Yara – Ferramenta de análise de Malwares
- Vinicius Souza
- Segurança da informação
- 27 de abril de 2021
O que é YARA?
Yara é uma ferramenta de código aberto que tem como objetivo realizar a análise de Malware, ajudando a classificar a família ao qual esse Malware pertence e também identificar novos. YARA significa “mais um acrônimo recursivo”, mas não se deixe levar com o “mais um”, pois é uma ferramenta poderosíssima na busca e análise de famílias de Malwares.
Você pode localizar qualquer código ou padrão, porém é mais utilizado para detecção de Malware, é possível também localizar uma pasta, arquivo, processo executando em memória, etc.
O que é a regra YARA (Yara Rule)?
A regra YARA é utilizada para encontrar e classificar amostras de Malware a partir de características que podemos definir através de: binários, hashs, padrões hexadecimais, clean text, base64, entre outros. Depois da criação você terá diversas formas de executar esta regra, seja simplesmente procurando um padrão de texto único ou também criando condições com regras regex para que dê match no que realmente é malicioso. A sintaxe das regras se assemelha à linguagem C.
Sistemas Operacionais compatíveis:
- Linux
- Windows
Criação de uma regra simples
Com Yara você pode criar desde uma regra simples até uma regra muito complexa. Mostraremos neste post apenas uma regra simples, pois a ideia é o entendimento do que é o Yara
Abaixo uma regra que vasculha os arquivos, processos, pastas, etc procurando por algumas strings e caso sejam encontradas qualquer uma das strings dará match.
Arquivo: Simple_Rule.yar
rule Simple_Rule
{
meta:
description= "Simple Rule"
author = "IronLinux"
date = "2021-04-28"
strings:
$string1 = "oi eu sou um malware"
$string2 = "eu nao sou um malware"
$string3 = "eu sou so uma string"
$string4 = "duvido me achar"
condition:
any of them
}
Vamos vê-la em ação?
1- Criando arquivo de exemplo com uma das Strings acima “/tmp/arquivo_de_exemplo.txt”
2- Criando a Rule de exemplo “Simple_Rule.yar”
3- Executando a regra criada no arquivo “/tmp/arquivo_de_exemplo.txt” e tendo retorno do nome da Rule e o arquivo que deu match.
Esse post foi apenas informativo, criaremos POSTs da instalação/ configuração do Yara e também abordaremos 100% a criação de regras.
Se gostou deixe seu comentário!
Documentação oficial: https://yara.readthedocs.io/en/stable/index.html
Por fim, agradecemos a leitura e esperamos que este post tenha te ajudado de alguma maneira! Caso tenha alguma dúvida, entre em contato conosco pelo Telegram , Facebook ou Instagram ! Veja mais posts no IronLinux !