หน้าแรก>ซอร์สโค้ด JSP>หมวดหมู่อื่นๆ
ดาวน์โหลด

การตรวจสอบโมดูลโหนดด้วยกฎของ Yara

(กฎใหม่การตอบกลับ PRS ได้รับการชื่นชมอย่างมาก)

หนังสือพิมพ์

  • วัตถุประสงค์
  • ข้อกำหนดซอฟต์แวร์
  • วิธีใช้
  • การรวม CI/CD
  • การเพิ่มกฎใหม่ของ Yara

วัตถุประสงค์

  • วัตถุประสงค์ของเครื่องมือนี้คือการเรียกใช้ชุดกฎ YARA ที่กำหนดกับโฟลเดอร์ node_module ที่กำหนด

  • ด้วยวิธีการนี้เราสามารถกำหนดกฎของ YARA เพื่อระบุสคริปต์ที่น่าสงสัยซึ่งถูกฉีดเข้าไปในแพ็คเกจโหนด

  • ส่วนใหญ่ได้รับแรงบันดาลใจจากบทความเหล่านี้

    • แพ็คเกจที่เป็นอันตรายใน NPM นี่คือสิ่งที่ต้องทำ
    • แพ็คเกจ NPM ที่เป็นอันตรายตั้งเป้าหมาย Amazon หย่อนด้วยการโจมตีแบบพึ่งพาใหม่
    • การล่าแพ็คเกจ NPM ที่เป็นอันตราย

  • แพ็คเกจนี้สามารถเพิ่มลงในไปป์ไลน์ CI/CD ดังที่กล่าวไว้ด้านล่าง (การรวม CI/CD)

ข้อกำหนดซอฟต์แวร์

  • นักเทียบท่า
  • นักเทียบท่า
  • makefile

วิธีใช้

  1. โคลน repo นี้ 
git clone https://github.com/rpgeeganage/audit-node-modules-with-yara.git
  1. ดำเนินการตรวจสอบ 
make NODE_MODULE_FOLDER_TO_AUDIT= < path to node_module > run

เช่น: 

make NODE_MODULE_FOLDER_TO_AUDIT=../restful4up/node_modules run

รายงาน

รายงานมีอยู่ใน artifacts/output.json

รายงานตัวอย่างมีลักษณะดังนี้ 

[
 {
  "rule" : " evil_package_1 " ,
  "string_information" : [
   " 0x6:$name: " name " : " nodecaffe " , " ,
   " 0x1f:$version: " version " : " 0.0.1 " "
  ]
 },
 {
  "rule" : " evil_package_2 " ,
  "string_information" : [
   " 0x6:$name: " name " : " sqlserver " , " ,
   " 0x1f:$version: " version " : " 4.0.5 " "
  ]
 },
 {
  "rule" : " evil_package_3 " ,
  "string_information" : [
   " 0x1d:$scripts: " scripts " : " ,
   " 0x39:$install: " mkdir -p ~/Desktop/sploit && touch ~/Desktop/sploit/haxx " "
  ]
 }
]

การรวม CI/CD

เราสามารถใช้เครื่องมือนี้กับ CI/CD ตามที่กล่าวไว้ด้านล่าง 

 #! /bin/bash
make NODE_MODULE_FOLDER_TO_AUDIT=../restful4up/node_modules run

suspicious_file_count= $( jq length artifacts/output.json )

exit $suspicious_file_count

การเพิ่มกฎใหม่ของ Yara

เมื่อเราต้องการเพิ่มกฎ YARA ใหม่พวกเขาจะต้องเพิ่มลงในโฟลเดอร์ yara_rules พร้อมส่วนขยาย .yara

(กฎที่มีอยู่ถูกสร้างขึ้นตามบทความนี้พวกเขาอาจล้าสมัย)

ตัวอย่างกฎ Yara

มาสร้างกฎสำหรับแพ็คเกจที่เป็นอันตรายที่เป็นไปได้นี้

กฎที่เป็นไปได้คือด้านล่าง 

rule evil
{
    meta:
        name = "[email protected]"

    strings:
        $ scripts = /"scripts":/
        $ inst all = /"mkdir -p ~/Desktop/sploit && touch ~/Desktop/sploit/haxx"/

    condition:
        all of them
}

บันทึกกฎนี้ในโฟลเดอร์ yara_rules เป็น evil.yara และดีที่จะไป

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด