恶意软件 自动化规则提取工具 yargen 原理分析

最新推荐文章于 2024-07-04 09:43:34 发布
最新推荐文章于 2024-07-04 09:43:34 发布
阅读量874 收藏 4
点赞数 1
原文链接:https://blog.csdn.net/whatday/article/details/107719938
版权

yara是用来检测恶意软件的利器,yara规则由特征字符串、特征字节码等元素组成,只要恶意软件包含这些特征元素,就说明该文件是恶意的。但一个一个文件提特征是很耗人力的,所以业界就慢慢出现了一些出色的yara自动化提取工具,yarGen便是其中效果比较好的一个,下面,我们就通过分析该工具的源码,来了解这类工具的原理。

项目地址为:https://github.com/Neo23x0/yarGen
1

核心文件为yarGen.py,其他的文件大多为配置文件。
2

其中dbs文件夹存放着大量的db文件,这些都是白名单元素,用来过滤特征。包含了白导出函数名、白imphash、白字节码、白字符串。
3

源码一开始就会下载更新这些db文件,并加载,后面会用到。这是个耗时且耗内存的步骤。
4

加载完白名单库后,yarGen会初始化一个贝叶斯算法训练器,用于后面机器学习。至此,初始化结束,调用processSampleDir开始提取yara规则。
5

processSampleDir由3个核心函数组成:parse_sample_dir、sample_string_evaluation、generate_rules,作用分别为:提取样本特征、过滤特征、聚合特征生成yara规则。
6

第一个函数做了2个操作,从样本中提取字符串,和字节码。
7

extract_strings只提取6个字符以上的字符串,及包含16进制的字符串。
8

extract_opcodes只提取入口点所在节段的字节码,且提取后通过\x00进行截断,形成一组组字节码串。
9

提取完特征后,进入到sample_string_evaluation函数过滤特征,会筛选掉出现频率大于等于10且出现在白名单库里的字符串,这样剩下的就是可疑的字符串了。
10

做完简单的过滤后,开始进行高级的过滤,filter_string_set函数,这个步骤是最关键的。
11

首先,使用贝叶斯算法匹配出跟good. txt里的字符串相似的特征串,过滤掉。
12

good.txt里的就是些白字符串,看来机器学习也没想象中那么难,十多行python代码的事。
13

然后进入启发式过滤,若字符串中存在一些垃圾符号,则减去相应的恶意评分。
14

字符串中若带有一些可疑字符,则加上相应的恶意评分。
15

最后,筛选出评分较高的字符串,作为最终的特征串。
16

将每个样本的特征串取交集,就得到了超级特征,即匹配多个样本的yara规则。
17

最终生成的yara规则如下:
18
19

 

 

