2024/06/30

マルウェア解析に利用される YARA とは？

YARAは、マルウェアの研究や解析検知に利用できるオープンソースのツールです。
2004年に開発され、現在も情報セキュリティ研究者や情報セキュリティ企業などに利用されています。

1 YARAとは？
2 YARAルール
- 2.1 YARA サンプルコード

YARAとは？

YARAは検知する条件として指定した、文字列やバイト列、ルールで対象のファイルやプロセスをスキャンし、その結果を出力できオープンソースで独自の検出パターンも構築・配布可能なことから、EDRやアンチウイルスソフトを開発するメーカー、フォレンジックツールを提供するメーカーなどにも利用されています。

YARAルール

コード規約は「YARAルール」と言われる記述形式で、各アンチウイルスソフトメーカーが脆弱性対応の際に「YARAルールファイル」として公開されています。

以下は YARAのコードサンプルです

YARA サンプルコード

rule silent_banker : banker
{
    meta:
        description = "This is just an example"
        threat_level = 3
        in_the_wild = true

    strings:
        $a = {6A 40 68 00 30 00 00 6A 14 8D 91}
        $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
        $c = "UVODFRYSIHLNWPEJXQZAKCBGMT"

    condition:
        $a or $b or $c
}

上記のルールは、3 つの文字列のいずれかを含むファイルはすべてとして報告する必要があることを指定しています。

strings部分は以下の定義となります。

・$a = {6A 40 68 00 30 00 00 6A 14 8D 91} は、16進数で表された文字列パターンを定義
・$b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} は、別の16進数で表された文字列パターンを定義
・$c = “UVODFRYSIHLNWPEJXQZAKCBGMT” は、ASCII文字列パターンを定義

細かい記述方法は、こちらをご覧ください

引用：https://github.com/VirusTotal/yara

YARAとは？

YARAルール

YARA サンプルコード

関連記事