reversinglabs yara rules

Добро пожаловать в официальный репортаж reversinglabs yara правил репозитория! Репозиторий будет обновляться непрерывно, поскольку мы разрабатываем правила для новых угроз, и после того, как их качество будет доказано в результате тестирования в наших облачных и других средах.

Эти правила были написаны нашими аналитиками угроз, для охотников за угрозами, респондентов инцидентов, аналитиков безопасности и других защитников, которые могли бы извлечь выгоду из развертывания высококачественных правил угроз в их окружающей среде.

Наши правила обнаружения, в отличие от правил охоты, должны соответствовать определенным критериям, чтобы иметь право на развертывание, а именно:

• быть максимально точным, не теряя качества обнаружения
• Целью предоставления нулевых ложноположительных обнаружений

Чтобы правила были легко понять и поддерживать, мы приняли следующий набор целей:

• явно названные байтовые шаблоны
• читаемые и прозрачные условия
• соответствовать уникальной функциональности вредоносных программ
• Предпочитаю шаблоны байтов кода над строками

Чтобы обеспечить качество наших правил, мы постоянно и тщательно проверяем их в нашем облаке, на более 10B (и поднимающиеся) уникальных двоичных файлах. Правила оцениваются на каждом уровне для обнаружения угроз в слоистых объектах, таких как упакованные файлы PE, документы и архивы, среди прочего.

Чтобы успешно запустить весь набор правил Yara, вы должны иметь:

• Яра версия> = 3.2.0
• Модули PE и ELF включены

(или любое другое решение безопасности, соответствующее требованиям).

Чтобы начать использовать наши правила, просто клонируйте этот репозиторий и начните экспериментировать на своих наборах данных. Правила YARA, найденные в этом хранилище, могут использоваться в различных средах, и самая простая установка - использовать их через автономный исполняемый файл Yara, который можно найти в официальном репозитории Yara. Правила также могут быть развернуты в большом количестве современных решений безопасности, которые предлагают интеграцию Yara, такие как песочницы с поддержкой YARA, и другие фреймворки анализа файлов. Тем не менее, чтобы получить наилучшие результаты, рекомендуется использовать правила через титановую платформу ReversingLabs, которая предлагает собственную интеграцию этих правил в свой классификационный конвейер.

Этот проект лицензирован по лицензии MIT - для получения подробной информации см. Файл лицензии.

Спасибо всем людям, которые активно участвуют в разработке двигателя YARA - без вас эти правила были бы невозможно. Кроме того, мы хотели бы поблагодарить всех, кто участвует в сообществе Yara, потому что вы развивают то, как используется Яра, улучшит то, как следует писать правила, и это то, что делает нашу работу стоящей.