Подписка на блог

Customize in /user/extras/subscribe-sheet.tmpl.php.

Sample text.

Twitter, Facebook, VK icon VK, Telegram, LinkedIn, Odnoklassniki, Pinterest, РСС JSON Feed

Sample text.

Пишем YARA правила

Yara — это и инструмент, и формат представления индикаторов компрометации (IOC), предназначенный для идентификации и классификации вредоносных программ. Он был создан Виктором Альварезом (Victor M. Alvarez) из VirusTotal для организации и распространения информации среди аналитиков.

см. Блокнот на Python с примерами Yara-правил.

Далее показан пример файла Yara для Linux-руткита Umbreon:

Документ разделен на три части.
—‰ Раздел «мета» содержит информацию об IOC, такую как имя автора, время создания или ссылка на подробную документацию.
— Раздел «строк» содержит три строки — одну в шестнадцатеричном формате и две в формате ASCII, которые идентифицируют руткит.
— В разделе «условий» к исследуемым файлам применяется фильтр, чтобы найти соответствующие особым критериям. В этом примере сначала производится поиск по заголовку файла, который соответствует формату ELF (uint32(0) == 0x464c457f), а затем поиск общедоступного выходного файла (uint8(16) == 0x0003) типа ELF. Если для обоих условий найдены соответствия, Yara станет искать строки, указанные ранее. Если все они будут присутствовать в файле, то это будет расцениваться как обнаружение руткита.

Консольный инструмент Yara способен сканировать целые системы на наличие файлов, которые соответствуют сигнатурам вредоносных файлов, применив команду Yara -r rulefile.yar /path/to/scan. Проект правил Yara собирает IOC, выявленные аналитиками безопасности во время расследований, и делает их широкодоступными. Yara сосредоточен на файловых IOC [1].

см. Как писать правила

Python-интерфейс к Yara

Про связь с ClamAV см. Hunting with YARA rules and ClamAV и тут.

Про написание сигнатур тут и тут.

Источники литературы:

  1. книга «Безопасный DevOps. Эффективная эксплуатация систем» (2020)
Подписаться на блог
Поделиться
Отправить
Запинить
 20   17 дн   Infosec   Security   SIEM
Популярное