安全团队有一个使用开源YARA规则来寻找恶意软件的新工具。YARAify可以使用公共YARA规则扫描文件,整合由德国弗劳恩霍夫研究所运营的Malpedia的公共和非公共YARA规则,并使用开放和商业ClamAV签名进行扫描。研究人员可以设置搜索规则以匹配YARA规则和ClamAV签名,并通过API将YARAify链接到其他工具。
YARAify由Abuse.ch的安全研究人员开发,该项目来自瑞士伯尔尼应用科学大学网络安全与工程研究所(ICE)。
根据创始人Roman Hüssy的说法,YARA规则功能强大但难以处理。
例如,规则分布在平台和git存储库中,没有简单的方法可以共享它们。YARA规则也没有单一、一致的命名约定,导致规则处理重复和困难。
Hüssy添加了独特的身份yarahub_uuid和YARAhub来帮助研究人员共享规则。
规则作者还可以在YARAhub上设置TLP分类,以允许其他人使用YARA规则来寻找威胁,而无需查看规则本身。
“YARA是一个用于模式匹配的开源工具,”Hüssy说。“它允许任何人,通常是安全研究人员或安全软件供应商,编写自己的规则来检测恶意或可疑文件等[问题]。
“我们决定向公众推出YARAify平台,以允许任何人以结构化的方式与社区分享他们的YARA规则,并使用这些规则来寻找在Abuse.ch世界中看到的可疑和恶意文件。”
Hüssy希望YARAify成为安全研究人员共享YARA规则的默认平台。他说,到目前为止,反应非常积极。
安全供应商越来越多地在他们自己的应用程序中支持YARA规则,并且YARA规则被SOC广泛用于威胁搜寻和威胁情报。
例如,数据保护和弹性供应商Rubrik已在其工具中内置了对YARA规则的支持,以帮助IT团队进行事件遏制和威胁追踪,尤其是防止公司再次感染其系统以防止备份受损。
“在谈论YARA时,区分YARA工具和YARA规则很重要,”Rubrik的现场首席信息安全官James Blake说。
“YARA规则是对YARA工具在给定文件进行分析时创建的恶意软件的描述。YARA规则在开源和商业预防和检测控制、其他标准(如用于威胁情报交换的STIX)以及威胁情报平台中的采用,现在已经超越了YARA工具。”
由于研究人员专注于特定的恶意软件菌株,YARA规则可用于在威胁搜寻期间“让网络扩大,然后逐渐完善”。但是YARA 规则非常强大,因为它们不仅可以描述可执行文件的内容,还可以描述其行为。这有助于研究人员跟踪恶意软件家族,即使它们正在适应。
“YARA规则在成熟的SOC和成熟的服务提供商组织中广泛使用,以改进检测并防止更简化的基于哈希的检测产生的一些噪音,”咨询公司Bridewell托管安全服务主管Martin Riley说。
Bridewell使用YARA规则来识别趋势并对某些恶意软件进行逆向映射工程。
“YARA规则本质上替换了文件的哈希值,攻击者很容易操纵这些值,”Riley说。
“YARA规则为网络中的恶意对象提供了更高保真度和更有价值的检测机制。” 他建议,YARAify为研究人员提供了一种替代工具,例如Google的VirusTotal。
评论已关闭。