yara

Yara en pocas palabras

Yara es una herramienta dirigida (entre otros) a ayudar a los investigadores de malware a identificar y clasificar muestras de malware. Con Yara puede crear descripciones de familias de malware (o lo que quiera describir) en función de los patrones textuales o binarios. Cada descripción, también conocida como regla, consiste en un conjunto de cuerdas y una expresión booleana que determina su lógica. Veamos un ejemplo:

 regla silent_banker: banker {meta: descripción = "Esto es solo un ejemplo" amenaze_level = 3in_the_wild = truestrings: $ a = {6a 40 68 00 30 00 6a 14 8d 91} $ b = {8d 4d b0 2b C1 83 C0 27 27 99 6a 4e 59 f7 f9} $ c = "uvodfrysihlnwpejxqzakcbgmt" Condición: $ a o $ b o $ c}

La regla anterior es decirle a Yara que cualquier archivo que contenga una de las tres cadenas debe informarse como Silent_Banker . Este es solo un ejemplo simple, se pueden crear reglas más complejas y poderosas mediante el uso de tarjetas salvajes, cadenas de casos, expresiones regulares, operadores especiales y muchas otras características que encontrará explicadas en la documentación de Yara.

Yara es multiplataforma, se ejecuta en Windows, Linux y Mac OS X, y puede usarse a través de su interfaz de línea de comandos o desde sus propios scripts de Python con la extensión de Yara-Python.

Recursos adicionales

¿Usas GitHub para almacenar tus reglas de Yara? Yara-Ci puede ser una adición útil a su cinturón de herramientas. Esta es la aplicación GitHub que proporciona pruebas continuas para sus reglas, lo que lo ayuda a identificar errores comunes y falsos positivos.

Si planea usar Yara para escanear archivos comprimidos (.zip, .tar, etc.) debe echar un vistazo a Yextend, una extensión muy útil para Yara desarrollada y de código abierto por Bayshore Networks.

Además, los chicos de la investigación han comisariado una increíble lista de cosas relacionadas con Yara.

Quién está usando Yara

• 0x101 Seguridad cibernética

• Adlice

• Alienvault

• Avast

• Sistemas BAE

• Bayshore Networks, Inc.

• Binkyze

• Binario

• Azul marino

• Seguridad

• Grupo de Inteligencia Cisco Talos

• Seguridad de Cloudina

• Cofense

• Conix

• Contramanos

• Cuco sandbox

• Triaje cibernético

• Ciberónimos

• Seguridad de Digita

• Plataforma de dragos

• Sistemas DTEX

• Eset

• Estriaje

• Seguridad elástica

• Fidelis XPS

• FireEye, Inc.

• Punto de fuerza

• Fox-It

• FSF

• Software de orientación

• Heroku

• Cuervo

• Defensa de ICS

• Encuesta

• Intelowl

• Seguridad de Joe

• Laboratorio de Kaspersky

• KnowBe4

• Koodoso

• Jefe de Laika

• LastLine, Inc.

• libguestfs

• Limacharlie

• Malpedia

• Malwation

• Defensa de amenaza avanzada de McAfee

• Metaflows

• Sistema NBS

• ndaal

• Netlock

• Sistemas nextron

• Networks de Nozomi

• Úsquería

• Seguridad de carga útil

• Phishme

• Seguridad de los escustos

• Radare2

• Seguridad de Redsocks

• Reversinglabs

• Escaneo

• Segunda escritura

• Municipal

• Spamstopser

• Espía

• stoq

• Seguridad sublime

• Sumológico

• Tanium

• Seguridad de la red tenable

• Tenzir

• El grupo de digitrust

• Amenazas

• Amenazstream, Inc.

• Matón

• Amenaza.zona

• Touchweb

• Tendencia micro

• Impacme

• Upsight Security Inc.

• Uptycs Inc

• Veam

• API antivirus de Verisys

• Inteligencia virusta

• Vmray

• Volexidad

• Vamos a tu sitio web

• x64dbg

• Yalih

¿Lo estás usando? ¿Quieres ver tu sitio en la lista aquí?