reversinglabs yara rules

공식 ReversingLabs Yara Rules Repository에 오신 것을 환영합니다! 새로운 위협에 대한 규칙을 개발할 때 저장소는 지속적으로 업데이트 될 것이며, 클라우드 및 기타 환경에서 테스트를 통해 품질이 입증되었습니다.

이 규칙은 위협 사냥꾼, 사고 대응 자, 보안 분석가 및 환경에 고품질 위협 탐지 야라 규칙을 배치함으로써 이익을 얻을 수있는 기타 수비수를 위해 위협 분석가가 작성했습니다.

사냥 규칙과 달리 우리의 탐지 규칙은 배치 자격이있는 특정 기준을 충족시켜야합니다.

• 탐지 품질을 잃지 않고 최대한 정확하십시오
• 잘못된 양성 탐지를 제공하는 것을 목표로합니다

규칙을 이해하고 유지하기 쉽기 위해 다음과 같은 목표 세트를 채택했습니다.

• 명확하게 이름이 바이트 패턴입니다
• 읽기 쉽고 투명한 조건
• 고유 한 맬웨어 기능과 일치합니다
• 문자열보다 코드 바이트 패턴을 선호합니다

규칙의 품질을 보장하기 위해, 우리는 클라우드에서 10B 이상의 독특한 바이너리를 지속적으로 그리고 광범위하게 테스트합니다. 포장 된 PE 파일, 문서 및 아카이브와 같은 계층 객체 내에서 위협을 감지하기 위해 모든 계층에서 규칙이 평가됩니다.

전체 Yara 규칙 세트를 성공적으로 실행하려면 다음을 수행해야합니다.

• 야라 버전> = 3.2.0
• PE 및 ELF 모듈이 활성화되었습니다

(또는 요구 사항을 준수하는 다른 보안 솔루션).

규칙 사용을 시작하려면이 저장소를 복제하고 데이터 세트를 실험 해보십시오. 이 저장소에서 발견 된 Yara 규칙은 다양한 환경에서 사용할 수 있으며, 가장 간단한 설정은 공식 Yara 리포지토리에서 찾을 수있는 독립형 Yara 실행 파일을 통해 사용하는 것입니다. 이 규칙은 Yara 지원 샌드 박스 및 기타 파일 분석 프레임 워크와 같이 Yara 통합을 제공하는 많은 수많은 최신 보안 솔루션에 배치 할 수 있습니다. 그러나 최상의 결과를 얻으려면 이러한 규칙을 분류 파이프 라인에 기본 통합을 제공하는 ReversingLabs의 티타늄 플랫폼을 통해 규칙을 사용하는 것이 좋습니다.

이 프로젝트는 MIT 라이센스에 따라 라이센스가 부여됩니다. 자세한 내용은 라이센스 파일을 참조하십시오.

Yara 엔진 개발에 적극적으로 참여하는 모든 사람들에게 감사합니다. 귀하 없이는이 규칙이 불가능할 것입니다. 또한 Yara 공동체에 참여하는 모든 사람에게 감사의 말씀을 전합니다. Yara의 사용 방식을 발전시키고 규칙을 작성 해야하는 방식을 개선하며 우리의 작업이 가치가있는 이유입니다.