• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Гостевая статья Анализ вредоносных программ - Создание правил YARA

Анализ вредоносных программ - Создание правил YARA.png


Правила YARA
Правила YARA используются для идентификации образцов на основе определенных строк или двоичных данных.

Структура правила YARA
Код:
rule <rule_name>

{

meta:

description = “Sample YARA rule”

 

strings:

$a = “example”

$b = “example2”

 

condition:

($a or $b)

}

Наше завершенное правило YARA выглядит следующим образом:
Код:
rule creds_ru
{
meta:
description = «Простое правило YARA для обнаружения российского сборщика учетных данных»
:
$ a = «http://reptertinrom.ru/zapoy/gate.php»
$ b = «http://reninparwil.com/zapoy /gate.php »
$ c =« http://leftthenhispar.ru/zapoy/gate.php »
$ mz = {4D 5A}

условие:
($ a или $ b или $ c или $ mz)
}

—————
 

Deanned

One Level
09.02.2022
7
3
BIT
1
rule Detect_create_regnonsystem
{
meta:
type = "RegSetValue"
description = "Обнаружено создания ключа (APP NOT SYSTEM)"
severity = 3


strings:
$EventFromRegMonitor = "\"t\":2,"
$EventRegCreate = "\"st\":0,"

$KeyIsServices = /"key":"\\\\REGISTRY\\\\MACHINE\\\\SYSTEM\\\\ControlSet001\\\\Services\\\\.*"/ nocase
$ValueNameApp = /"app":"*smss\.exe"/ nocase /* Что не так с этой строчкой ?*/




condition:
$EventFromRegMonitor and $EventRegCreate and $KeyIsServices and not $ValueNameApp

}
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!