静态扫描之Yara第三话--编写yara规则(2)

最新推荐文章于 2024-08-09 07:50:59 发布
最新推荐文章于 2024-08-09 07:50:59 发布
阅读量1.3k 收藏 2
点赞数 3
分类专栏: 恶意软件分析

编写简单高效的yara规则(2)

翻译自:https://www.bsk-consulting.de/2015/10/17/how-to-write-simple-but-sound-yara-rules-part-2/

几个月前,我写了一篇”How to write simple but sound Yara rules“的博客。那篇博客所提到的技术和工具现在以及得到了改进,现在我就来详细地介绍下更新的地方。

万能的Location

Yara最被低估的特征之一是可以定义一个字符串的范围来匹配。 我使用这种技术来创建一个规则,发现它能可靠地检测meterpreter的payload,即使它被编码/隐藏。

当你发现一段恶意代码处在一个可执行文件的末尾时,你应该会有如下疑问:

  1. 这些字符串位于文件中的这个位置是正常的吗?
  2. 这些字符串在该文件中多次出现是否正常?
  3. 两个字符串之间的距离是不是固定的?

Malware Strings

这时我提供一种写规则的思路,对于那些非specific字符串,尝试定义一个制定filesize(例如文件大小> 800KB)的规则以及非spcific字符串位置的规则(如$s1 in (filesize-500..filesize))

下面是一个webshell的例子,如果我们使用$code = "7T2JX...." 来作为特征,那么此webshell的作者只需在后续的版本中替换掉$code7T2JX...... 便可绕过我们的规则。
Webshell Code PHP
所以我们决定将eval(gzinflate(base64_decode(" 作为特征:

rule Webshell_b374k_related_1 {
    meta:
        description = "Detects b374k related webshell"
        author = "Florian Roth"
        reference = "https://goo.gl/ZuzV2S"
        score = 65
        hash = "d5696b32d32177cf70eaaa5a28d1c5823526d87e20d3c62b747517c6d41656f7"
        date = "2015-10-17"
    strings:
        $m1 = "<?php"
        $s1 = "@eval(gzinflate(base64_decode(" ascii
    condition:
        $m1 at 0 and $s1 in (filesize-50..filesize) and filesize < 20KB
}

这样的规则看起来适应性就更强

yarGen

更新之后,yarGen具有opcode功能。 它在默认情况下处于启动状态,但仅在没有足够的字符串可以提取的情况下才有有效果。

python yarGen.py --noop -z 0 -a "Florian Roth" -r "http://link-to-sample" /mal/malware

opcode功能的弊端是在创建规则时需要占用多于2.5 GB的内存。 我将在下一个版本中将其更改为可选参数。

yarAnalyzer

yarAnalyzer是我推出的又一个强大的工具,专注于分析规则的通用性。 在创建了一个大的规则集或一个通用型的规则后,你想检查这些规则的通用性如何,便可以使用这款工具,yarAnalyzer则会输出以下结果:

  1. 检测到一个以上样本的规则
  2. 被多条规则检测到的样本
  3. 没有检测到样本的规则
  4. 没有被检测到的样本

yarAnalayzer Screenshot
yarAnalyzer Github Repository

字符串提取和可视化

使用如下shell可以更清晰地查看特征字符串:

#!/bin/bash
(strings -a -td "$@" | sed 's/^\(\s*[0-9][0-9]*\) \(.*\)$/\1 A \2/' ; strings -a -td -el "$@" | sed 's/^\(\s*[0-9][0-9]*\) \(.*\)$/\1 W \2/') | sort -n

将返回字符串的偏移以及描述(ASCII/UNICODE)

