Les équipes de sécurité disposent d’un nouvel outil pour chasser les logiciels malveillants, en utilisant les règles open source YARA.

YARAifier peut analyser des fichiers à l’aide de règles YARA publiques, intégrer des règles YARA publiques et non publiques de Malpedia, exploité par l’Institut Fraunhofer en Allemagne, et analyser à l’aide de signatures ClamAV ouvertes et commerciales.

Les chercheurs peuvent configurer des règles de chasse pour correspondre à la fois aux règles YARA et aux signatures ClamAV, et lier YARAify à d’autres outils via des API.

Correspondance de modèle

YARAify a été développé par des chercheurs en sécurité de Abus.chun projet de l’Institut pour la cybersécurité et l’ingénierie (ICE) de l’Université des sciences appliquées de Berne, en Suisse.

Selon le fondateur Roman Hüssy, les règles YARA sont puissantes mais difficiles à gérer.

Par exemple, les règles sont réparties sur les plates-formes et les référentiels git, et il n’existe pas de moyen simple de les partager. Il n’y a pas non plus de convention de dénomination unique et cohérente pour les règles YARA, ce qui entraîne des doublons et des difficultés dans la gestion des règles.

Hüssy a ajouté à la fois une identité unique, yarahub_uuidet YARAhub pour aider les chercheurs à partager des règles.

Les auteurs de règles peuvent également configurer des classifications TLP sur YARAhub pour permettre à d’autres d’utiliser la règle YARA pour chasser les menaces, sans voir la règle elle-même.

« YARA est un outil open source pour la correspondance de modèles », a déclaré Hüssy La gorgée quotidienne. « Cela permet à n’importe qui, généralement des chercheurs en sécurité ou des fournisseurs de logiciels de sécurité, d’écrire leurs propres règles pour détecter [issues] tels que des fichiers malveillants ou suspects.

« Nous avons décidé de lancer la plateforme YARAify au public pour permettre à quiconque de partager ses règles YARA avec la communauté de manière structurée et de les utiliser pour rechercher des fichiers suspects et malveillants vus dans l’univers Abuse.ch. »

Hüssy espère que YARAify deviendra la plate-forme par défaut permettant aux chercheurs en sécurité de partager les règles YARA. Jusqu’à présent, la réponse a été extrêmement positive, a-t-il déclaré.

Renseignements sur les menaces

Les fournisseurs de sécurité prennent de plus en plus en charge les règles YARA dans leurs propres applications, et les règles YARA sont largement utilisées par les SOC et dans la chasse aux menaces et le renseignement sur les menaces.

Le fournisseur de protection et de résilience des données Rubrik, par exemple, a intégré la prise en charge des règles YARA dans ses outils, pour aider les équipes informatiques à contenir les incidents et à chasser les menaces, en particulier pour empêcher une entreprise de réinfecter ses systèmes à partir de sauvegardes compromises.

« Lorsqu’on parle de YARA, il est important de faire la distinction entre l’outil YARA et les règles YARA », a déclaré James Blake, CISO de terrain chez Rubrik. La gorgée quotidienne.

« Les règles YARA sont les descriptions des logiciels malveillants que l’outil YARA crée lorsqu’il reçoit un fichier à analyser. L’adoption des règles YARA dans les contrôles préventifs et de détection open source et commerciaux, d’autres normes telles que STIX pour l’échange de renseignements sur les menaces, ainsi que dans les plateformes de renseignement sur les menaces, s’est désormais étendue bien au-delà du simple outil YARA.

Les règles YARA peuvent être utilisées pour « permettre à un filet d’être étendu puis affiné progressivement » pendant la chasse aux menaces, car les chercheurs se concentrent sur des souches de logiciels malveillants particulières. Mais les règles YARA sont puissantes car elles peuvent décrire non seulement le contenu d’un exécutable, mais aussi son comportement. Cela aide les chercheurs à suivre les familles de logiciels malveillants, même lorsqu’ils s’adaptent.

« Les règles YARA sont largement utilisées dans les SOC matures et les organisations de fournisseurs de services matures pour améliorer la détection et empêcher une partie du bruit généré par des détections basées sur le hachage plus simplifiées », a déclaré Martin Riley, directeur des services de sécurité gérés de la société de conseil Bridewell. La gorgée quotidienne.

Bridewell utilise les règles YARA pour identifier les tendances et effectuer une ingénierie cartographique inversée sur certains logiciels malveillants.

« Les règles YARA remplacent essentiellement les valeurs de hachage des fichiers, qui peuvent être facilement manipulées par des attaquants », a déclaré Riley.

« Les règles YARA fournissent un mécanisme de détection plus fidèle et plus précieux pour les objets malveillants au sein d’un réseau. » YARAify, a-t-il suggéré, offre aux chercheurs une alternative aux outils tels que VirusTotal de Google.

A NE PAS MANQUER L’augmentation des kits de rançongiciels prêts à l’emploi se poursuit