Aumente sua proteção usando a ferramenta de código aberto YARA

O YARA não substituirá o software antivírus, mas pode ajudá-lo a detectar problemas com muito mais eficiência e permitir mais personalização. Veja como instalar o YARA no Mac, Windows e Linux.

Existe uma infinidade de ferramentas diferentes para detectar ameaças à rede corporativa. Algumas dessas detecções são baseadas em s de rede, enquanto outras são baseadas em arquivos ou comportamento nos terminais ou nos servidores da empresa. A maioria dessas soluções usa regras existentes para detectar perigo, que esperamos que sejam atualizadas com frequência. Mas o que acontece quando a equipe de segurança deseja adicionar regras personalizadas para detecção ou fazer sua própria resposta a incidentes em terminais usando regras específicas? É aqui que entra a YARA.

O que é YARA?

O YARA é uma ferramenta gratuita e de código aberto destinada a ajudar a equipe de segurança a detectar e classificar malware, mas não deve se limitar a esse único propósito. As regras YARA também podem ajudar a detectar arquivos específicos ou qualquer conteúdo que você queira detectar.

VEJO: Mais de 40 termos de código aberto e Linux que você precisa conhecer (TechRepublic )

YARA vem como um binário que pode ser lançado contra arquivos, tomando as regras YARA como argumentos. Funciona nos sistemas operacionais Windows, Linux e Mac. Também pode ser usado em scripts Python usando a extensão YARA-python.

As regras YARA são arquivos de texto que contêm itens e condições que acionam uma detecção quando atendidos. Essas regras podem ser lançadas em um único arquivo, uma pasta contendo vários arquivos ou até mesmo um sistema de arquivos completo.

Para que pode ser usado o YARA?

Aqui estão algumas maneiras de usar o YARA.

Detecção de malware

O principal uso do YARA, e aquele para o qual foi criado inicialmente em 2008, é detectar malware. Você precisa entender que não funciona como um software antivírus tradicional. Enquanto o último detecta principalmente s estáticas de alguns bytes em arquivos binários ou comportamento de arquivo suspeito, o YARA pode ampliar a detecção usando combinações de componentes específicos. Portanto, é possível criar regras YARA para detectar famílias inteiras de malware e não apenas uma única variante. A capacidade de usar condições lógicas para corresponder a uma regra a torna uma ferramenta muito flexível para detectar arquivos maliciosos.

Além disso, deve-se notar que, neste contexto, também é possível usar regras YARA não apenas em arquivos, mas também em despejos de memória.

Tratamento de incidentes

Durante os incidentes, os analistas de segurança e ameaças às vezes precisam examinar rapidamente se um arquivo ou conteúdo específico está oculto em algum ponto de extremidade ou mesmo em toda a rede corporativa. Uma solução para detectar um arquivo, não importa onde ele esteja localizado, pode ser criar e usar regras YARA específicas.

Classificação rápida de conteúdo

O uso de regras YARA pode fazer uma triagem real de arquivos quando necessário. A classificação de malware por família pode ser otimizada usando as regras YARA. No entanto, as regras precisam ser muito precisas para evitar falsos positivos.

Análise de conexão de rede de entrada

É possível usar o YARA em um contexto de rede, para detectar conteúdo malicioso que é enviado à rede corporativa para proteção. As regras YARA podem ser lançadas em e-mails e principalmente em seus arquivos anexados, ou em outras partes da rede, como comunicações HTTP em um servidor proxy reverso, por exemplo. Claro, ele pode ser usado como um complemento ao software de análise já existente.

VEJO: Linux completa 30 anos: celebrando o sistema operacional de código aberto (PDF grátis) (TechRepublic)

Análise de comunicação de rede de saída

A comunicação de saída pode ser analisada usando as regras YARA para detectar comunicações de malware de saída, mas também para tentar detectar exfiltração de dados. O uso de regras específicas da YARA baseadas em regras personalizadas feitas para detectar documentos legítimos da empresa pode funcionar como um sistema de prevenção de perda de dados e detectar um possível vazamento de dados internos.

Integração EDR

O YARA é um produto maduro e, portanto, várias soluções de EDR (Endpoint Detection and Response) permitem que as regras pessoais do YARA sejam integradas a ele, facilitando a execução de detecções em todos os terminais com um único clique.

Como instalar o YARA?

O YARA está disponível para diferentes sistemas operacionais: macOS, Windows e Linux.

Como instalar o YARA no macOS

O YARA pode ser instalado no macOS usando o Homebrew. Basta digitar e executar o comando:

brew install YARA

Após esta operação, o YARA está pronto para uso na linha de comando.

Como instalar o YARA no Windows

A YARA oferece binários do Windows para facilitar o uso. Depois que o arquivo zip é baixado do site, ele pode ser descompactado em qualquer pasta e contém dois arquivos: Yara64.exe e Yarac64.exe (ou Yara32.exe e Yarac32.exe, se você escolheu a versão de 32 bits dos arquivos ).

Em seguida, ele está pronto para trabalhar na linha de comando.

Como instalar o YARA no Linux

YARA pode ser instalado diretamente de seu código fonte. Faça o aqui clicando no link do código fonte (tar.gz), extraia os arquivos e compile-o. Como exemplo, usaremos a versão 4.1.3 do YARA, a versão mais recente no momento da redação deste artigo, em um sistema Ubuntu.

Observe que alguns pacotes são obrigatórios e devem ser instalados antes de instalar o YARA:

sudo apt install automake libtool make gcc pkg-config

Feito isso, execute a extração dos arquivos e a instalação:

tar -zxf YARA-4.1.3.tar.gz

cd YARA-4.1.3

./bootstrap.sh

./configure

make

sudo make install

YARA é fácil de instalar – a parte mais difícil é aprender a escrever regras YARA eficientes, que explicarei no meu próximo artigo.