Nous avons abordé une introduction aux règles YARA et comment les créer pour détecter les malwares à l'aide de modèles qui correspondent aux indicateurs courants de compromission. Les règles YARA sont créées et stockées dans des fichiers de règles portant l'extension .yar et les règles sont écrites en langage YAML. Nous avons également utilisé le script python LOKI comme outil pour rechercher des fichiers malveillants à l'aide des règles Yara. Nous avons également expliqué comment générer des règles Yara à l'aide de l'outil yaraGen. Enfin, nous avons expliqué comment rechercher et télécharger les règles Yara à l'aide du flux VALHALLA. Cela faisait partie de EssayezHackMe Yara qui relève du cheminement SOC niveau 1.

Obtenez les notes du certificat COMPTIA Security+

Le cours pratique complet sur les tests d’intrusion d’applications Web

Faits saillants de la vidéo

« Le couteau suisse de recherche de modèles pour les chercheurs en logiciels malveillants (et tous les autres) » (Virustotal., 2020)
 
Avec une citation aussi appropriée, Yara peut identifier des informations basées à la fois sur des modèles binaires et textuels, tels que l'hexadécimal et les chaînes contenues dans un fichier.
Des règles sont utilisées pour étiqueter ces modèles. Par exemple, les règles Yara sont fréquemment écrites pour déterminer si un fichier est malveillant ou non, en fonction des fonctionnalités – ou modèles – qu'il présente. Les chaînes sont un composant fondamental des langages de programmation. Les applications utilisent des chaînes pour stocker des données telles que du texte.
Utiliser une règle Yara est simple. Chaque Yara La commande nécessite deux arguments pour être valide, à savoir :
1) Le fichier de règles que nous créons
2) Nom du fichier, du répertoire ou de l'ID de processus pour lequel utiliser la règle. Chaque règle doit avoir un nom et une condition. Par exemple, si nous voulions utiliser « myrule.yar » sur le répertoire « un répertoire », nous utiliserions la commande suivante :
yara myrule.yar un répertoire

LOKI est un logiciel open source gratuit CIO (Indicateur de compromission) scanner créé/écrit par Florian Roth.

Basée sur la page GitHub, la détection repose sur 4 méthodes :

  1. Nom de fichier CIO Vérifier
  2. Vérification des règles Yara (nous sommes ici)
  3. Vérification du hachage
  4. C2 Vérification de la connexion arrière

Il existe des contrôles supplémentaires pour lesquels LOKI peut être utilisé. Pour un aperçu complet, veuillez consulter le Lisez-moi GitHub.

LOKI peut être utilisé à la fois sur Windows et Linux systèmes et peut être téléchargé ici.

En tant qu'analyste de sécurité, vous devrez peut-être rechercher divers rapports de renseignements sur les menaces, articles de blog, etc. et recueillir des informations sur les dernières tactiques et techniques utilisées dans la nature, passées ou présentes. Généralement, dans ces lectures, les IOC (hachages, adresses IP, noms de domaine, etc.) seront partagés afin que des règles puissent être créées pour détecter ces menaces dans votre environnement, ainsi que les règles Yara. D’un autre côté, vous pourriez vous retrouver dans une situation où vous avez rencontré quelque chose d’inconnu, que votre pile d’outils de sécurité ne peut pas/n’a pas détecté. À l’aide d’outils tels que Loki, vous devrez ajouter vos propres règles en fonction de vos collectes de renseignements sur les menaces ou des résultats d’un engagement de réponse aux incidents (criminalistique).

Réponses de la salle

Quel est le nom du système de numérotation en base 16 que Yara peut détecter ?

Le texte « Entrez votre nom » serait-il une chaîne dans une application ? (Ouais/Non)

Analyser le fichier 1. Loki détecte-t-il ce fichier comme suspect/malveillant ou inoffensif ?

À quelle règle Yara correspondait-il ?

Comment Loki classe-t-il ce fichier ?

D'après le résultat, sur quelle chaîne de la règle Yara correspond-elle ?

Quel est le nom et la version de cet outil de hack ?

Inspectez le fichier Yara qui a marqué le fichier 1. Dans le cadre de cette règle, combien de chaînes y a-t-il pour signaler ce fichier ?

Analyser le fichier 2. Loki détecte-t-il ce fichier comme suspect/malveillant ou inoffensif ?

Inspecter le fichier 2. Quel est le nom et la version de ce shell Web ?

À partir de la racine du répertoire des fichiers suspects, quelle commande exécuteriez-vous pour tester Yara et votre règle Yara par rapport au fichier 2 ?

La règle Yara a-t-elle signalé le fichier 2 ? (Ouais/Non)

Copiez la règle Yara que vous avez créée dans le répertoire des signatures Loki.

Testez la règle Yara avec Loki, est-ce qu'elle signale le fichier 2 ? (Ouais/Non)

Quel est le nom de la variable pour la chaîne sur laquelle elle correspond ?

Inspectez la règle Yara, combien de chaînes ont été générées ?

L'une des conditions à respecter dans la règle Yara spécifie la taille du fichier. Le dossier doit être inférieur à quel montant ?

Entrez le hachage SHA256 du fichier 1 dans Valhalla. Ce fichier est-il attribué à un groupe APT ? (Ouais/Non)

Faites de même pour le fichier 2. Quel est le nom de la première règle Yara à détecter le fichier 2 ?

Examinez les informations du fichier 2 de Virus Total (VT). Le Yara Signature Match provient de quel scanner ?

Entrez le hachage SHA256 du fichier 2 dans Virus Total. Est-ce que chaque UN V détecter cela comme malveillant ? (Ouais/Non)

En plus .PHP, quelle autre extension est enregistrée pour ce fichier ?

Quelle bibliothèque JavaScript est utilisée par le fichier 2 ?
Cette règle Yara est-elle dans le fichier Yara par défaut que Loki utilise pour détecter ce type d'outils de piratage ? (Ouais/Non)

Vidéo pas à pas

, ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles