Yara – Analyse de malware

Qu’est-ce que Yara ? Yara est une technologie très appréciée des chercheurs en sécurité informatique spécialisé dans la traque aux Malwares. Il est considéré comme le couteau suisse dans le milieu. Il a l’avantage d’être multiplate-forme (Windows & Linux). Les Malware deviennent de plus en plus sophistiqués, ils peuvent désormais contourner les SandBoxes et d’autre […]
  • Développement
Ajouter un commentaire

Yara_logo

Qu’est-ce que Yara ?

Yara est une technologie très appréciée des chercheurs en sécurité informatique spécialisé dans la traque aux Malwares. Il est considéré comme le couteau suisse dans le milieu. Il a l’avantage d’être multiplate-forme (Windows & Linux).

Les Malware deviennent de plus en plus sophistiqués, ils peuvent désormais contourner les SandBoxes et d’autre outils d’analyses. Heureusement leurs créations prennent du temps, c’est pourquoi chaque Malware est régénéré des milliers de fois pour permettent de contourner les détections des antivirus.  Seulement chaque famille de Malware gardera un fonctionnement identique : chaîne de caractère, appel de fonction, chiffrement etc. Grâce à Yara nous pouvons très facilement crée un fichier de règle de détection sur ces familles de façon à rendre cela autonome.

Yara utilise la SandBoxe cuckoo vous pourrez donc voir les appels d’API faîtes par t’elle application ou regarder quel site cherche t’elle à joindre.

A quoi ressemble une règle Yara ?

rule silent_banker : banker
{
    meta:
        description = "This is just an example"
        thread_level = 3
        in_the_wild = true
    strings:
        $a = {6A 40 68 00 30 00 00 6A 14 8D 91}
        $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
        $c = "UVODFRYSIHLNWPEJXQZAKCBGMT"
    condition:
        $a or $b or $c
}

Chaque règle Yara se définis de cette façon : un titre (banker), de données méta qui ne servent qu’aux développeurs, de string et de condition. Ici on veut juste une détection si on a la chaîne $a ou $b ou $b. La doc explique très bien ceci : http://yara.readthedocs.io/en/v3.4.0/writingrules.html

Comment je peux utiliser Yara ?

Yara est disponible sous Windows et Linux (vous devrez compiler les sources pour ce dernier). Sur Windows vous pouvez soit passer par l’outil fournit ou compiler vous-même les sources si vous voulez l’intégrer dans votre projet.

Yara est utilisable en Python, langage très apprécié des chercheurs en sécurité vous pourrez facilement trouver des scripts .Il existe également une API C, elle est très facile d’utilisation et assez bien documenté. Si toutefois vous rencontreriez des problèmes, sachez qu’il propose un exemple de code en C avec un fonctionnement minimaliste.

Plus d’information ?

Vous trouverez plus d’information et des liens de téléchargements sur les sites suivant.

Site : http://virustotal.github.io/yara/
Documentation : http://yara.readthedocs.io/en/stable/

Article publié le

Dernière modification le

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.