ابزار YARA چیست؟ و چه کاربردی دارد؟

YARA

یک ابزار منبع باز است که برای شناسایی و طبقه بندی نمونه‌های بدافزار کاربردی می‌باشد. این کار با استفاده از تعریف ruleهایی براساس محتوای متنی و یا باینری انجام می‌گیرد. YARA یک فایل اجرایی است که بروی تمام سیستم عامل‌های ویندوز، مک و لینوکس قابل اجرا است و فایل‌های متنی حاوی rule ها را به عنوان ورودی دریافت می‌کند. با اینکه ابزار YARA جهت شناسایی بدافزارها کاربرد فراوانی دارد ولی نمی‌توان آن را محدود به این موضوع کرد و امکان شناسایی فایل‌های سالم بر اساس الگوهای تعریف شده را نیز دارد.

این ابزار با استفاده از توصیفاتی(description) که به عنوان ورودی دریافت می‌کند، به دنبال آن ویژگی‌ها در بین فایل‌ها می‌گردد؛ این توصیفات می‌تواند یک رشته متنی ساده ، مقادیر باینری یا hex باشند. به این توصیفات اصطلاحا rule (به فارسی: قانون) گفته می‌شود.

بدافزارها چگونه شناسایی می‌شوند؟

یکی از معمول‌ترین روش‌های شناسایی بدافزار، محاسبه کردن هش(hash) فایل مشکوک و مقایسه آن با مقدار هش یک بدافزار شناخته شده می‌باشد. این روش عموماً با نام signature-based detection شناخته می‌شود. این روش از سرعت بالایی برخوردار می‌باشد و کماکان توسط پیشرفته‌ترین آنتی ویروس‌ها به عنوان اولین لایه محافظتی استفاده می‌شود.

یکی از مشکلات روش اول، عدم شناسایی نسخه‌های خاص و نمونه‌های دیگر بدافزارها می‌باشد؛ دلیل این اتفاق تفاوت مقدار هش نمونه‌های با نمونه اصلی است که در پایگاه امضاء وجود دارد. گاهی اوقات در سایر نسخه‌ها و نمونه‌ها یا حتی خانواده‌های دیگر از بدافزارها مقادیر و رشته‌های متنی مشترکی استفاده می‌شود. آنتی ویروس‌ها به دنبال یافتن این نوع از مقادیر مشترک در بین فایل ها اسکن می‌کنند. این روش امکان شناسایی بدافزارهای ناشناخته و نمونه های جدید بدافزارهای قدیمی را به ارمغان می‌آورد.

کاربرد YARA چیست؟

همانطور که گفته شد YARA یک ابزار تشخیص و شناسایی انواع فایل برا اساس الگوهای انعطاف‌پذیر و قابل شخصی سازی می‌باشد. در ادامه به چند مورد از کاربردهای YARA اشاره می‌کنیم:

– شناسایی بدافزار: زمانی که در سال 2008 ابزار YARA ساخته شد هدف اصلی آن تشخیص فایل‌های آلوده بود. البته این ابزار همانند راهکاری آنتی ویروس عمل نمی‌کند. آنتی ویروس ها معمولا برا اساس پایگاه داده امضا فایل‌های آلوده و مشکوک را شناسایی می‌کنند، در حالی که با استفاده از YARA امکان تعریف rule های متنوع و پیچیده برای شناسایی تمام خانواده بدافزار وجود دارد. در واقع این ابزار از دستورات شرطی برای مطابقت با rule ها استفاده می‌کند که انعطاف پذیری بسیار بالایی در شناسایی انواع بدافزارها خواهد داشت. همچنین YARA، نه تنها امکان شناسایی فایل‌های آلوده را دارد بلکه توانایی شناسایی بدافزارهای fileless از روی dump حافظه را نیز دارد.

– مدیریت حوادث: در زمان وقوع حوادث سایبری، تحلیلگران تهدیدات سایبری نیاز دارند تا به سرعت از وجود یک فایل یا یک محتوای خاص بروی نقاط پایانی مطلع شوند. ابزار YARA سریع ترین راهکار برای چنین شرایطی می‌باشد و به سرعت توانایی شناسایی و موقعیت یابی کدها و فایل‌های مخرب را خواهد داشت.

– آنالیز ترافیک شبکه: امکان اینکه از این ابزار برای پایش ترافیک شبکه، فایل‌های الصاق شده به ایمیل و حتی ارتباط http با سوار شدن بروی یک reverse proxy وجود دارد.

– EDR: ابزار YARA یک ابزار کامل و بالغ می‌باشد و در ترکیب با سایر راهکارهای امنیت سایبری می‌تواند بسیار کاربردی باشد. مهمترین و بیشترین استفاده از آن در راهکاری‌های EDR (Endpoint Detection & Response) و MDR می‌باشد که اجرای جستجو بر اساس فرمت YARA بروی کلیه نقاط پایانی تحت مدیریت را فراهم می‌آورد.

نحوه استفاده از YARA

همانطور که پیش‌تر مطرح شد، این ابزار کاملا منبع باز بوده و به راحتی از طریق وبسایت گیت هاب از طریق این لینک قابل دانلود می‌باشد. فایل دانلود شده داری دو عدد فایل اجرای به نام‌های yara64 و yarac64 (در صورت دانلود نسخه 64 بیتی) می‌باشد. پس از آن نیاز به نوشتن rule خواهیم داشت که شناسایی و تشخیص بر اساس آن انجام می‌گیرد. در ادامه نمونه‌ای از یک rule قابل مشاهده است.

‌

				
					rule silent_banker : banker
{
    meta:
        description = "This is just an example"
        threat_level = 3
        in_the_wild = true
    strings:
        $a = {6A 40 68 00 30 00 00 6A 14 8D 91}
        $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
        $c = "UVODFRYSIHLNWPEJXQZAKCBGMT"
    condition:
        $a or $b or $c
}

تمامی این قوانین دارای سه قسمت اصلی می‌باشند که تنها یکی از آنها اجباری است. قسمت meta توضیحاتی در خصوص این rule می‌باشد. در قسمت strings تمامی رشته‌های متنی که در این rule استفاده می‌شود تعریف می‌گردد در صورتی قوانین ما دارای هیچ رشته متنی نمی‌باشد، می‌توان همانند قسمت قبل از نوشتن آن اجتاب کرد. بخش condition قسمت منطقی و تصمیم گیرنده می‌باشد و تعریف آن اجباریست. در این قسمت عبارات منطقی و مقایسه‌ای که در نهایت منجر به ارضای شروط می‌شوند، قرار داده می‌شود. در این قسمت امکان استفاده از رشته‌های متنی تعریف شده در قسمت strings جهت انجام اعمال مقایسه‌ای وجود دارد.

این ابزار دارای کلمات کلیدی و توابع داخلی متنوعی می‌باشد که امکان انعطاف پذیری فوق العاده بالایی در نوشتن rule ها در اختیارمان قرار می‌دهد و توانایی تحلیل کل فایل و یا بخش های مشخصی از آن دارد. کلیه کلمات کلیدی yara به شرح جدول ذیل می‌باشد. جهت آشنایی کامل با نحوه نوشتن rule ها به مستندات yara مراجعه نمایید. همچنین yara دارای تعدادی ماژول می‌باشد که قابلیت‌های جدیدی مانند توابع محاسبه هش و شناسایی نوع فایل را به rule های ساده شما اضافه می‌کند؛ با استفاده از این توابع پیشرفته امکان تعریف rule های پیشرفته میسر می‌شود.

condition	base64wide	base64	at	ascii	any	and	all
global	fullword	for	filesize	false	entrypoint	endswith	contains
int16be	int16	include	in	iequals	iendswith	icontains	import
nocase	meta	matches	istartswith	int8be	int8	int32be	int32
strings	startswith	rule	private	or	of	not	none
uint8be	uint8	uint32be	uint32	uint16be	uint16	true	them
defined	xor	wide

برای مثال ما در اینجا یک فایل rules با پسوند yar ایجاد کرده و یک سری قوانین و شرط بسیار ساده برای آن نوشته‌ایم. بر اساس این فایل rule، تمامی فایل‌هایی که دارای رشته متنی hello یا world بوده و در محتوای آن رشته متنی foo نباشد؛ نمایش داده خواهد شد.

				
					rule hello_world{
	strings: 
		$hello = "hello"
		$world = "world"
		$ignore = "foo"
	condition:
		($hello or $world) and not $ignore
}

با اجرای yara بروی درایو D فایلی که با محتوای hello world ایجاد کرده بودیم شناسایی می‌شود. معمولا با اولین شناسایی یک بدافزار ناشناخته توسط آزمایشگاه‌های تحلیل بدافزار جزئیات فنی آن نیز منتشر می‌شود با استفاده از این نکات فنی می‌‌توان توصیفات لازم جهت شناسایی آن بدافزار توسط yara را تعریف نموده و بروی کلیه نقاط پایانی اجرا کرد. در این صورت قبل از اضافه شدن امضاء بدافزار به پایگاه امضاء آنتی ویروس مستقر می‌توان بدافزار مدنظر را تشخیص داد. نکته نهایی و لازم به ذکر این است که، به هیچ عنوان توصیه نمی‌شود که از ابزار قدرتمند YARA به عنوان جایگزین آنتی ویروس استفاده شود بلکه به عنوان یک ابزار مکمل و کاربردی در کنار سایر راهکارها کاربردی است.

ابزار YARA چیست؟ و چه کاربردی دارد؟

فهرست مطالب

YARA

بدافزارها چگونه شناسایی می‌شوند؟

کاربرد YARA چیست؟

نحوه استفاده از YARA

0 دیدگاه

دیدگاهتان را بنویسید لغو پاسخ

محصولات

خدمات ارتباط افزار افق