【.com快译】市场上有许多不同的工具来检测企业网络的威胁。其中一些检测基于网络特征,而另一些则基于公司端点或服务器上的文件或行为。大多数这些解决方案使用现有规则来检测危险,希望这些规则能够经常更新。但是,当安全人员想要添加自定义检测规则或使用特定规则在端点上执行他们自己的事件响应时会发生什么?这就是YARA派上用场的地方。一、YARA简介YARA是一款免费的开源工具,旨在帮助安全人员检测和分类恶意软件,但不应仅限于这一用途。YARA规则还可以帮助检测特定文件或您可能想要检测的任何内容。YARA是二进制代码,可以针对以YARA规则作为变量的文件启动。它适用于Windows、Linux和Mac操作系统。如果使用YARA-python扩展,它也可以在Python脚本中使用。YARA规则是文本文件,其中包含满足时触发检测的项目和条件。这些规则可以针对单个文件、包含多个文件的文件夹甚至整个文件系统触发。2.YARA的使用您可以通过以下方式使用YARA。1.恶意软件检测YARA的主要目的及其创建于2008年的最初目的是检测恶意软件。您需要了解它不像传统防病毒软件那样工作。后者主要检测二进制文件中几个字节的静态签名或可疑文件行为,而YARA可以通过使用特定的组件组合来扩大检测范围。因此,可以创建YARA规则来检测整个恶意软件系列,而不仅仅是单个变体。使用逻辑条件匹配规则的能力使其成为检测恶意文件的非常灵活的工具。还值得一提的是,在这种情况下,您不仅可以对文件使用YARA规则,还可以对内存转储内容使用YARA规则。2.事件处理在事件发生期间,安全和威胁分析师有时需要快速检查特定文件或内容是否隐藏在端点上的某处,甚至整个企业网络中。无论文件位于何处,检测文件的一种解决方案是构建和使用特定的YARA规则。3.内容快速分类在需要时使用YARA规则进行真正的文件分类。可以使用YARA规则优化对恶意软件进行分类。但是,规则需要非常精确以避免误报。4.入站网络连接分析YARA可用于网络环境,以检测发送到需要保护的企业网络的恶意内容。YARA规则可以针对电子邮件激活,尤其是针对附件或网络的其他部分,例如反向代理服务器上的HTTP流量。当然,它可以作为现有分析软件的补充。5.出站网络流量分析可以使用YARA规则分析出站流量,以检测出站恶意软件流量或尝试检测数据泄露。使用基于自定义规则的特定YARA规则来检测合法的公司文件,可以用作数据丢失防护系统并检测可能的内部数据泄漏。6.EDR集成YARA是一个成熟的产品,所以几种不同的EDR(端点检测和响应)解决方案允许将个人YARA规则集成到其中,从而更容易地一键对所有端点运行检测。3.如何安装YARA?YARA适用于不同的操作系统:macOS、Windows和Linux。如何在macOS上安装YARA?可以使用Homebrew在macOS上安装YARA。只需键入并执行命令:brewinstallYARA完成后,YARA就可以从命令行使用了。如何在Windows上安装YARA?YARA提供易于使用的Windows二进制文件。从网站下载zip文件后,可以将其解压缩到任何文件夹中,它包含两个文件:Yara64.exe和Yarac64.exe(如果选择文件的32位版本,则为Yara32.exe和Yarac32.exe).然后它在命令行上工作。如何在Linux上安装YARA?YARA可以直接从其源代码安装。在此处下载(https://github.com/VirusTotal/yara/releases/),只需单击源代码(tar.gz)链接,然后解压缩文件并编译。例如,我们将在Ubuntu系统上使用YARA版本4.1.3,这是撰写本文时的最新版本。请注意,有几个包是必需的,应该在安装YARA之前安装:sudoaptinstallautomakelibtoolmakegccpkg-config完成后,运行文件的提取和安装:tar-zxfYARA-4.1.3.tar.gzcdYARA-4.1.3./bootstrap.sh./configuremakesudomakeinstallYARA很容易安装,最难的部分是学习如何编写高效的YARA规则,我将在下一篇文章中解释。原标题:Cyber??security:Increaseyourprotectionbyusingtheopen-sourcetoolYARA,作者:CedricPernet