顺便也安利下我新推出的字符串检索工具:prisma

Prisma STDOUT colorization

G4rb3n
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
yara规则书写
01-04
当前最新yara规则书写范,官方文档翻译过来的,不包括后面支持的模块翻译。大家有兴趣可以下载下来看。
yara规则--编写
无痕的博客
04-19 876
yara规则编写
Yara 规则库使用教程
最新发布
gitblog_00604的博客
08-09 439
Yara 规则库使用教程 rulesRepository of yara rules项目地址:https://gitcode.com/gh_mirrors/ru/rules 本教程将引导你了解并使用 https://github.com/Yara-Rules/rules.git 这个开源项目,它是一个用于Yara规则集合的仓库。 1. 项目目录结构及介绍 项目目录结构大致如下: . ├── RE...
YARA规则摘要
cozil的专栏
08-27 2667
原文链接:https://yara.readthedocs.io/en/v3.7.0/writingrules.html 一个简单的yara规则示范: rule ExampleRule { strings: $my_text_string = &amp;amp;quot;text here&amp;amp;quot; $my_hex_string = { E2 34 A1 C8 23 FB } ...
编写yara规则 检测恶意软件
whatday的专栏
07-31 1850
Yara规则与C语言语法十分相像, 以下是一个简单的规则, 这个规则没有进行任何操作: 1 2 3 4 5 rule HelloRule { condition: false } 规则标识符 规则标识符是上面简单规则示例跟在rule后的词, 比如单词"dummy"也可以是一个规则标识符, 标识符命名有如下要求: 是由英文字母或数字组成的字符串 可以使用下划线字符 第一个字符不能是数字 对大
静态扫描Yara第四--编写yara规则(3)
安全杂货铺
01-09 1563
编写简单高效的yara规则(3) 翻译自:https://www.bsk-consulting.de/2016/04/15/how-to-write-simple-but-sound-yara-rules-part-3/ 距离我写How to Write Simple but Sound Yara Rules – Part2 已经有一段时间了。从那之后,我改进了我的规则创建方法,新方法生成
静态扫描Yara第一--安装及使用Yara
热门推荐
安全杂货铺
01-09 1万+
Yara安装及使用 概述 Yara是一款用于识别恶意软件及对其行为进行分类的安全利器。Yara会根据我们自己编写yara规则,来对可疑软件进行一个模式匹配,若可疑软件的一些特征与我们的yara规则匹配上了,则可以初步认定可疑软件为恶意软件。 项目地址:https://github.com/VirusTotal/yara 下载及安装 Linux: apt
掌握YARA规则引擎的使用
YARA规则引擎简介 YARA规则引擎是一款用于检测恶意软件和进行数字取证的强大工具。本章将介绍YARA规则引擎的基本概念、应用领域以及与其他安全工具的关系。 ## 1.1 什么是YARA规则引擎? YARA规则引擎是一种基于...
Yara对红队工具“打标”
hongduilanjun的博客
08-10 269
YARA 通常是帮助恶意软件研究人员识别和分类恶意软件样本的工具,它基于文本或二进制模式创建恶意样本的描述规则,每个规则由一组字符串和一个布尔表达式组成,这些表达式决定了它的逻辑。但是这次我们尝试使用 YARA 作为一种扫描工具,我们根据要扫描的红队工具提取出它们特有的二进制或文本特征,希望能整理成能唯一标识该类(不同版本)的红队工具的 YARA 规则,用于对特定主机扫描时可以快速识别该主机上是否存在对应的红队工具,以加强对目标主机的了解。
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1234
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png的shellcode。
Virustotal威胁猎捕
摔不死的笨鸟的博客
05-17 1619
介绍 Virustotal 可以作为全球最大的恶意文件上传查询网站发展到今天已经远远不只是判断文件黑白的作用了。许多个人爱好者和安全研究员都在使用virustotal的企业账号进行高级威胁狩猎,hunting自己想要的病毒文件。本博客博主主要讲哈Virustotal 用来Hunting APT样本的一些技巧。 首先说明一点,APT样本并不是说谁先发出来就是谁的。真正有价值的样本也是不会发出来的,计较样本是谁先hunting到的只会降低圈内分析病毒的积极性。VT上hunting到的样本还好,沙箱监控的样本很容
