reversinglabs yara rules

Bem -vindo ao reverso oficial do repositório de regras YARA! O repositório será atualizado continuamente, à medida que desenvolvemos regras para novas ameaças e, após a sua qualidade, foi comprovado por meio de testes em nossa nuvem e em outros ambientes.

Essas regras foram escritas por nossos analistas de ameaças, para caçadores de ameaças, respondedores de incidentes, analistas de segurança e outros defensores que poderiam se beneficiar da implantação de regras YARA de detecção de ameaças de alta qualidade em seu ambiente.

Nossas regras de detecção, em oposição às regras de caça, precisam satisfazer certos critérios para serem elegíveis para a implantação, a saber::

• Seja o mais preciso possível, sem perder a qualidade da detecção
• procurar fornecer zero detecções falsas positivas

Para que as regras sejam fáceis de entender e manter, adotamos o seguinte conjunto de metas:

• Claramente nomeado padrões de byte
• condições legíveis e transparentes
• Combine a funcionalidade exclusiva de malware
• preferir padrões de bytes de código em vez de strings

Para garantir a qualidade de nossas regras, testamos continuamente e extensivamente em nossa nuvem, em mais de 10b (e em ascensão) binários únicos. As regras são avaliadas em todas as camadas para detectar ameaças em objetos em camadas, como arquivos, documentos e arquivos embalados, entre outras coisas.

Para executar com êxito o conjunto de regras YARA inteiro, você deve ter:

• Versão yara> = 3.2.0
• Os módulos PE e ELF habilitados

(ou qualquer outra solução de segurança compatível com os requisitos).

Para começar a usar nossas regras, basta clonar este repositório e começar a experimentar seus conjuntos de dados. As regras YARA encontradas neste repositório podem ser usadas em vários ambientes, e a configuração mais simples é usá -los através do executável Yara independente, que pode ser encontrado no repositório oficial YARA. As regras também podem ser implantadas em um grande número de soluções de segurança modernas que oferecem integração YARA, como caixas de areia habilitadas para Yara e outras estruturas de análise de arquivos. No entanto, para obter os melhores resultados, é aconselhável usar as regras através da plataforma de titânio da ReverSingLabs, que oferece a integração nativa dessas regras em seu pipeline de classificação.

Este projeto está licenciado sob a licença do MIT - consulte o arquivo de licença para obter detalhes.

Agradecemos a todas as pessoas que participam ativamente do desenvolvimento do motor Yara - sem você, essas regras não seriam possíveis. Além disso, gostaríamos de agradecer a todos que participam da comunidade Yara, porque você evolui da maneira que Yara é usada, melhore a maneira como as regras devem ser escritas e é o que faz com que nosso trabalho valha a pena.