YARAは、マルウェアの研究や解析 検知に利用できるオープンソースのツールです。
2004年に開発され、現在も情報セキュリティ研究者や情報セキュリティ企業などに利用されています。
YARAとは?
YARAは、マルウェアの研究や解析 検知に利用できるオープンソースのツールです。
2004年に開発され、現在も情報セキュリティ研究者や情報セキュリティ企業などに利用されています。
YARAは検知する条件として指定した、文字列やバイト列、ルールで対象のファイルやプロセスをスキャンし、その結果を出力できオープンソースで独自の検出パターンも構築・配布可能なことから、EDRやアンチウイルスソフトを開発するメーカー、フォレンジックツールを提供するメーカーなどにも利用されています。
YARAルール
コード規約は「YARAルール」と言われる記述形式で、各アンチウイルスソフトメーカーが脆弱性対応の際に「YARAルールファイル」として公開されています。
以下は YARAのコードサンプルです
YARA サンプルコード
rule silent_banker : banker
{
meta:
description = "This is just an example"
threat_level = 3
in_the_wild = true
strings:
$a = {6A 40 68 00 30 00 00 6A 14 8D 91}
$b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
$c = "UVODFRYSIHLNWPEJXQZAKCBGMT"
condition:
$a or $b or $c
}
上記のルールは、3 つの文字列のいずれかを含むファイルはすべてとして報告する必要があることを 指定しています。
strings部分は以下の定義となります。
・$a = {6A 40 68 00 30 00 00 6A 14 8D 91} は、16進数で表された文字列パターンを定義
・$b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} は、別の16進数で表された文字列パターンを定義
・$c = “UVODFRYSIHLNWPEJXQZAKCBGMT” は、ASCII文字列パターンを定義
細かい記述方法は、こちらをご覧ください