yaya:另一个Yara自动机-自动整理开源yara规则并运行扫描
04-01
YAYA-另一个Yara自动机 自动整理开源yara规则并运行扫描 安装 go get github.com/EFForg/yaya cd $GOPATH/src/github.com/EFForg/yaya go build go install 依存关系 Yaya依赖于标准库之外的以下软件包: 您还必须安装yara4 C库。 我们建议您从源代码安装这些文件: : 跑步 用法 yaya [-h] <command> <path> -h print this help screen Commands: update - update rulesets edit - ban or remove rulesets add - add a custom ruleset, located at <path> scan - perform a yara scan on the d
rules:yara规则存储库
04-28
项目 该项目满足了一组IT安全研究人员的需要,即拥有一个单一的存储库,在其可以编译,分类和保持不同的Yara签名,并尽可能保持最新状态,并开始成为收集Yara规则的开源社区。 我们的Yara规则集受GNU-GPLv2许可,并且对任何用户或组织开放,只要您在此许可下使用它即可。 Yara越来越多地被使用,但是有关该工具及其用法的知识却分散在许多不同的地方。 “ Yara规则”项目旨在通过尽可能完整地收集规则集,从而成为Yara用户的聚会点,从而为用户提供一种使Yara做好使用准备的快速方法。 我们希望该项目对安全社区和所有Yara用户有用,并期待您的反馈。 订阅我们的邮件列表,加入这个社区。 贡献 如果您有兴趣与我们和安全社区共享您的Yara规则,则可以加入我们的邮件列表,向我们的Twitter帐户发送消息或在此处发送拉取请求。 Twitter帐户: : 要求 要使我们的大多数
yara规则学习与使用
abelxu
06-20 6333
最近需要对分析的病毒提供一定的检测能力。看了一圈发现yara规则比较满足我的需求。 本文包括: 1. yara规则的简单介绍 2. yara规则编写(字符串定义和条件定义)(基本就是官网翻译了) 3. 如何在python语言使用yara(简单使用)...
yara规则
weixin_47576228的博客
09-02 1110
本篇参照官网规则,将yara语法总结如本文部分
bootstrap文件不能被识别_基于 Yara 引擎的二进制文件扫描
weixin_39849762的博客
10-28 304
1. 什么是 Yara 引擎?Yara 是一个开源的恶意代码查杀引擎,用来识别和分类恶意软件样本。Yara 本身不提供杀毒功能,也没有自己的特征库,所以它只是个引擎而已。Yara 引擎需要特征规则库的支持。特征规则是由一系列字符串和一个布尔型表达式构成的描述来阐述其逻辑,支持与或非等多种条件,以此来识别和分类恶意软件或者程序。Yara 引擎是跨平台的,可在 Windows、Linux 和 Mac ...
Yara规则编写
lisasue的博客
09-07 8494
yara规则编写 YARA规则的标识符类似于C语言结构,其规则声明以rule标识,在规则描述可以包括字母、数字甚至下划线字符,但字符串第一个字符不能是数字,且单条描述不能超过128个字符。 Yara关键YARA规则由字符串区域和条件区域两部分组成,其条件区域必须存在,字符串区域则可有可无,比如不依赖任何字符串的规则: rule Dummy { condition:
美国NSA分享常用WebShell检测工具和植入所用漏洞列表
blackorbird的博客
04-23 728
美国国家安全局(NSA)和澳大利亚信号局(ASD)近日联合发布了一份有关缓解WebShell后门的网络安全信息表(CSI)。PS:WebShell定义见下图。一般网站除了一般的Web常...
列表扫描命令_Spyre:一款基于YARA规则的入侵威胁指标IoC扫描工具
weixin_39925413的博客
01-14 374
SpyreSpyre是一款功能强大的基于主机的IoC扫描工具,该工具基于YARA模式匹配引擎和其他扫描模块构建。其主要功能是简化YARA规则的操作,并帮助广大研究人员更好地实现入侵威胁指标IoC的扫描。在使用Spyre时,我们需要提供自己的YARA规则集,关于YARA规则,广大研究人员可以参考awesome-yara库所提供的免费YARA规则集。广大研究人员可以将Spyre当作一款事件响...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值