[[440206]]

【51CTO.com快譯】市面上有眾多不同的工具來檢測企業(yè)網(wǎng)絡(luò)面臨的威脅。其中一些檢測基于網(wǎng)絡(luò)特征，而另一些檢測基于公司端點(diǎn)或服務(wù)器上的文件或行為。這些解決方案大多使用現(xiàn)有規(guī)則來檢測危險(xiǎn)，但愿這些規(guī)則經(jīng)常更新。但是當(dāng)安全人員想要添加自定義規(guī)則用于檢測或使用特定規(guī)則在端點(diǎn)上執(zhí)行自己的事件響應(yīng)時(shí)，會(huì)發(fā)生什么?這時(shí)候YARA 派得上用場。

一、YARA簡介

YARA 是一個(gè)免費(fèi)開源工具，旨在幫助安全人員檢測和分類惡意軟件，但它不應(yīng)僅限于這一種用途。YARA規(guī)則還可以幫助檢測特定文件或您可能想要檢測的任何內(nèi)容。

YARA是二進(jìn)制代碼，可以針對(duì)文件啟動(dòng)，將YARA規(guī)則作為變量。它適用于Windows、Linux和Mac操作系統(tǒng)。如果使用YARA-python擴(kuò)展，它也可以在Python腳本中使用。

YARA規(guī)則是文本文件，包含滿足時(shí)觸發(fā)檢測的項(xiàng)目和條件。這些規(guī)則可以針對(duì)單個(gè)文件、包含幾個(gè)文件的文件夾甚至整個(gè)文件系統(tǒng)來啟動(dòng)。

二、YARA的用途

您可以通過以下幾種方式使用YARA。

1.惡意軟件檢測

YARA的主要用途以及它在2008年創(chuàng)建的初衷是檢測惡意軟件。您要明白它不像傳統(tǒng)的防病毒軟件那樣工作。后者主要檢測二進(jìn)制文件中幾個(gè)字節(jié)的靜態(tài)特征或可疑文件行為，而YARA可以通過使用特定的組件組合來擴(kuò)大檢測范圍。因此，可以創(chuàng)建YARA規(guī)則以檢測整個(gè)惡意軟件家族，而不僅僅是單個(gè)變種。能夠使用邏輯條件來匹配規(guī)則使其成為一種檢測惡意文件的非常靈活的工具。

此外值得一提的是，在這種情形下，不僅可針對(duì)文件使用YARA規(guī)則，還可針對(duì)內(nèi)存轉(zhuǎn)儲(chǔ)內(nèi)容使用YARA規(guī)則。

2.事件處理

在事件發(fā)生期間，安全和威脅分析員有時(shí)需要快速檢查某個(gè)特定文件或內(nèi)容是否隱藏在端點(diǎn)甚至整個(gè)公司網(wǎng)絡(luò)上的某個(gè)地方。無論文件位于何處，檢測文件的一種解決方案是構(gòu)建和使用特定的YARA規(guī)則。

3.內(nèi)容快速分類

使用YARA規(guī)則可以在需要時(shí)進(jìn)行真正的文件分類。可以使用YARA規(guī)則優(yōu)化對(duì)惡意軟件進(jìn)行分類。然而，規(guī)則需要非常精確以避免誤報(bào)。

4.入站網(wǎng)絡(luò)連接分析

可以在網(wǎng)絡(luò)環(huán)境中使用YARA，以檢測發(fā)送到需要保護(hù)的公司網(wǎng)絡(luò)的惡意內(nèi)容。YARA規(guī)則可以針對(duì)電子郵件來啟動(dòng)，尤其是針對(duì)附件，或者網(wǎng)絡(luò)的其他部分，比如反向代理服務(wù)器上的HTTP通信。當(dāng)然，它可以用作現(xiàn)有分析軟件的補(bǔ)充。

5.出站網(wǎng)絡(luò)通信分析

可以使用YARA規(guī)則分析出站通信，以檢測出站惡意軟件通信，也可以嘗試檢測數(shù)據(jù)泄露。使用基于自定義規(guī)則的特定的YARA規(guī)則來檢測公司的合法文檔可以用作數(shù)據(jù)丟失防護(hù)系統(tǒng)，并檢測可能存在的內(nèi)部數(shù)據(jù)泄漏。

6.EDR集成

YARA是一個(gè)成熟的產(chǎn)品，因此幾種不同的EDR(端點(diǎn)檢測和響應(yīng))解決方案允許將個(gè)人的YARA 規(guī)則集成到其中，因而更容易只需點(diǎn)擊一下即可在所有端點(diǎn)上運(yùn)行檢測。

三、如何安裝 YARA?

YARA可用于不同的操作系統(tǒng)：macOS、Windows和Linux。

如何在 macOS上安裝YARA?

YARA可以使用Homebrew安裝在macOS 上。只需輸入并執(zhí)行命令：

brew install YARA 

完成此操作后，YARA就可以在命令行中使用了。

如何在Windows上安裝YARA?

YARA提供易于使用的Windows二進(jìn)制文件。一旦從網(wǎng)站下載zip文件后，它可以在任何文件夾中解壓縮，包含兩個(gè)文件：Yara64.exe和Yarac64.exe(或Yara32.exe和Yarac32.exe，如果您選擇文件的32位版本)。

然后它可以在命令行上工作了。

如何在Linux上安裝YARA?

YARA可以直接從其源代碼來安裝。在此處下載(https://github.com/VirusTotal/yara/releases/)，只需點(diǎn)擊源代碼(tar.gz)鏈接，然后解壓縮文件并編譯它。舉例來說，我們將在Ubuntu系統(tǒng)上使用YARA 4.1.3版，這是截止本文發(fā)稿時(shí)的最新版本。

請(qǐng)注意，有幾個(gè)軟件包是強(qiáng)制性的，應(yīng)在安裝YARA之前安裝：

sudo apt install automake libtool make gcc pkg-config 

完成后，運(yùn)行文件的提取和安裝：

tar -zxf YARA-4.1.3.tar.gz 
cd YARA-4.1.3 
./bootstrap.sh 
./configure 
make 
sudo make install 

YARA易于安裝，最困難的部分是學(xué)習(xí)如何編寫高效的YARA規(guī)則，我將在下一篇文章中解釋。

原文標(biāo)題：Cybersecurity: Increase your protection by using the open-source tool YARA，作者：Cedric Pernet

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】