Гостевая статья Анализ вредоносных программ - Создание правил YARA

Правила YARA
Правила YARA используются для идентификации образцов на основе определенных строк или двоичных данных.

Структура правила YARA

rule <rule_name>

{

meta:

description = “Sample YARA rule”

 

strings:

$a = “example”

$b = “example2”

 

condition:

($a or $b)

}

Наше завершенное правило YARA выглядит следующим образом:

rule creds_ru
{
meta:
description = «Простое правило YARA для обнаружения российского сборщика учетных данных»
:
$ a = «http://reptertinrom.ru/zapoy/gate.php»
$ b = «http://reninparwil.com/zapoy /gate.php »
$ c =« http://leftthenhispar.ru/zapoy/gate.php »
$ mz = {4D 5A}

условие:
($ a или $ b или $ c или $ mz)
}

—————

Ссылка скрыта от гостей

 

[Deanned]

rule Detect_create_regnonsystem
{
meta:
type = "RegSetValue"
description = "Обнаружено создания ключа (APP NOT SYSTEM)"
severity = 3


strings:
$EventFromRegMonitor = "\"t\":2,"
$EventRegCreate = "\"st\":0,"

$KeyIsServices = /"key":"\\\\REGISTRY\\\\MACHINE\\\\SYSTEM\\\\ControlSet001\\\\Services\\\\.*"/ nocase
$ValueNameApp = /"app":"*smss\.exe"/ nocase /* Что не так с этой строчкой ?*/




condition:
$EventFromRegMonitor and $EventRegCreate and $KeyIsServices and not $ValueNameApp

}