Abbiamo trattato un'introduzione alle regole YARA e come crearle per rilevare malware utilizzando modelli che corrispondono a indicatori comuni di compromissione. Le regole YARA vengono create e archiviate all'interno di file di regole con estensione .yar e le regole sono scritte in linguaggio YAML. Abbiamo anche utilizzato lo script Python LOKI come strumento per scansionare file dannosi utilizzando le regole Yara. Abbiamo anche spiegato come generare regole Yara utilizzando lo strumento yaraGen. Infine abbiamo spiegato come ricercare e scaricare le regole Yara utilizzando il feed VALHALLA. Questo faceva parte ProvaHackMe Yara che è sotto il percorso SOC di livello 1.

Ottieni le note del certificato COMPTIA Security+

Il corso pratico completo sul Penetration Testing delle applicazioni Web

Video in evidenza

"Il coltellino svizzero per la corrispondenza dei modelli per i ricercatori di malware (e tutti gli altri)" (Virustotale., 2020)
 
Con una citazione così appropriata, Yara può identificare le informazioni in base a modelli sia binari che testuali, come esadecimali e stringhe contenute in un file.
Le regole vengono utilizzate per etichettare questi modelli. Ad esempio, le regole Yara vengono spesso scritte per determinare se un file è dannoso o meno, in base alle caratteristiche (o ai modelli) che presenta. Le stringhe sono una componente fondamentale dei linguaggi di programmazione. Le applicazioni utilizzano stringhe per archiviare dati come il testo.
Usare una regola Yara è semplice. Ogni già il comando richiede due argomenti per essere validi, questi sono:
1) Il file di regole che creiamo
2) Nome del file, directory o ID processo per cui utilizzare la regola. Ogni regola deve avere un nome e una condizione. Ad esempio, se volessimo utilizzare "myrule.yar" nella directory "some directory", utilizzeremmo il seguente comando :
yara myrule.yar una directory

LOKI è un open source gratuito CIO (Indicatore di compromesso) scanner creato/scritto da Florian Roth.

In base alla pagina GitHub, il rilevamento si basa su 4 metodi:

  1. Nome del file CIO Controllo
  2. Controllo delle regole Yara (siamo qui)
  3. Controllo dell'hash
  4. C2 Indietro Connetti Controlla

Esistono ulteriori controlli per i quali è possibile utilizzare LOKI. Per una panoramica completa, fare riferimento a Leggimi su GitHub.

LOKI può essere utilizzato sia su Windows che Linux sistemi e possono essere scaricati Qui.

In qualità di analista della sicurezza, potresti dover ricercare vari rapporti di intelligence sulle minacce, post di blog, ecc. e raccogliere informazioni sulle tattiche e tecniche più recenti utilizzate in natura, passate o presenti. In genere in queste letture, gli IOC (hash, indirizzi IP, nomi di dominio, ecc.) verranno condivisi in modo da poter creare regole per rilevare queste minacce nel proprio ambiente, insieme alle regole Yara. D'altro canto, potresti trovarti in una situazione in cui hai riscontrato qualcosa di sconosciuto, che il tuo insieme di strumenti di sicurezza non può/non è stato rilevato. Utilizzando strumenti come Loki, dovrai aggiungere le tue regole in base alle informazioni raccolte sulle minacce o ai risultati di un impegno di risposta agli incidenti (analisi forense).

Risposte in camera

Qual è il nome del sistema di numerazione in base 16 che Yara è in grado di rilevare?

Il testo "Inserisci il tuo nome" sarebbe una stringa in un'applicazione? (Sì/No)

Scansione file 1. Loki rileva questo file come sospetto/dannoso o benigno?

A quale regola Yara corrispondeva?

Come classifica Loki questo file?

In base all'output, a quale stringa all'interno della regola Yara corrispondeva?

Qual è il nome e la versione di questo strumento di hacking?

Esamina il file Yara effettivo che ha contrassegnato il file 1. All'interno di questa regola, quante stringhe ci sono per contrassegnare questo file?

Scansione file 2. Loki rileva questo file come sospetto/dannoso o benigno?

Esamina il file 2. Qual è il nome e la versione di questa web shell?

Dalla radice della directory dei file sospetti, quale comando eseguiresti per testare Yara e la tua regola Yara rispetto al file 2?

Yara ha governato il file flag 2? (Sì/No)

Copia la regola Yara che hai creato nella directory delle firme di Loki.

Prova la regola Yara con Loki, contrassegna il file 2? (Sì/No)

Qual è il nome della variabile per la stringa su cui è stata trovata la corrispondenza?

Ispeziona la regola Yara, quante stringhe sono state generate?

Una delle condizioni da soddisfare nella regola Yara specifica la dimensione del file. Il file deve essere inferiore a quale importo?

Inserisci l'hash SHA256 del file 1 in Valhalla. Questo file è attribuito a un gruppo APT? (Sì/No)

Fai lo stesso per il file 2. Qual è il nome della prima regola Yara per rilevare il file 2?

Esaminare le informazioni per il file 2 da Virus Total (VT). Da quale scanner proviene Yara Signature Match?

Inserisci l'hash SHA256 del file 2 in Virus Total. Fatto ogni AV lo ritieni dannoso? (Sì/No)

Oltretutto .PHP, quale altra estensione è registrata per questo file?

Quale libreria JavaScript viene utilizzata dal file 2?
Questa regola Yara è nel file Yara predefinito che Loki utilizza per rilevare questo tipo di strumenti di hacking? (Sì/No)

Videoprocedura dettagliata

, ,
Mostra commenti

Motasem

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli