Abbiamo trattato un'introduzione alle regole YARA e come crearle per rilevare malware utilizzando modelli che corrispondono a indicatori comuni di compromissione. Le regole YARA vengono create e archiviate all'interno di file di regole con estensione .yar e le regole sono scritte in linguaggio YAML. Abbiamo anche utilizzato lo script Python LOKI come strumento per scansionare file dannosi utilizzando le regole Yara. Abbiamo anche spiegato come generare regole Yara utilizzando lo strumento yaraGen. Infine abbiamo spiegato come ricercare e scaricare le regole Yara utilizzando il feed VALHALLA. Questo faceva parte ProvaHackMe Yara che è sotto il percorso SOC di livello 1.
Ottieni le note del certificato COMPTIA Security+
Il corso pratico completo sul Penetration Testing delle applicazioni Web
Video in evidenza
già
il comando richiede due argomenti per essere validi, questi sono:1) Il file di regole che creiamo
2) Nome del file, directory o ID processo per cui utilizzare la regola. Ogni regola deve avere un nome e una condizione. Ad esempio, se volessimo utilizzare "myrule.yar" nella directory "some directory", utilizzeremmo il seguente comando :
yara myrule.yar una directory
LOKI è un open source gratuito CIO (Indicatore di compromesso) scanner creato/scritto da Florian Roth.
In base alla pagina GitHub, il rilevamento si basa su 4 metodi:
- Nome del file CIO Controllo
- Controllo delle regole Yara (siamo qui)
- Controllo dell'hash
- C2 Indietro Connetti Controlla
Esistono ulteriori controlli per i quali è possibile utilizzare LOKI. Per una panoramica completa, fare riferimento a Leggimi su GitHub.
LOKI può essere utilizzato sia su Windows che Linux sistemi e possono essere scaricati Qui.
In qualità di analista della sicurezza, potresti dover ricercare vari rapporti di intelligence sulle minacce, post di blog, ecc. e raccogliere informazioni sulle tattiche e tecniche più recenti utilizzate in natura, passate o presenti. In genere in queste letture, gli IOC (hash, indirizzi IP, nomi di dominio, ecc.) verranno condivisi in modo da poter creare regole per rilevare queste minacce nel proprio ambiente, insieme alle regole Yara. D'altro canto, potresti trovarti in una situazione in cui hai riscontrato qualcosa di sconosciuto, che il tuo insieme di strumenti di sicurezza non può/non è stato rilevato. Utilizzando strumenti come Loki, dovrai aggiungere le tue regole in base alle informazioni raccolte sulle minacce o ai risultati di un impegno di risposta agli incidenti (analisi forense).
Risposte in camera
Il testo "Inserisci il tuo nome" sarebbe una stringa in un'applicazione? (Sì/No)
A quale regola Yara corrispondeva?
Come classifica Loki questo file?
In base all'output, a quale stringa all'interno della regola Yara corrispondeva?
Qual è il nome e la versione di questo strumento di hacking?
Esamina il file Yara effettivo che ha contrassegnato il file 1. All'interno di questa regola, quante stringhe ci sono per contrassegnare questo file?
Scansione file 2. Loki rileva questo file come sospetto/dannoso o benigno?
Esamina il file 2. Qual è il nome e la versione di questa web shell?
Yara ha governato il file flag 2? (Sì/No)
Copia la regola Yara che hai creato nella directory delle firme di Loki.
Prova la regola Yara con Loki, contrassegna il file 2? (Sì/No)
Qual è il nome della variabile per la stringa su cui è stata trovata la corrispondenza?
Ispeziona la regola Yara, quante stringhe sono state generate?
Una delle condizioni da soddisfare nella regola Yara specifica la dimensione del file. Il file deve essere inferiore a quale importo?
Fai lo stesso per il file 2. Qual è il nome della prima regola Yara per rilevare il file 2?
Esaminare le informazioni per il file 2 da Virus Total (VT). Da quale scanner proviene Yara Signature Match?
Inserisci l'hash SHA256 del file 2 in Virus Total. Fatto ogni AV lo ritieni dannoso? (Sì/No)
Oltretutto .PHP, quale altra estensione è registrata per questo file?
Videoprocedura dettagliata