如何編寫(xiě)YARA規(guī)則以改善安全和惡意軟件檢測(cè)?
譯文【51CTO.com快譯】本文介紹如何編寫(xiě)YARA規(guī)則以充分利用它。
使用空模板開(kāi)始入手
YARA規(guī)則是文本文件,遵循基本但強(qiáng)大的語(yǔ)法。
YARA規(guī)則包含三部分:
- 元部分:這部分包含未處理但幫助用戶了解內(nèi)容的一般或特定的信息。
- 字符串部分:這部分包含需要在文件中搜索的所有字符串。
- 條件部分:這部分定義匹配的條件。它可以只匹配一個(gè)或多個(gè)字符串,但也可以較復(fù)雜,我們會(huì)在文章后面看到。
我強(qiáng)烈建議創(chuàng)建一個(gè)空模板,您將始終用它來(lái)開(kāi)始編寫(xiě)新規(guī)則。這樣,您只需填充幾個(gè)可變內(nèi)容,添加所需的條件。
- rule samplerule
- {
- meta:
- author="Cedric Pernet"
- version="0.1"
- date="2021/05/12"
- reference="any useful reference"
- strings:
- condition:
- }
使用該模板,您可以快速編輯元數(shù)據(jù)和規(guī)則名稱(本例中名為samplerule)。元數(shù)據(jù)可以是用戶想要放在那里的任何東西。我總是使用版本號(hào)、日期、可能是惡意軟件哈希的引用或提及我想要檢測(cè)的內(nèi)容的博客報(bào)告以及作者字段。
現(xiàn)在元數(shù)據(jù)已寫(xiě)好,不妨開(kāi)始編寫(xiě)第一個(gè)規(guī)則。
第一個(gè)規(guī)則
YARA規(guī)則結(jié)合了字符串元素和條件。字符串可以是文本字符串、十六進(jìn)制字符串或正則表達(dá)式。
條件是布爾表達(dá)式,就像在其他編程語(yǔ)言中一樣。最有名的條件是AND、OR和NOT。 也可以使用關(guān)系、算術(shù)和按位運(yùn)算符。
這是第一個(gè)規(guī)則:
- rule netcat_detection
- {
- meta:
- author="Cedric Pernet"
- version="0.1"
- date="2021/05/12"
- reference="netcat is a free tool available freely online"
- strings:
- $str1="gethostpoop fuxored" // this is very specific to the netcat tool
- $str2="nc -l -p port [options]"
- condition:
- $str1 or $str2
- }
不妨解釋這個(gè)名為netcat_detection的規(guī)則。
在我們通常的元數(shù)據(jù)之后,字符串部分包含兩個(gè)變量:str1和str2,當(dāng)然可以按我們的喜好來(lái)命名。此外為了說(shuō)明如何添加注釋,第一個(gè)變量在末尾含有一個(gè)注釋。
條件部分包含以下條件:必須匹配str1或str2。
這可以用更舒適的方式來(lái)編寫(xiě):
- condition:
- any of ($str*)
如果我們有很多不同的變量,只想匹配其中任何一個(gè),這很有用。
運(yùn)行第一個(gè)規(guī)則
現(xiàn)在不妨運(yùn)行規(guī)則,我們將其保存為名為rule1.yar的文件。我們想針對(duì)包含多個(gè)不同文件的文件夾運(yùn)行它,其中兩個(gè)是netcat軟件的32位和64位版本(圖A)。我們用于測(cè)試的系統(tǒng)是Ubuntu Linux發(fā)行版,但這沒(méi)關(guān)系,因?yàn)閅ara可以輕松安裝在Linux、Mac或Windows操作系統(tǒng)上。
圖A. 在文件夾上運(yùn)行YARA規(guī)則以檢測(cè)特定軟件
不出所料,YARA運(yùn)行并返回匹配規(guī)則的所有文件的名稱。
當(dāng)然,您可以將任意數(shù)量的YARA規(guī)則放在一個(gè)文件中,這比擁有許多不同的規(guī)則文件更方便。
使用-s選項(xiàng)運(yùn)行YARA可顯示與這些文件匹配的確切字符串(圖 B):
圖B. 使用-s選項(xiàng)運(yùn)行YARA以顯示匹配的字符串
附帶說(shuō)明一下,在公司網(wǎng)絡(luò)中的某個(gè)地方找到像netcat這樣的工具確實(shí)值得研究:普通用戶計(jì)算機(jī)上應(yīng)該找不到這個(gè)基本工具,因?yàn)樗试S計(jì)算機(jī)在特定端口上連接和交換數(shù)據(jù),可能被攻擊者所使用。當(dāng)然,它也可能被IT人員或紅隊(duì)人員使用,因此調(diào)查一番,以確定為什么在公司網(wǎng)絡(luò)的機(jī)器上發(fā)現(xiàn)它。
較復(fù)雜的字符串
匹配基本字符串足以在系統(tǒng)中查找文件。然而,字符串在不同系統(tǒng)上的編碼方式可能不同,或者可能被攻擊者輕微觸發(fā)。比如說(shuō),一個(gè)細(xì)微的變化可以改變使用隨機(jī)大小寫(xiě)的字符串的大小寫(xiě)。幸運(yùn)的是,YARA可以輕松處理這個(gè)問(wèn)題。
