Nous avons abordé une introduction aux règles YARA et comment les créer pour détecter les malwares à l'aide de modèles qui correspondent aux indicateurs courants de compromission. Les règles YARA sont créées et stockées dans des fichiers de règles portant l'extension .yar et les règles sont écrites en langage YAML. Nous avons également utilisé le script python LOKI comme outil pour rechercher des fichiers malveillants à l'aide des règles Yara. Nous avons également expliqué comment générer des règles Yara à l'aide de l'outil yaraGen. Enfin, nous avons expliqué comment rechercher et télécharger les règles Yara à l'aide du flux VALHALLA. Cela faisait partie de EssayezHackMe Yara qui relève du cheminement SOC niveau 1.
Obtenez les notes du certificat COMPTIA Security+
Le cours pratique complet sur les tests d’intrusion d’applications Web
Faits saillants de la vidéo
Yara
La commande nécessite deux arguments pour être valide, à savoir :1) Le fichier de règles que nous créons
2) Nom du fichier, du répertoire ou de l'ID de processus pour lequel utiliser la règle. Chaque règle doit avoir un nom et une condition. Par exemple, si nous voulions utiliser « myrule.yar » sur le répertoire « un répertoire », nous utiliserions la commande suivante :
yara myrule.yar un répertoire
LOKI est un logiciel open source gratuit CIO (Indicateur de compromission) scanner créé/écrit par Florian Roth.
Basée sur la page GitHub, la détection repose sur 4 méthodes :
- Nom de fichier CIO Vérifier
- Vérification des règles Yara (nous sommes ici)
- Vérification du hachage
- C2 Vérification de la connexion arrière
Il existe des contrôles supplémentaires pour lesquels LOKI peut être utilisé. Pour un aperçu complet, veuillez consulter le Lisez-moi GitHub.
LOKI peut être utilisé à la fois sur Windows et Linux systèmes et peut être téléchargé ici.
En tant qu'analyste de sécurité, vous devrez peut-être rechercher divers rapports de renseignements sur les menaces, articles de blog, etc. et recueillir des informations sur les dernières tactiques et techniques utilisées dans la nature, passées ou présentes. Généralement, dans ces lectures, les IOC (hachages, adresses IP, noms de domaine, etc.) seront partagés afin que des règles puissent être créées pour détecter ces menaces dans votre environnement, ainsi que les règles Yara. D’un autre côté, vous pourriez vous retrouver dans une situation où vous avez rencontré quelque chose d’inconnu, que votre pile d’outils de sécurité ne peut pas/n’a pas détecté. À l’aide d’outils tels que Loki, vous devrez ajouter vos propres règles en fonction de vos collectes de renseignements sur les menaces ou des résultats d’un engagement de réponse aux incidents (criminalistique).
Réponses de la salle
Le texte « Entrez votre nom » serait-il une chaîne dans une application ? (Ouais/Non)
À quelle règle Yara correspondait-il ?
Comment Loki classe-t-il ce fichier ?
D'après le résultat, sur quelle chaîne de la règle Yara correspond-elle ?
Quel est le nom et la version de cet outil de hack ?
Inspectez le fichier Yara qui a marqué le fichier 1. Dans le cadre de cette règle, combien de chaînes y a-t-il pour signaler ce fichier ?
Analyser le fichier 2. Loki détecte-t-il ce fichier comme suspect/malveillant ou inoffensif ?
Inspecter le fichier 2. Quel est le nom et la version de ce shell Web ?
La règle Yara a-t-elle signalé le fichier 2 ? (Ouais/Non)
Copiez la règle Yara que vous avez créée dans le répertoire des signatures Loki.
Testez la règle Yara avec Loki, est-ce qu'elle signale le fichier 2 ? (Ouais/Non)
Quel est le nom de la variable pour la chaîne sur laquelle elle correspond ?
Inspectez la règle Yara, combien de chaînes ont été générées ?
L'une des conditions à respecter dans la règle Yara spécifie la taille du fichier. Le dossier doit être inférieur à quel montant ?
Faites de même pour le fichier 2. Quel est le nom de la première règle Yara à détecter le fichier 2 ?
Examinez les informations du fichier 2 de Virus Total (VT). Le Yara Signature Match provient de quel scanner ?
Entrez le hachage SHA256 du fichier 2 dans Virus Total. Est-ce que chaque UN V détecter cela comme malveillant ? (Ouais/Non)
En plus .PHP, quelle autre extension est enregistrée pour ce fichier ?
Vidéo pas à pas