Pillole di malware analysis: Le Yara Rules
- Antonio Capobianco
- Visite: 6518
Le Yara Rules sono un vero e proprio linguaggio, ideato da Victor Alvarez di #VirusTotal per identificare un malware.
Prima della sua nascita i #malwareAnalyst non avevano una struttura sintattica rinosciuta per descrivere un malware, quindi ognuno lo descriveva a modo suo ;-)
Ogni regola è suddivisa in tre parti:
1) Meta: questa parte serve solo a definire l'autore, la data di creazione etc... e non è fondamentale
2) Strings: contiene l'insieme di stringhe che un'analisi statica del malware potrebbe fornire
3) Condition: contiene una serie di condizioni, definite quasi come delle espressioni regolari, che rapportano tra di loro le stringhe
Un esempio potrebbe essere: $Stringa1 and $Stringa2 che sta a significare che il malware descritto contiene entrambe le stringhe
Esistono poi tutta una serie di moduli che aggiungono potenza a questo linguaggio.
Ad esempio il modulo PE consente di accedere direttamente a tutte le sezioni PE del malware (nel caso in cui sia un eseguibile windows).
Una regola che utilizza il modulo PE potrebbe essere pe.imports("Wininet.dll","InternetConnectA") che indica che il malware importa la funzione InternetConnectA da Wininet.dll
#cybersecurity #cybersecurityup #malware #malwareanalysis #hacker #ethicalHacking