reversinglabs yara rules

Bienvenue dans le référentiel officiel des règles REVERSINGLABS YARA! Le référentiel sera mis à jour en continu, car nous développons des règles pour de nouvelles menaces, et après que leur qualité a été prouvée par des tests dans notre cloud et d'autres environnements.

Ces règles ont été rédigées par nos analystes de menaces, pour les chasseurs de menaces, les intervenants incidents, les analystes de la sécurité et d'autres défenseurs qui pourraient bénéficier du déploiement de règles Yara de détection de menaces de haute qualité dans leur environnement.

Nos règles de détection, par opposition aux règles de chasse, doivent satisfaire à certains critères éligibles au déploiement, à savoir:

• être aussi précis que possible, sans perdre la qualité de détection
• viser à fournir des détections faussement positives zéro

Pour que les règles soient faciles à comprendre et à entretenir, nous avons adopté l'ensemble d'objectifs suivants:

• Modèles d'octets clairement nommés
• conditions lisibles et transparentes
• correspondre aux fonctionnalités uniques des logiciels malveillants
• préférer les modèles d'octets de code aux chaînes

Pour assurer la qualité de nos règles, nous les testons en permanence et largement dans notre cloud, sur plus de 10B (et montant des binaires uniques). Les règles sont évaluées sur chaque couche pour détecter les menaces au sein d'objets en couches, tels que des fichiers PE, des documents et des archives emballés, entre autres.

Pour exécuter avec succès l'intégralité de l'ensemble de règles Yara, vous devez avoir:

• Version Yara> = 3.2.0
• Modules PE et ELF activés

(ou toute autre solution de sécurité conforme aux exigences).

Pour commencer à utiliser nos règles, il suffit de cloner ce référentiel et de commencer à expérimenter sur vos ensembles de données. Les règles YARA trouvées dans ce référentiel peuvent être utilisées dans divers environnements, et la configuration la plus simple consiste à les utiliser via l'exécutable YARA autonome, qui peut être trouvé dans le référentiel YARA officiel. Les règles peuvent également être déployées dans un grand nombre de solutions de sécurité modernes qui offrent une intégration Yara, telles que des bacs de sable compatibles Yara et d'autres cadres d'analyse de fichiers. Cependant, pour obtenir les meilleurs résultats, il est conseillé d'utiliser les règles grâce à la plate-forme en titanium de REVERSINGLABS qui offre une intégration native de ces règles dans son pipeline de classification.

Ce projet est autorisé en vertu de la licence MIT - voir le fichier de licence pour plus de détails.

Merci à toutes les personnes qui participent activement au développement du moteur Yara - sans vous, ces règles ne seraient pas possibles. De plus, nous tenons à remercier tous ceux qui participent à la communauté Yara, parce que vous évoluez la façon dont Yara est utilisé, améliorez la façon dont les règles doivent être rédigées et ce qui rend notre travail en vaut la peine.