los hallazgos de un compromiso de respuesta a incidentes (análisis forense).

Respuestas de la habitación

¿Cómo se llama el sistema de numeración de base 16 que Yara puede detectar?

¿El texto “Ingrese su nombre” sería una cadena en una aplicación? (Sí/No)

Escanear archivo 1. ¿Loki detecta este archivo como sospechoso/malicioso o benigno?

¿Con qué regla de Yara coincidía?

¿Cómo clasifica Loki este archivo?

Según el resultado, ¿con qué cadena dentro de la regla de Yara coincidió?

¿Cuál es el nombre y la versión de esta herramienta de hackeo?

Inspeccione el archivo Yara real que marcó el archivo 1. Dentro de esta regla, ¿cuántas cadenas hay para marcar este archivo?

Escanear el archivo 2. ¿Loki detecta este archivo como sospechoso/malicioso o benigno?

Inspeccionar el archivo 2. ¿Cuál es el nombre y la versión de este shell web?

Desde la raíz del directorio de archivos sospechosos, ¿qué comando ejecutaría para probar Yara y su regla de Yara con el archivo 2?

¿Yara gobernó el archivo de bandera 2? (Sí/No)

Copie la regla de Yara que creó en el directorio de firmas de Loki.

Pruebe la regla de Yara con Loki, ¿marca el archivo 2? (Sí/No)

¿Cuál es el nombre de la variable de la cadena con la que coincidió?

Inspeccione la regla de Yara, ¿cuántas cadenas se generaron?

Una de las condiciones para que coincida con la regla de Yara especifica el tamaño del archivo. ¿El archivo tiene que ser menor de qué cantidad?

Ingrese el hash SHA256 del archivo 1 en Valhalla. ¿Este archivo se atribuye a un grupo APT? (Sí/No)

Haga lo mismo con el archivo 2. ¿Cuál es el nombre de la primera regla de Yara para detectar el archivo 2?

Examine la información del archivo 2 de Virus Total (VT). ¿De qué escáner es Yara Signature Match?

Ingrese el hash SHA256 del archivo 2 en Virus Total. ¿Todos AV ¿Detectar esto como malicioso? (Sí/No)

Además .PHP, ¿qué otra extensión está registrada para este archivo?

¿Qué biblioteca de JavaScript utiliza el archivo 2?
¿Está esta regla de Yara en el archivo Yara predeterminado que Loki usa para detectar este tipo de herramientas de pirateo? (Sí/No)

Tutorial en vídeo

, ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos