{"id":693,"date":"2022-04-09T22:17:16","date_gmt":"2022-04-09T20:17:16","guid":{"rendered":"https:\/\/counterintelligence.pl\/?p=693"},"modified":"2022-04-09T22:19:09","modified_gmt":"2022-04-09T20:19:09","slug":"yara-rules-o-regulach-yara-i-ich-pisaniu","status":"publish","type":"post","link":"https:\/\/counterintelligence.pl\/en\/2022\/04\/yara-rules-o-regulach-yara-i-ich-pisaniu\/","title":{"rendered":"YARA rules! - about YARA rules and writing them."},"content":{"rendered":"\n

We wpisie dotycz\u0105cym wyszukiwania informacji o pr\u00f3bkach malwareu w otwartych \u017ar\u00f3d\u0142ach <\/a>wspomnia\u0142em kr\u00f3tko o wykorzystaniu regu\u0142 YARA i opisa\u0142em podstawy korzystania z nich w kontek\u015bcie HybridAnalysis<\/a>. Narz\u0119dzie to jest jednak o tyle istotne i uniwersalne w pracy analityka CTI, incident respondera czy threat huntera, \u017ce zdecydowanie warto po\u015bwi\u0119ci\u0107 mu osobny wpis.<\/p>\n\n\n\n

Zaczynaj\u0105c od pocz\u0105tku YARA to narz\u0119dzie umo\u017cliwiaj\u0105ce wyszukiwanie i klasyfikacje plik\u00f3w r\u00f3\u017cnego rodzaju w oparciu o wyst\u0119puj\u0105ce w nich ci\u0105gi danych, a w korzystaj\u0105c z rozszerzonej funkcjonalno\u015bci r\u00f3wnie\u017c cech pliku. Mo\u017cna wi\u0119c powiedzie\u0107, \u017ce jest to rozbudowana wersja znanego z system\u00f3w Linux narz\u0119dzia Grep u\u0142atwiaj\u0105cego wyszukiwanie okre\u015blonych tre\u015bci w plikach. Przyjrzyjmy si\u0119 wi\u0119c jak zbudowana jest regu\u0142a YARA:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Zaczynamy wi\u0119c od polecenia import, kt\u00f3re umo\u017cliwia nam korzystanie z modu\u0142\u00f3w rozszerzaj\u0105cych funkcjonalno\u015b\u0107 regu\u0142 o dodatkowe funkcje. W tym przypadku korzystamy z modu\u0142u PE dodaj\u0105cego funkcjonalno\u015b\u0107 zwi\u0105zane z analiz\u0105 plik\u00f3w wykonywalnych (portable executable), jednak jego wykorzystanie zobaczymy dopiero w sekcji okre\u015blaj\u0105cych warunki regu\u0142y.<\/p>\n\n\n\n

W\u0142a\u015bciw\u0105 regu\u0142y zaczynamy od jej nazwy, kt\u00f3r\u0105 definiujemy po „rule” i otwieramy nawias klamrowy rozpoczynaj\u0105c tre\u015b\u0107 regu\u0142y. Pierwsz\u0105 cz\u0119\u015bci\u0105 jest zazwyczaj „meta”. Pomimo, \u017ce sekcja ta jest nieobowi\u0105zkowa to jej dodanie jest zdecydowanie dobr\u0105 praktyk\u0105. Umie\u015b\u0107my tam dat\u0119 stworzenia regu\u0142y, nasze dane kontaktowe (pochwalmy si\u0119 w ko\u0144cu jacy z nas zdolni in\u017cynierowie detekcji \ud83d\ude42 ), kr\u00f3tki opis tego czemu s\u0142u\u017cy regu\u0142a i hashe plik\u00f3w na podstawie jakich j\u0105 stworzyli\u015bmy. W ten spos\u00f3b znacznie u\u0142atwimy prac\u0119 tym kt\u00f3rzy b\u0119d\u0105 wykorzystywa\u0107 nasze dzie\u0142o do poszukiwania zagro\u017ce\u0144.<\/p>\n\n\n\n

Kolejne dwie sekcje b\u0119d\u0105 definiowa\u0107 w\u0142a\u015bciwy zakres detekcji regu\u0142y. Pierwsza to strings gdzie okre\u015blimy ci\u0105gi danych kt\u00f3re chcemy wyszukiwa\u0107. YARA obs\u0142uguje trzy rodzaje danych: tekstowe, w formacie szesnastkowym, i wyra\u017cenia regularne.<\/p>\n\n\n\n

Dane tekstowe (strings) to najbardziej podstawowy format, jednak r\u00f3wnocze\u015bnie ten z kt\u00f3rego b\u0119dziemy korzysta\u0107 najcz\u0119\u015bciej. Wyszukiwanie nietypowych s\u0142\u00f3w, zda\u0144 zawartych w kodzie czy charakterystycznych liter\u00f3wek bardzo cz\u0119sto umo\u017cliwia wyszukiwanie powi\u0105zanych pr\u00f3bek malwareu i \u015bledzi\u0107 dzia\u0142ania developer\u00f3w. Dodanie warto\u015bci tekstowej jest bardzo proste – u\u017cywamy znaku $ aby oznaczy\u0107 ci\u0105g danych, po znaku umieszczamy wybran\u0105 nazw\u0119 kt\u00f3r\u0105 b\u0119dziemy si\u0119 pos\u0142ugiwa\u0107 oznaczaj\u0105c warunki, i w ko\u0144cu po znaku = w cudzys\u0142owiu podajemy warto\u015b\u0107. Dodatkowo mo\u017cemy skorzysta\u0107 z modyfikator\u00f3w, kt\u00f3re powiedz\u0105 YARA jak interpretowa\u0107 nasz\u0105 warto\u015b\u0107. Wymieniaj\u0105c ich funkcjonalno\u015b\u0107:<\/p>\n\n\n\n