Bil

CybersĂ€kerhet: Öka ditt skydd genom att anvĂ€nda open source-verktyget YARA

YARA kommer inte att ersÀtta antivirusprogram, men det kan hjÀlpa dig att upptÀcka problem mycket mer effektivt och möjliggöra mer anpassning. SÄ hÀr installerar du YARA pÄ Mac, Windows och Linux.

Bild: djedzura/iStock

Öppen kĂ€llkod: MĂ„ste lĂ€sa tĂ€ckning

Det finns en uppsjö av olika verktyg för att upptÀcka hot mot företagets nÀtverk. Vissa av dessa upptÀckter Àr baserade pÄ nÀtverkssignaturer, medan andra Àr baserade pÄ filer eller beteende pÄ Àndpunkterna eller pÄ företagets servrar. De flesta av dessa lösningar anvÀnder befintliga regler för att upptÀcka fara, som förhoppningsvis uppdateras ofta. Men vad hÀnder nÀr sÀkerhetspersonalen vill lÀgga till anpassade regler för upptÀckt eller göra sin egen incidentrespons pÄ endpoints med hjÀlp av specifika regler? Det Àr hÀr YARA kommer in i bilden.

Vad Àr YARA?

YARA Àr ett gratis verktyg med öppen kÀllkod som syftar till att hjÀlpa sÀkerhetspersonal att upptÀcka och klassificera skadlig programvara, men det bör inte begrÀnsas till detta enda syfte. YARA-regler kan ocksÄ hjÀlpa till att upptÀcka specifika filer eller vilket innehÄll du kanske vill upptÀcka.

SER: 40+ termer för öppen kÀllkod och Linux du behöver kÀnna till (TechRepublic Premium)

YARA kommer som en binÀr fil som kan startas mot filer, med YARA-regler som argument. Det fungerar pÄ Windows, Linux och Mac operativsystem. Det kan ocksÄ anvÀndas i Python-skript med YARA-python-tillÀgget.

YARA-regler Àr textfiler som innehÄller objekt och villkor som utlöser en upptÀckt nÀr de uppfylls. Dessa regler kan startas mot en enda fil, en mapp som innehÄller flera filer eller till och med ett fullstÀndigt filsystem.

Vad kan YARA anvÀndas till?

HÀr Àr nÄgra sÀtt du kan anvÀnda YARA.

Detektering av skadlig programvara

HuvudanvÀndningen av YARA, och den som den ursprungligen skapades för 2008, Àr att upptÀcka skadlig programvara. Du mÄste förstÄ att det inte fungerar som ett traditionellt antivirusprogram. Medan den sistnÀmnda mestadels upptÀcker statiska signaturer pÄ nÄgra byte i binÀra filer eller misstÀnkt filbeteende, kan YARA förstora detekteringen genom att anvÀnda specifika komponentkombinationer. DÀrför Àr det möjligt att skapa YARA-regler för att upptÀcka hela familjer av skadlig programvara och inte bara en enda variant. Möjligheten att anvÀnda logiska villkor för att matcha en regel gör den till ett mycket flexibelt verktyg för att upptÀcka skadliga filer.

Det bör ocksÄ noteras att det i detta sammanhang ocksÄ Àr möjligt att anvÀnda YARA-regler inte bara pÄ filer utan Àven pÄ minnesdumpar.

Incidenthantering

Under incidenter behöver sÀkerhets- och hotanalytiker ibland snabbt undersöka om en viss fil eller innehÄll Àr gömt nÄgonstans pÄ en slutpunkt eller till och med i hela företagets nÀtverk. En lösning för att upptÀcka en fil oavsett var den finns kan vara att bygga och anvÀnda specifika YARA-regler.

Snabb klassificering av innehÄll

AnvĂ€ndningen av YARA-regler kan göra en riktig filtriage nĂ€r det behövs. Klassificering av skadlig programvara efter familj kan optimeras med YARA-regler. ÄndĂ„ mĂ„ste reglerna vara mycket exakta för att undvika falska positiva resultat.

Analys av inkommande nÀtverksanslutningar

Det Àr möjligt att anvÀnda YARA i nÀtverkssammanhang för att upptÀcka skadligt innehÄll som skickas till företagets nÀtverk för att skydda. YARA-regler kan lanseras pÄ e-postmeddelanden och sÀrskilt pÄ deras bifogade filer, eller pÄ andra delar av nÀtverket, som till exempel HTTP-kommunikation pÄ en omvÀnd proxyserver. Naturligtvis kan den anvÀndas som ett tillÀgg till redan befintlig analysmjukvara.

SER: Linux fyller 30: Firar operativsystemet med öppen kÀllkod (gratis PDF) (TechRepublic)

UtgÄende nÀtverkskommunikationsanalys

UtgÄende kommunikation kan analyseras med YARA-regler för att upptÀcka utgÄende skadlig kommunikation men ocksÄ för att försöka upptÀcka dataexfiltrering. Att anvÀnda specifika YARA-regler baserade pÄ anpassade regler gjorda för att upptÀcka legitima dokument frÄn företaget kan fungera som ett dataförlustförebyggande system och upptÀcka ett möjligt lÀckage av intern data.

EDR integration

YARA Àr en mogen produkt och dÀrför tillÄter flera olika EDR-lösningar (Endpoint Detection and Response) personliga YARA-regler att integreras i den, vilket gör det lÀttare att köra detektering pÄ alla endpoints med ett enda klick.

Hur installerar jag YARA?

YARA Àr tillgÀngligt för olika operativsystem: macOS, Windows och Linux.

Hur man installerar YARA pÄ macOS

YARA kan installeras pÄ macOS med Homebrew. Skriv bara och kör kommandot:

brew install YARA

Efter denna operation Àr YARA redo att anvÀndas pÄ kommandoraden.

Hur man installerar YARA pÄ Windows

YARA erbjuder Windows-binÀrer för enkel anvÀndning. NÀr zip-filen har laddats ner frÄn webbplatsen kan den packas upp i valfri mapp och innehÄller tvÄ filer: Yara64.exe och Yarac64.exe (eller Yara32.exe och Yarac32.exe, om du valde 32-bitarsversionen av filerna ).

Den Àr sedan redo att arbeta pÄ kommandoraden.

Hur man installerar YARA pÄ Linux

YARA kan installeras direkt frÄn dess kÀllkod. Ladda ner den hÀr genom att klicka pÄ kÀllkoden (tar.gz), extrahera sedan filerna och kompilera den. Som ett exempel kommer vi att anvÀnda version 4.1.3 av YARA, den senaste versionen nÀr detta skrivs, pÄ ett Ubuntu-system.

Observera att nÄgra paket Àr obligatoriska och bör installeras innan du installerar YARA:

sudo apt install automake libtool make gcc pkg-config

NÀr det Àr klart kör du extraheringen av filerna och installationen:

tar -zxf YARA-4.1.3.tar.gz
cd YARA-4.1.3
./bootstrap.sh
./configure
make
sudo make install

YARA Ă€r lĂ€tt att installera – den svĂ„raste delen Ă€r att lĂ€ra sig hur man skriver effektiva YARA-regler, vilket jag kommer att förklara i min nĂ€sta artikel.

Avslöjande: Jag arbetar för Trend Micro, men de Äsikter som uttrycks i den hÀr artikeln Àr mina.

BotĂłn volver arriba

Annonsblockerare upptÀckt

Du mÄste ta bort AD BLOCKER för att fortsÀtta anvÀnda vÄr webbplats TACK