خواندن 5 دقیقه منتشر شده در
بیشتر شما را با نحوه نصب YARA در مک، ویندوز و لینوکس آشنا خواهیم کرد.
ابزارهای مختلفی برای شناسایی تهدیدات شبکه شرکتی وجود دارد. ، برخی دیگر بر اساس فایل ها یا رفتار در نقاط پایانی یا سرورهای شرکت هستند.
بیشتر این راه حل ها از قوانین موجود برای تشخیص تهدید استفاده می کنند، که امیدواریم به طور مکرر به روز شوند. یا با استفاده از قوانین خاص به رویدادهای نقطه پایانی پاسخ دهید؟
اینجاست که YARA وارد می شود.
YARA چیست؟
YARA رایگان است این یک ابزار منبع باز برای کمک به پرسنل امنیتی برای شناسایی و طبقه بندی بدافزار است، اما شما نباید به این هدف محدود شوید.
قوانین YARA همچنین می تواند به شناسایی فایل های خاص یا هر محتوای دیگری که ممکن است بخواهید شناسایی کنید کمک کند.
YARA به عنوان یک فایل باینری ارائه می شود که می توانید با در نظر گرفتن قوانین YARA به عنوان آرگومان، آن را برای ممیزی یک فایل اجرا کنید.
این ابزار بر روی سیستم عامل های ویندوز، لینوکس و مک اجرا می شود.
همچنین می تواند در اسکریپت های پایتون با استفاده از YARA-python
قوانین YARA فایل های متنی حاوی عناصر و شرایطی هستند که شناسایی را آغاز می کنند. آیا می توانید از YARA برای استفاده از YARA استفاده کنید؟
در اینجا چند راه برای استفاده از YARA آمده است. amm
کاربرد اصلی YARA که در سال 2008 برای آن ایجاد شد، در تشخیص بدافزار است.
باید بدانید که مانند نرم افزارهای آنتی ویروس سنتی کار نمی کند. از چندین بایت در باینری ها یا رفتار فایل مشکوک، YARA می تواند تشخیص را با استفاده از ترکیبات خاصی از مولفه ها افزایش دهد. شرایط منطقی برای مطابقت با یک قانون، آن را به ابزاری بسیار انعطافپذیر برای شناسایی فایلهای مخرب تبدیل میکند. Handling
در طول حوادث، تحلیلگران امنیت و تهدید گاهی اوقات نیاز دارند به سرعت بررسی کنید که آیا یک فایل یا محتوای خاص در جایی در نقطه پایانی یا حتی در سراسر شبکه شرکتی پنهان شده است یا خیر. طبقه بندی محتوای سریع
با استفاده از قوانین YARA می توان مرتب سازی فایل های واقعی را در صورت نیاز انجام داد.
طبقه بندی خانواده بدافزار را می توان با استفاده از قوانین YARA بهینه کرد.
با این حال، قوانین باید بسیار دقیق باشند تا از مثبت کاذب جلوگیری شود. از اتصالات شبکه ورودی
شما می توانید از YARA در زمینه شبکه برای شناسایی محتوای مخربی که برای محافظت به شبکه شرکت ارسال می شود استفاده کنید. شبکه، مانند اتصالات HTTP روی یک سرور پروکسی معکوس.
البته o میتواند به عنوان یک افزودنی برای نرمافزارهای تحلیلی موجود استفاده شود. قوانین YARA بر اساس قوانین سفارشی ایجاد شده برای شناسایی اسناد قانونی شرکت، می تواند به عنوان یک سیستم جلوگیری از از دست دادن داده ها عمل کند و نشت احتمالی داده های داخلی را تشخیص دهد. ) راه حل ها و پاسخ) به شما امکان می دهد قوانین YARA شخصی را ادغام کنید، و اجرای اکتشاف در تمام نقاط پایانی را با یک کلیک آسان می کند. لینوکس
نحوه نصب YARA در macOS [19659023] YARA را می توان با استفاده از Homebrew روی macOS نصب کرد.
فقط دستور را تایپ کرده و اجرا کنید:
brew install YARA
پس از این عملیات، YARA آماده استفاده در خط فرمان است.
نحوه نصب. YARA در ویندوز [19659013] YARA فایل های باینری ویندوز را برای سهولت استفاده ارائه می دهد:
https://github.com/VirusTotal/yara/releases/
https://github.com/VirusTotal/yara/releases/
پس از دانلود فایل زیپ از سایت، می توان آن را به هرکدام از آنها از حالت فشرده خارج کرد. پوشه و شامل دو فایل است: [19659013] YARA را می توان مستقیماً از منبع نصب کرد.
با کلیک بر روی لینک منبع (tar.gz) آن را از اینجا دانلود کنید، سپس فایل ها را از حالت فشرده خارج کنید و آن را کامپایل کنید.
توجه داشته باشید که چندین بسته مورد نیاز است و باید قبل از نصب YARA نصب شوند:
sudo apt install automake libtool make gcc pkg-config
سپس استخراج و نصب را اجرا کنید:
tar -zxf -4.1. 3.tar.gz
سی دی YARA-4.1.3
./ bootstrap.sh
./ configure
make
sudo59 نصب آسان است [19] سخت ترین قسمت یادگیری نحوه نوشتن قوانین موثر YARA است که در مقاله بعدی به آن خواهم پرداخت.همچنین: