YARA (Yet Another Recursive Acronym) ist ein wertvolles Tool zur Identifizierung und Klassifizierung von Malware. In diesem Artikel befassen wir uns mit der YARA-Funktionalität, u. a. damit, was sie eigentlich tut und wie Sie effektive YARA-Regeln für Bedrohungsinformationen und Malware-Erkennung schreiben.
Erfahren Sie, wie Sie mit der YARA-Engine in den Backup- und Recovery-Servern von Veeam eine Strategie für die Ausfallsicherheit von Daten entwickeln und Ihr Unternehmen vor den Auswirkungen von Ransomware und anderen Malware-Varianten schützen können. Whitepaper herunterladen
Einführung
Eine der wichtigsten Möglichkeiten zum Schutz Ihres Unternehmens ist die Gewährleistung eines starken Schutzes gegen Malware-Befall. Es empfiehlt sich, Ihr Unternehmen mit Sicherheitstools zu schützen, die Ihre Abwehrmechanismen verbessern. Dennoch kann Malware über gestohlene Passwörter, Phishing-Angriffe oder andere Taktiken von Bedrohungsakteuren in Ihre Systeme und Daten eindringen. Wenn Malware Fuß fasst und ausgeführt wird, um sensible Daten zu verschlüsseln oder zu exfiltrieren, kann damit auch Geld erpresst und in Ihrem Unternehmen erheblicher Schaden verursacht werden.
Scans mit YARA-Regeln sind eine der effektivsten Methoden zur Identifizierung und Klassifizierung von Malware, einschließlich Viren, Würmern und Ransomware. Eine YARA-Regel-Engine ist ein Open-Source-Tool, das Cybersicherheitsteams bei der Suche und Erkennung von Malware unterstützt und ihnen die Möglichkeit gibt, diese zu neutralisieren, bevor sie größeren Schaden anrichtet.
Dieser Artikel bietet einen Überblick über die YARA-Funktionalität. Es wird erläutert, wie Sie eine YARA-Regel erstellen und testen können, warum sie bei der Erkennung von Malware so effektiv sein kann und wie Sie YARA-Regeln zum Schutz Ihres Unternehmens einsetzen können.
YARA-Regeln – Grundlagen
Bevor Sie YARA-Regeln erstellen, sollten Sie unbedingt wissen, worum es sich dabei eigentlich handelt und wie sie funktionieren.
Was sind YARA-Regeln?
YARA-Regeln erkennen Muster, die in Malware oder Malware-Familien zu finden sind, und können so auf das Vorhandensein von Schadsoftware hinweisen. Wenn eine Regel ein Merkmal oder Muster findet, das auf eine Malware hinweist, kann sie die zuständige Person alarmieren, die die Malware isolieren oder löschen kann.
Anwendungsfälle für YARA
Damit Sie die YARA-Regeln besser verstehen, werfen wir einen Blick auf einige Anwendungsfälle:
YARA-Regeln für die Erkennung von Malware
YARA-Regeln können erstellt werden, um bestimmte Malware oder Malware-Familien zu erkennen. Dabei ist es egal ob es sich um Varianten von Malware oder um bestimmte Malware-Stämme handelt.
Signaturbasiertes YARA
YARA-Regeln können erstellt werden, um Malware-basierte Hashes, bestimmte Zeichenfolgen, Phrasen oder Codeschnipsel, einschließlich Registrierungsschlüssel und sogar Malware auf der Basis von Byte-Sequenzen zu erkennen.
YARA-Regeln für Dateitypen
YARA-Regeln können auch auf Dateitypen oder Erweiterungen wie .pdf oder .exe angewendet werden. So können Sie bestimmte Malware-Dateien finden, die bereits bekannt sind.
YARA-Regeln und Bedrohungsinformationen
YARA-Regeln können in Tools für Bedrohungsinformationen integriert werden, um Regeln zu erstellen, die auf den neuesten Bedrohungsdaten basieren. Dies hilft bei der Erkennung neuer oder aufkommender Bedrohungen.
Ransomware-Erkennung mit YARA-Regeln
Laut dem 2024 Cybersecurity Trends Report von Veeam ist die Zahl der Ransomware-Opfer im Jahr 2023 im Vergleich zum Vorjahr um 50 % gestiegen. Führende Datensicherungsunternehmen wie Veeam bieten integrierte, signaturbasierte Scanner zur Erkennung von Malware in Backups an, um den Zustand und die Wiederherstellbarkeit zu erhalten. Weitere Funktionen sind die Analyse der Größe von Sicherungsdateien, die Erkennung von Anomalien und die Erkennung von IOC-Tools (Indicators of Compromise).
Für spezifische Regeln, die nach bestimmter Malware oder Mustern suchen, die einen Ransomware-Angriff ausführen können, ist eine YARA-Regel jedoch die beste Option, um bösartige Software zu finden und Administratoren zu alarmieren.
CTBLocker-Ransomware ist ein Beispiel für eine YARA-Regel, die Ransomware verhindern kann. Sie wird durch die Suche nach klospad.pdb gefunden. Eine YARA-Regel sucht nach diesen Dateien und alarmiert Sie sofort, wenn sie im Backup oder bei der Wiederherstellung gefunden werden.
Syntax der YARA-Regeln
YARA-Regeln sind einfach und nutzen eine Syntax, die der Programmiersprache C ähnelt. Für die Erstellung von YARA-Regeln ist ein Verständnis der YARA-Syntax unabdingbar.
Regelname
Beim Namen der Regel sollten Sie sich auf den Dateinamen oder die schädliche Software beziehen, nach der Sie suchen möchten. Innerhalb der Syntax ist der Regelname eine Kennung nach dem Wort „rule“. Dies darf niemals eine Zahl oder ein Unterstrich sein. Beispiele:
rule Detect_Malicious_String
{
condition;
false
}
Zeichenfolgen
Im Zeichenfolgebereich werden Muster, Signaturen oder Zeichenfolgen definiert. Es gibt drei verschiedene Arten von Zeichenfolgen: Hexadezimale Zeichenfolgen, Textzeichenfolgen und reguläre Ausdrücke. Mit hexadezimalen Zeichenfolgen werden rohe Byte-Sequenzen definiert, während mit Textzeichenfolgen und regulären Ausdrücke lesbare Textsegmente ideal spezifizieren. Außerdem können Textzeichenfolgen und reguläre Ausdrücke durch die Verwendung von Escape-Sequenzen rohe Bytes darstellen.
Bedingungen
Dies ist der einzige erforderliche Abschnitt, da er sich auf boolesche oder arithmetische Ausdrücke bezieht, die in allen Programmiersprachen verwendet werden (z. B. und, oder, nicht, +, -,*, /, beinhaltet, usw.). Die Bedingungen müssen erfüllt sein, damit die Regel zutrifft. Eine andere Art von Bedingung könnte die Dateigröße oder die Länge einer Zeichenfolge sein. Es gibt viele Möglichkeiten, Regeln mit Bedingungen zu erstellen, die diese Anforderungen erfüllen.
Metadaten
Neben der Definition der Zeichenfolge und den Bedingungsabschnitten können Regeln auch einen Metadatenabschnitt aufweisen, in dem zusätzliche Informationen über Ihre Regel enthalten sein können. Der Metadatenabschnitt wird mit dem Schlüsselwort „meta“ definiert. Die Metadaten können den Namen des Autors, das Erstellungsdatum der Regel, die Versionsnummer der Regel und eine Beschreibung dessen, wonach die Regel sucht, usw. enthalten.
Bedingungen
Dies ist der einzige erforderliche Abschnitt. Er gibt an, wann die YARA-Regel für die von Ihnen überprüfte Datei gültig ist. Bedingungen sind boolesche Ausdrücke (d. h. und, oder, alle, beliebig, nicht), die erfüllt sein müssen, damit die Regel übereinstimmt. Eine Regel könnte zum Beispiel erfüllt sein, wenn eine Datei kleiner als eine bestimmte Größe ist und eine (oder alle) der in der Datei aufgeführten Zeichenfolgen gefunden werden.
Erstellen von YARA-Regeln in Veeam Backup & Replication
Basierend auf den vorangegangenen Informationen zur Syntax von YARA-Regeln betrachten wir nun, wie diese innerhalb der Funktionalität von Veeam Backup and Replication verwendet werden
YARA-Regeln bei Scan Backup
Bei einer Scan Backup-Session können Sie einen YARA-Scan durchführen, um die folgenden Vorgänge auszuführen:
- Suchen Sie den letzten sauberen Wiederherstellungspunkt.
- Analysieren Sie den Inhalt auf bestimmte, durch die Regel definierte Informationen.
Zur Durchführung des YARA-Scans während der Backup Scan-Session gehen Sie wie folgt vor:
- Aktivieren Sie im Fenster Scan Backup die Option Wiederherstellungspunkte mit der folgenden YARA-Regel scannen.
- Geben Sie die YARA-Datei an, die sich im Produktordner Veeam Backup & Replication befindet. Der Pfad lautet standardmäßig: C:\Program Files\Veeam\Backup and Replication\Backup\YaraRules. Die YARA-Datei muss die Erweiterung .yara oder .yar haben.
Yara-Scan-Ergebnisse anzeigen
Wenn Sie die Ergebnisse der YARA-Untersuchung in der Statistik der Backup-Sitzung anzeigen möchten, können Sie folgendermaßen vorgehen:
- Öffnen Sie die Startansicht im Inventarfenster, wählen Sie „Letzte 24 Stunden“ aus und klicken Sie im Arbeitsbereich zweimal auf den gewünschten Scan Backup-Job. Alternativ können Sie den Job auswählen und im Menüband auf „Statistiken“ klicken, oder mit der rechten Maustaste auf den Auftrag klicken und „Statistiken“ auswählen.
- Öffnen Sie die Ansicht „Verlauf“ im Inventarbereich und wählen Sie dann „Aufträge“ aus. Klicken Sie im Arbeitsbereich zweimal auf den gewünschten Scan Backup-Job. Alternativ können Sie diesen Job auswählen und in der Multifunktionsleiste auf „Statistik“ oder mit der rechten Maustaste auf den Job klicken und „Statistik“ auswählen.
Wenn Sie ein detailliertes Protokoll des YARA-Scans anzeigen möchten, klicken Sie auf den Button „Scanprotokoll“ am unteren Rand des Fensters mit den Statistiken zum Scan Backup-Job. Veeam Backup & Replication zeigt die neuesten Protokolle in einer 1 MB großen Datei an.
Best Practices für die Entwicklung von YARA-Regeln
Einige Best Practices für stärkere und effektivere YARA-Regeln umfassen Folgendes:
Erstellung von Templates für mehr Konsistenz und bessere Organisation
Verwendung der YARA-Standardregelkonventionen und Beitrag zum Regel-Repository, um der breiteren Cybersicherheits-Community zu helfen Diese Konventionen umfassen in der Regel eine Kopfzeile zur Identifizierung der Regel, eine Bedingung, mit der die Malware-Merkmale beschrieben werden, und Tags zur Kategorisierung der von Ihnen erstellten Regel zur Unterstützung anderer Cybersicherheitsexperten.
Denken Sie daran, dass YARA-Regeln nur eine Verteidigungslinie gegen Malware sind. Befolgen Sie das NIST-Framework, um beim Schutz vor Bedrohungen und der Erkennung von und der Reaktion auf von Cybersicherheitsvorfällen die besten Chancen zu haben. Das National Institute of Standards and Technology bietet weitere Richtlinien und Best Practices für die Cybersicherheit.