whatday
关注
[系统安全] 五十三.DataCon竞赛 (2)2022年DataCon涉网分析之恶意样本IOC自动化提取详解
杨秀璋的专栏
09-01 3450
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍2020 Coremail钓鱼邮件识别及分析内容。这篇文章是作者2022年参加清华大学、奇安信举办的DataCon比赛,主要是关于涉网FZ分析,包括恶意样本IOC自动化提取和攻击者画像分析两类题目。这篇文章来自L师妹的Writeup,经同意后分享给大家,推荐大家多关注她的文章,也希望对您有所帮助。
多图详解Windows恶意软件删除工具的常用操作
热门推荐
weixin_43178406的博客
08-25 5万+
本文主要介绍了Windows恶意软件删除工具的使用方法,希望对新手有所帮助。 文章目录 1. 操作方法 2. 下载地址
自动化规则提取工具--yargen原理分析
安全杂货铺
02-29 2814
yara是用来检测恶意软件的利器,yara规则由特征字符串、特征字节码等元素组成,只要恶意软件包含这些特征元素,就说明该文件是恶意的。但一个一个文件提特征是很耗人力的,所以业界就慢慢出现了一些出色的yara自动化提取工具yarGen便是其中效果比较好的一个,下面,我们就通过分析工具的源码,来了解这类工具原理。 项目地址为:https://github.com/Neo23x0/yarGen ...
MalConfScan:从已知的恶意软件家族中提取配置信息
systemino的博客
05-29 361
MalConfScan是一个Volatility插件,可从已知的恶意软件家族中提取配置信息。Volatility则是一个用于事件响应和恶意软件分析的开源内存取证框架。此工具会在内存映像中搜索恶意软件并转储配置数据。此外,它还具有列出恶意代码所引用的字符串的功能。 支持的恶意软件家族 MalConfScan可以转储以下恶意软件配置数据,已解码的字符串或DGA域:中国菜刀 Ursnif ...
yarGen, yarGen是YARA规则的生成器.zip
10-10
yarGen, yarGen是YARA规则的生成器 yarGen ______ __ ______ ______/____/__ ____////__ `/___//__/_/__ //_///_/////_//__//// __,/__,_/_/____/
yarGen:yarGen是YARA规则的生成器
04-28
亚尔根 _____ __ _____ _____/ ___/__ ___ / // / _ `/ __/ (_ / -_) _ \ \_, /\_,_/_/ \___/\__/_//_/ /___/ Yara Rule Generator Florian Roth, July 2020, Version 0.23.2 Note: Rules have to be post-processed See this post for details: https://medium.com/@cyb3rops/121d29322282 yarGen是做什么的? yarGen规则的生成器 主要原理是从恶意软件文件中找到的字符串创建yara规则,同时删除也出现在好软件文件中的所有字符串。 因此,yarGen
跳入雅尔根
weixin_26636643的博客
09-25 207
Last time, we talked about how to detect malware using YARA, and how to find YARA rules to use online: 上次,我们讨论了如何使用YARA检测恶意软件,以及如何找到要在线使用的YARA规则: But if you can’t find YARA rules published online tha...
yargen自动化用于PT Approof的yara规则(perl模块中的CVE)开发的工具
02-05
yargen自动化用于PT Approof的yara规则开发的工具】 在信息安全领域,Yara规则是一种强大的工具,用于识别恶意软件、病毒和其他威胁。它由VirusTotal的创始人Rafael Saleiro开发,是一种元编程语言,允许安全...
[系统安全] 四十九.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解
杨秀璋的专栏
04-11 3136
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍Cape沙箱批量分析,通过调用Python脚本文件submit.py来实施批量处理。这篇文章将讲解如何将Cape沙箱分析结果Report报告的API序列批量提取,主要是提取Json文件的内容并存储至指定位置。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
自动化生成yara规则工具--yarGen
weixin_47576228的博客
09-01 1749
本篇将简述yarGen的下载和简单的使用方法
plyara:解析YARA规则并更轻松地对其进行操作
05-13
