Yara – Analyse de malware

Yara_logo

Qu’est-ce que Yara ?

Yara est une technologie très appréciée des chercheurs en sécurité informatique spécialisé dans la traque aux Malwares. Il est considéré comme le couteau suisse dans le milieu. Il a l’avantage d’être multiplate-forme (Windows & Linux).

Les Malware deviennent de plus en plus sophistiqués, ils peuvent désormais contourner les SandBoxes et d’autre outils d’analyses. Heureusement leurs créations prennent du temps, c’est pourquoi chaque Malware est régénéré des milliers de fois pour permettent de contourner les détections des antivirus.  Seulement chaque famille de Malware gardera un fonctionnement identique : chaîne de caractère, appel de fonction, chiffrement etc. Grâce à Yara nous pouvons très facilement crée un fichier de règle de détection sur ces familles de façon à rendre cela autonome.

Yara utilise la SandBoxe cuckoo vous pourrez donc voir les appels d’API faîtes par t’elle application ou regarder quel site cherche t’elle à joindre.

A quoi ressemble une règle Yara ?

rule silent_banker : banker
{
    meta:
        description = "This is just an example"
        thread_level = 3
        in_the_wild = true
    strings:
        $a = {6A 40 68 00 30 00 00 6A 14 8D 91}
        $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
        $c = "UVODFRYSIHLNWPEJXQZAKCBGMT"
    condition:
        $a or $b or $c
}

Chaque règle Yara se définis de cette façon : un titre (banker), de données méta qui ne servent qu’aux développeurs, de string et de condition. Ici on veut juste une détection si on a la chaîne $a ou $b ou $b. La doc explique très bien ceci : http://yara.readthedocs.io/en/v3.4.0/writingrules.html

Comment je peux utiliser Yara ?

Yara est disponible sous Windows et Linux (vous devrez compiler les sources pour ce dernier). Sur Windows vous pouvez soit passer par l’outil fournit ou compiler vous-même les sources si vous voulez l’intégrer dans votre projet.

Yara est utilisable en Python, langage très apprécié des chercheurs en sécurité vous pourrez facilement trouver des scripts .Il existe également une API C, elle est très facile d’utilisation et assez bien documenté. Si toutefois vous rencontreriez des problèmes, sachez qu’il propose un exemple de code en C avec un fonctionnement minimaliste.

Plus d’information ?

Vous trouverez plus d’information et des liens de téléchargements sur les sites suivant.

Site : http://virustotal.github.io/yara/
Documentation : http://yara.readthedocs.io/en/stable/

Etudiant informatique (développeur Full-Stack). Fan de sécurité informatique et de bidouilles en tout genre, il erre dans les profondeurs du web.

Laisser un commentaire