在下面的YARA字符串部分,字符串無(wú)論使用什么大小寫(xiě)都會(huì)匹配:
- strings:
- $str1="thisisit" nocase
條件$str1現(xiàn)在與使用的任何大小寫(xiě)匹配:"ThisIsIt"、"THISISIT"、"thisisit"和"ThIsIsiT"等。
如果字符串使用每個(gè)字符兩個(gè)字節(jié)來(lái)編碼,可以使用“wide”修改符,當(dāng)然可以彼此結(jié)合。
- strings:
- $str1="thisisit" nocase wide
想搜索ASCII和寬格式的字符串,修改符“ascii”可與wide結(jié)合使用。
- strings:
- $str1="thisisit" ascii wide
十六進(jìn)制字符串
十六進(jìn)制字符串可輕松使用:
- strings:
- $str1={ 75 72 65 6C 6E 20 }
- $str2={ 75 72 65 6C ?? 20 }
- $str3={ 75 72 [2-4] 65 6C }
這是三個(gè)不同的十六進(jìn)制變量。第一個(gè)搜索十六進(jìn)制字符串上的精確序列。第二個(gè)使用兩個(gè)?字符表示的通配符,將搜索任何十六進(jìn)制值的帶有??的字符串。
第三個(gè)字符串搜索前兩個(gè)字節(jié),然后跳過(guò)兩到四個(gè)字符,最后是最后兩個(gè)字節(jié)。某些序列在不同文件中不一樣、但在兩個(gè)已知序列之間顯示可預(yù)測(cè)數(shù)量的隨機(jī)字節(jié)時(shí),這非常方便。
正則表達(dá)式
就像在任何編程語(yǔ)言中一樣,正則表達(dá)式對(duì)于檢測(cè)可以用不同方式編寫(xiě)的特定內(nèi)容非常有用。在YARA中,它們通過(guò)使用以斜杠(/) 字符開(kāi)頭和結(jié)尾的字符串來(lái)定義。
不妨舉一個(gè)有意義的例子。
在惡意軟件二進(jìn)制文件中,開(kāi)發(fā)人員留下了調(diào)試信息,尤其是著名的PDB字符串。
內(nèi)容如下:
- D:\workspace\Malware_v42\Release\malw.pdb
現(xiàn)在的想法是不僅要?jiǎng)?chuàng)建一個(gè)與該惡意軟件匹配的規(guī)則,還要?jiǎng)?chuàng)建它的所有不同版本,以防版本號(hào)發(fā)生變化。此外,我們決定從規(guī)則中排除“D”驅(qū)動(dòng)器,因?yàn)殚_(kāi)發(fā)人員也可能將它放在另一個(gè)驅(qū)動(dòng)器上。
我們給出了正則表達(dá)式(圖C):
圖C. 根據(jù)其PDB字符串和結(jié)果,匹配惡意軟所有版本的規(guī)則
出于演示目的,我們構(gòu)建了一個(gè)名為newmalwareversion.exe的文件,包含三個(gè)不同的PDB字符串,每個(gè)字符串都有不同的版本號(hào)。我們的規(guī)則與它們?nèi)科ヅ洹?/p>
請(qǐng)注意,我們字符串中的\字符已加倍,因?yàn)閈是需要轉(zhuǎn)義的特殊字符,就像在C語(yǔ)言中一樣。
較復(fù)雜的條件
條件可能比僅匹配單個(gè)或多個(gè)字符串來(lái)得更智能。您可以使用條件來(lái)計(jì)算字符串、指定要查找字符串的偏移量、匹配文件大小甚至使用循環(huán)。
以下是我加注釋以解釋的幾個(gè)示例:
- condition:
- 2 of ($str*) // will match on 2 of several strings named str followed by a number
- ($str1 or $str2) and ($text1 or $text2) // example of Boolean operators
- #a == 4 and #b > 6 // string a needs to be found exactly four times and string b needs to be found strictly more than six times
- $str at 100 // string str needs to be located within the file at offset 100
- $str in (500..filesize) // string str needs to be located between offset 500 and end of file.
- filesize > 500KB // Only files which are more than 500KB big will be considered
原文標(biāo)題:How to write YARA rules for improving your security and malware detection,作者:Cedric Pernet
【51CTO譯稿,合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】
