網絡安全:使用開源工具YARA,提高防護強度
譯文【51CTO.com快譯】市面上有眾多不同的工具來檢測企業網絡面臨的威脅。其中一些檢測基于網絡特征,而另一些檢測基于公司端點或服務器上的文件或行為。這些解決方案大多使用現有規則來檢測危險,但愿這些規則經常更新。但是當安全人員想要添加自定義規則用于檢測或使用特定規則在端點上執行自己的事件響應時,會發生什么?這時候YARA 派得上用場。
一、YARA簡介
YARA 是一個免費開源工具,旨在幫助安全人員檢測和分類惡意軟件,但它不應僅限于這一種用途。YARA規則還可以幫助檢測特定文件或您可能想要檢測的任何內容。
YARA是二進制代碼,可以針對文件啟動,將YARA規則作為變量。它適用于Windows、Linux和Mac操作系統。如果使用YARA-python擴展,它也可以在Python腳本中使用。
YARA規則是文本文件,包含滿足時觸發檢測的項目和條件。這些規則可以針對單個文件、包含幾個文件的文件夾甚至整個文件系統來啟動。
二、YARA的用途
您可以通過以下幾種方式使用YARA。
1.惡意軟件檢測
YARA的主要用途以及它在2008年創建的初衷是檢測惡意軟件。您要明白它不像傳統的防病毒軟件那樣工作。后者主要檢測二進制文件中幾個字節的靜態特征或可疑文件行為,而YARA可以通過使用特定的組件組合來擴大檢測范圍。因此,可以創建YARA規則以檢測整個惡意軟件家族,而不僅僅是單個變種。能夠使用邏輯條件來匹配規則使其成為一種檢測惡意文件的非常靈活的工具。
此外值得一提的是,在這種情形下,不僅可針對文件使用YARA規則,還可針對內存轉儲內容使用YARA規則。
2.事件處理
在事件發生期間,安全和威脅分析員有時需要快速檢查某個特定文件或內容是否隱藏在端點甚至整個公司網絡上的某個地方。無論文件位于何處,檢測文件的一種解決方案是構建和使用特定的YARA規則。
3.內容快速分類
使用YARA規則可以在需要時進行真正的文件分類。可以使用YARA規則優化對惡意軟件進行分類。然而,規則需要非常精確以避免誤報。
4.入站網絡連接分析
可以在網絡環境中使用YARA,以檢測發送到需要保護的公司網絡的惡意內容。YARA規則可以針對電子郵件來啟動,尤其是針對附件,或者網絡的其他部分,比如反向代理服務器上的HTTP通信。當然,它可以用作現有分析軟件的補充。
5.出站網絡通信分析
可以使用YARA規則分析出站通信,以檢測出站惡意軟件通信,也可以嘗試檢測數據泄露。使用基于自定義規則的特定的YARA規則來檢測公司的合法文檔可以用作數據丟失防護系統,并檢測可能存在的內部數據泄漏。
6.EDR集成
YARA是一個成熟的產品,因此幾種不同的EDR(端點檢測和響應)解決方案允許將個人的YARA 規則集成到其中,因而更容易只需點擊一下即可在所有端點上運行檢測。
三、如何安裝 YARA?
YARA可用于不同的操作系統:macOS、Windows和Linux。
如何在 macOS上安裝YARA?
YARA可以使用Homebrew安裝在macOS 上。只需輸入并執行命令:
- brew install YARA
完成此操作后,YARA就可以在命令行中使用了。
如何在Windows上安裝YARA?
YARA提供易于使用的Windows二進制文件。一旦從網站下載zip文件后,它可以在任何文件夾中解壓縮,包含兩個文件:Yara64.exe和Yarac64.exe(或Yara32.exe和Yarac32.exe,如果您選擇文件的32位版本)。
然后它可以在命令行上工作了。
如何在Linux上安裝YARA?
YARA可以直接從其源代碼來安裝。在此處下載(https://github.com/VirusTotal/yara/releases/),只需點擊源代碼(tar.gz)鏈接,然后解壓縮文件并編譯它。舉例來說,我們將在Ubuntu系統上使用YARA 4.1.3版,這是截止本文發稿時的最新版本。
請注意,有幾個軟件包是強制性的,應在安裝YARA之前安裝:
- sudo apt install automake libtool make gcc pkg-config
完成后,運行文件的提取和安裝:
- tar -zxf YARA-4.1.3.tar.gz
- cd YARA-4.1.3
- ./bootstrap.sh
- ./configure
- make
- sudo make install
YARA易于安裝,最困難的部分是學習如何編寫高效的YARA規則,我將在下一篇文章中解釋。
原文標題:Cybersecurity: Increase your protection by using the open-source tool YARA,作者:Cedric Pernet
【51CTO譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