Testen und Validieren von YARA-Regeln
Nachdem Sie eine YARA-Regel geschrieben haben, sollte sie unbedingt getestet werden, um sicherzustellen, dass alles wie geplant funktioniert.
Testen von YARA-Regeln
Die YARA-Regel kann dann in Veeam Data Platform integriert werden, um Dateien in Echtzeit zu scannen. Es ist wichtig, dass Sie Ihre YARA-Regeln testen, um sicherzustellen, dass sie wie vorgesehen funktionieren. Da YARA-Regeln auf Mustern oder Signaturen beruhen, können Sie durch das Testen Ihrer YARA-Regel in einer Staging-Umgebung überprüfen, ob diese Muster richtig erkannt wurden.
Sie müssen Ihr Netzwerk nicht mit funktionierender Malware infizieren, um YARA-Regeln zu testen. Laden Sie einen Datensatz mit bekannten Malware-Mustern herunter, um Ihre Regeln zu testen, ohne die Sicherheit Ihres Netzwerks zu gefährden. Setzen Sie neue Regeln in Ihrer Produktionsumgebung ein, sobald Sie sicher sind, dass sie effektiv sind und nicht zu viele Fehlalarme erzeugen.
YARA-Regeln der Community
Es gibt eine große Community von YARA-Nutzern, die öffentliche Repositorys für den Austausch von YARA-Regeln unterhalten. Durch den Austausch von Regeln hilft die Community beim Aufbau einer umfangreichen Datenbank, von der alle profitieren können, wenn es um die Erkennung von Malware geht.
Gemeinsame Regelentwicklung
Wenn Sicherheitsexperten und Organisationen die YARA-Regeln gemeinsam nutzen, kann die Community gezieltere Tools zur Malware-Bekämpfung entwickeln. Wenn diese Experten ihre Regeln teilen, geben sie nicht nur wichtiges Wissen weiter, sondern laden auch andere dazu ein, ihre Arbeit zu verbessern. Wenn Bedrohungsinformationen gemeinsam genutzt werden, wird die Erkennung von Angriffen für die vollständige Community vereinfacht.
YARA-Regeln, Dokumentation und Ressourcen
Es gibt mehrere YARA-Regel-Repositorys und -Communitys, in denen Sie Ihre YARA-Regeln teilen und mit anderen zusammenarbeiten können:
YARA GitHub Repository: Dies ist die Hauptquelle für alles rund um YARA. Die neuesten Versionen, die YARA-Dokumentation und den YARA-Quellcode finden Sie hier.
YARA Dokumentation: Die auf ReadTheDocs gehostete offizielle YARA-Dokumentation bietet umfassende Informationen über die Verwendung von YARA und seiner Syntax, die Funktionsweise der Regeln und dazu, wie die Funktionalitäten bösartige Software erkennen.
Repository der YARA-Regeln und -Signaturen: Dies ist eine großartige Ressource. Sie finden dort eine Sammlung der von der Community erstellten YARA-Regeln und -Signaturen. Sie können auch Ihre eigenen YARA-Regeln beisteuern, damit andere sie verwenden können.
Schlussfolgerung
YARA-Regeln sind eine effektive Möglichkeit zur Verbesserung der Cybersicherheit Ihres Unternehmens, da sie Ihnen helfen, bösartige Software leichter zu erkennen. Sie können Ihre eigenen YARA-Regeln schreiben oder eines der vielen kostenlosen Repositorys mit bereits verfügbar von der Community erstellten Regeln nutzen. Wenn Sie nach einer Möglichkeit suchen, die Cybersicherheit in Ihrem Unternehmen zu verbessern, eigenen sich YARA-Regeln hervorragend dafür.
Erfahren Sie mehr über Cyberresilienz und darüber, wie Sie Ihr Unternehmen vor Ransomware schützen können. Laden Sie noch heute unser kostenloses Whitepaper über cyberresiliente Datenwiederherstellungsstrategien herunter.