13 подписчиков
🔍 YARA: инструмент для исследования вредоносного ПО 🔍
YARA — один из самых известных инструмент с открытым исходным кодом, предназначенный для помощи исследователям в выявлении и классификации образцов вредоносного ПО.
🧠 Функциональность
С помощью YARA можно создавать детальные описания (правила) для выявления вредоносных программ на основе текстовых или бинарных шаблонов. Каждое правило состоит из набора строк и логического выражения, которое определяет критерии его срабатывания.
💻 Поддержка платформ
YARA работает на Windows, Linux и macOS, и его можно использовать через интерфейс командной строки или интегрировать с Python-скриптами с помощью расширения yara-python.
📂 Сканирование архивов
Для работы с архивами (.zip, .tar) используйтся расширение yextend, разработанное Bayshore Networks, которое значительно расширяет возможности YARA.
🔧 Пример правила:
rule silent_banker : banker
{
meta:
description = "Пример правила"
threat_level = 3
in_the_wild = true
strings:
$a = {6A 40 68 00 30 00 00 6A 14 8D 91}
$b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
$c = "UVODFRYSIHLNWPEJXQZAKCBGMT"
condition:
$a or $b or $c
}
🔗 Дополнительные ресурсы
Если вы храните свои правила YARA на GitHub, то приложение YARA-CI поможет вам проверять их на наличие ошибок и ложных срабатываний в режиме непрерывного тестирования.
🔗 YARA доступен на GitHub. Используйте его для повышения безопасности ваших систем и исследования вредоносного ПО!
#кибербезопасность #SecureTechTalks #YARA #вредоносноеПО #информационнаябезопасность
1 минута
9 октября 2024