普利亚拉 将规则解析为字典表示形式。 Plyara是一个脚本和库,可将包含一个以上YARA规则的文件进行词法分析并将其解析为python字典表示形式。 该工具的目的是使执行批量操作或转换大型YARA规则集变得更加容易,例如提取指标,更新属性和分析语料库。 其他应用程序包括短绒和依赖检查器。 Plyara利用Python模块对YARA规则进行词法化。 这是由的的社区维护叉。 经许可使用“ plyara”商标。 安装 Plyara需要Python 3.6以上版本。 用pip安装: pip3 install plyara 用法 在您自己的应用程序中使用plyara Python库: >> > import plyara >> > parser = plyara . Plyara () >> > mylist = parser . parse_string ( 'rule MyRul
Python-一个用于查找相关样品和狩猎的Yara规则发生器
08-12
一个用于查找相关样品和狩猎的Yara规则发生器
探秘yarGen:智能生成YARA规则的利器
gitblog_00048的博客
05-14 342
探秘yarGen:智能生成YARA规则的利器 项目地址:https://gitcode.com/Neo23x0/yarGen 在网络安全领域,准确地识别恶意代码是一项关键任务,而YARA规则则扮演着重要角色。今天,我们要介绍的开源项目yarGen,是由Florian Roth创建的一个高效工具,它能自动生成YARA规则,帮助分析师快速检测和防御恶意软件。 1. 项目介绍 yarGen是一个基于Py...
Yara规则概述
Re:Creator的博客
04-12 2万+
一、Yara概述YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具(由virustotal的软件工程师Victor M. Alvarezk开发),使用YARA可以基于文本或二进制模式创建恶意软件家族描述信息,当然也可以是其他匹配信息。YARA的每一条描述或规则都由一系列字符串和一个布尔型表达式构成,并阐述其逻辑。YARA规则可以提交给文件或在运行进程,以帮助研究人员识别其是否属...
神操作:教你用Python识别恶意软件
爬遍所有网站
08-08 708
在本文中,我们将介绍恶意软件静态分析的基础知识。静态分析是对程序文件的反汇编代码、图形图像、可打印字符串和其他磁盘资源进行分析,是一种不需要实际运行程序的逆向工程。虽然静态分析技术有欠缺之处,但是它可以帮助我们理解各种各样的恶意软件。 通过细致的逆向工程,你将能够更好地理解恶意软件二进制文件在攻击目标后为攻击者提供的好处,以及攻击者可以隐藏并继续攻击受感染计算机的方式。正如你将看到的,本文结合了描述和实例,每个部分都介绍了静态分析技术,然后说明其在实际分析中的应用。 本文的代码和数据,可以在..
linux添加ip白名单_使用yarGen提取Linux恶意脚本特征
weixin_39734184的博客
12-04 191
不同于Windows,Linux下的恶意软件多为sh脚本,且由于使用的命令大同小异(均为下载文件、运行进程、创建定时任务、写ssh后门等操作),经常难以分辨恶意sh脚本是属于哪个病毒家族的。遇到这种情况,使用yara规则对恶意脚本进行检测分类是个不错的选择,本文将介绍如何借助yargen实现对Linux恶意脚本特征的半自动化提取。什么是yargenyargen是一个自动化提取yara规...
使用yarGen提取Linux恶意脚本特征
systemino的博客
06-04 522
Linux下的恶意软件多为sh脚本,且由于使用的命令大同小异(均为下载文件、运行进程、创建定时任务、写ssh后门等操作),经常难以分辨恶意sh脚本是属于哪个病毒家族的。遇到这种情况,使用yara规则对恶意脚本进行检测分类是个不错的选择,本文将介绍如何借助yargen实现对Linux恶意脚本特征的半自动化提取。 什么yarGenyargen是一个自动化提取yara规则工具,可以提取strings和opcodes特征,其原理是先解析出样本集中的共同的字符串,然后经过白名单库的过滤,最后通过启发式、机器
网络安全从业人员必知的YARA规则(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
07-04 1050
YARA是一种用于识别和分类恶意软件样本的开源工具。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
Yara、Snort和Sigma规则
摔不死的笨鸟的博客
03-11 5625
Yara规则是基于二进制文件的静态HEX数据内容实现的扫描规则。简单点说,就是基于原始文件的内容数据扫描规则。 Snort规则是基于IDS入侵检测系统,主要针对流量中数据包内容编写的扫描规则。 SIGMA是一种通用的开放签名格式,允许以简单的方式描述SIEM系统中的相关日志事件。 Yara规则 很多人对yara规则是比较熟悉的。 yara规则根据用途可以分为hunting yara规则和查杀yara规则两种。 hunting作用的yara规则编写相对来说比较简单。除了命中目的样本外,还允许命中更多无关的黑样
机器学习驱动的恶意行为自动化分析框架
"基于机器学习的恶意行为自动化分析" 在当前的网络安全环境中,恶意程序的种类与日俱增,且越来越复杂,传统的防病毒技术已经难以应对。为了有效地对抗这一威胁,研究人员开始转向基于机器学习的方法,以实现恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值