Browse By

YARA – Ferramenta de correspondência de padrões para análise de malware

O YARA é uma ferramenta que visa (mas não se limita a) ajudar os pesquisadores de malware a identificar e classificar amostras de malware. Com o YARA, você pode criar descrições de famílias de malware (ou o que você quiser descrever) com base em padrões de texto ou binários. Cada descrição, também conhecida como regra, consiste em um conjunto de strings e uma expressão booleana que determina sua lógica.

YARA - Ferramenta de correspondência de padrões para malware

O YARA é multiplataforma, executando no Windows, Linux e Mac OS X, e pode ser usado por meio da interface da linha de comandos ou de seus próprios scripts Python com a extensão yara-python.

Algumas ferramentas relacionadas à detecção de intrusões, análise de malware e ferramentas de detecção de comprometimento utilizam as regras YARA durante a fase de verificação. LOKI e FastIR são dois exemplos recentes.

A regra acima está informando à YARA que qualquer arquivo que contenha uma das três seqüências deve ser relatado como silent_banker. Este é apenas um exemplo simples: regras mais complexas e poderosas podem ser criadas usando curingas, sequências que não diferenciam maiúsculas de minúsculas, expressões regulares, operadores especiais e muitos outros recursos que você encontrará explicados na documentação da YARA .

Você também pode encontrar algumas regras legais da YARA neste projeto: https://github.com/Yara-Rules/rules/

Você pode baixar o YARA aqui:

yara-v3.4.0.zip

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.