Inicio>código fuente JSP>Otras categorias
Descargar

Módulos de nodo de auditoría con reglas Yara

(Nuevas reglas, comentarios, PRS son muy apreciados)

Tabla de contenido

  • Objetivo
  • Requisitos de software
  • Cómo usar
  • Integración de CI/CD
  • Agregar nuevas reglas de Yara

Objetivo

  • El propósito de esta herramienta es ejecutar un conjunto dado de reglas YARA contra la carpeta node_module dada.

  • Con este enfoque, podemos definir las reglas YARA para identificar scripts sospechosos que se inyectan en paquetes de nodos.

  • Inspirado principalmente en estos artículos.

    • Paquetes maliciosos en NPM. Esto es lo que debe hacer
    • Los paquetes de NPM maliciosos se dirigen a Amazon, Slack con nuevos ataques de dependencia
    • PAQUETOS MALICIOSOS MALICIOSOS DE CAZA

  • Este paquete se puede agregar a la tubería CI/CD como se menciona a continuación (integración de CI/CD).

Requisitos de software

  • Estibador
  • Docker componer
  • Makfile

Cómo usar

  1. Clon este repositorio 
git clone https://github.com/rpgeeganage/audit-node-modules-with-yara.git
  1. Ejecutar la operación de auditoría 
make NODE_MODULE_FOLDER_TO_AUDIT= < path to node_module > run

p.ej: 

make NODE_MODULE_FOLDER_TO_AUDIT=../restful4up/node_modules run

Informe

El informe está disponible en artifacts/output.json .

Un informe de muestra se ve de la siguiente manera 

[
 {
  "rule" : " evil_package_1 " ,
  "string_information" : [
   " 0x6:$name: " name " : " nodecaffe " , " ,
   " 0x1f:$version: " version " : " 0.0.1 " "
  ]
 },
 {
  "rule" : " evil_package_2 " ,
  "string_information" : [
   " 0x6:$name: " name " : " sqlserver " , " ,
   " 0x1f:$version: " version " : " 4.0.5 " "
  ]
 },
 {
  "rule" : " evil_package_3 " ,
  "string_information" : [
   " 0x1d:$scripts: " scripts " : " ,
   " 0x39:$install: " mkdir -p ~/Desktop/sploit && touch ~/Desktop/sploit/haxx " "
  ]
 }
]

Integración de CI/CD

Podemos usar esta herramienta con CI/CD como se menciona a continuación. 

 #! /bin/bash
make NODE_MODULE_FOLDER_TO_AUDIT=../restful4up/node_modules run

suspicious_file_count= $( jq length artifacts/output.json )

exit $suspicious_file_count

Agregar nuevas reglas de Yara

Cuando necesitamos agregar nuevas reglas YARA , deben agregarse a la carpeta yara_rules con extensión .yara .

(Las reglas existentes se crean en función de este artículo. Pueden estar desactualizados)

Muestra de regla de Yara

Creemos una regla para este posible paquete malicioso.

Una posible regla es la siguiente. 

rule evil
{
    meta:
        name = "[email protected]"

    strings:
        $ scripts = /"scripts":/
        $ inst all = /"mkdir -p ~/Desktop/sploit && touch ~/Desktop/sploit/haxx"/

    condition:
        all of them
}

Guarde esta regla en la carpeta yara_rules como evil.yara , y bueno para ir

Expandir
Información adicional
Aplicaciones relacionadas
Recomendado para ti
Información relacionada Todo