YARA (Yet Another Recursive Acronym) es una herramienta valiosa para identificar y clasificar el malware. En este artículo, exploraremos la funcionalidad de YARA, incluyendo lo que hace y cómo escribir reglas efectivas de YARA para la inteligencia de amenazas y la detección de malware.
Descubra cómo construir una estrategia de resiliencia de datos y proteger a su organización de los efectos del ransomware y otras variantes de malware con el motor YARA en los servidores de backup y recuperación de Veeam. Descargar el white paper
Introducción
Una de las formas más importantes de proteger su negocio es garantizar una fuerte protección contra la presencia de malware. Se recomienda proteger su organización con herramientas de seguridad que mejoren sus defensas, pero el malware puede ingresar a sus sistemas y datos a través de contraseñas robadas, ataques de phishing u otras tácticas de actores de amenazas. Si el malware gana terreno y se ejecuta para cifrar o extraer datos confidenciales, también puede usarse para extorsionar y causar un impacto negativo significativo en su organización.
Los análisis de las reglas de YARA son una de las formas más eficaces de ayudar a identificar y clasificar el malware, incluidos los virus, los gusanos y el ransomware. Un motor de reglas de YARA es una herramienta de código abierto que ayuda a los equipos de ciberseguridad a buscar y detectar malware, y les da la oportunidad de neutralizarlo antes de que cause un daño significativo.
En este artículo se ofrece una descripción general de la funcionalidad de YARA y se explica cómo crear y probar una regla de YARA, por qué puede ser tan eficaz en la detección de malware y cómo usar las reglas de YARA para proteger a su organización.
Entender las reglas de YARA
Antes de crear las reglas de YARA, es importante saber qué son y cómo funcionan.
¿Qué son las reglas de YARA?
Las reglas de YARA identifican patrones que se pueden encontrar en malware o familias de malware y, de esta manera, pueden indicar la presencia de software malicioso. Cuando una regla encuentra una característica o patrón que indica una pieza de malware, puede alertar a la persona adecuada para aislarla o eliminarla.
Casos de uso de YARA
Para ayudarle a comprender mejor las reglas de YARA, echemos un vistazo a algunos casos de uso:
Reglas de YARA para la detección de malware
Se pueden crear reglas de YARA para detectar malware específico o familias de malware, ya sean variantes de malware o cepas específicas de malware.
YARA basado en firmas
Se pueden crear reglas de YARA para detectar hashes basados en malware, cadenas, frases o fragmentos de código específicos, incluidas claves de registro e incluso malware basado en secuencias de bytes.
Reglas de YARA para tipos de archivos
Las reglas de YARA también pueden aplicarse a tipos de archivos o extensiones como .pdf o .exe. Esto le permite encontrar archivos específicos de malware que ya se conocen.
Reglas de YARA e inteligencia de amenazas
Las reglas de YARA se pueden integrar con herramientas de inteligencia de amenazas para crear reglas basadas en los datos de amenazas más recientes. Esto ayuda a identificar amenazas nuevas o emergentes.
Detección de ransomware con reglas YARA
Según el informe Tendencias de ciberseguridad 2024 de Veeam, el número de víctimas de ransomware aumentó en un 50% interanual en 2023. Las principales empresas de protección de datos, como Veeam, ofrecen análisis integrados de detección de malware de backup basados en firmas para mantener el buen estado del sistema y la capacidad de recuperación. Otras características incluyen analizadores de tamaño de archivos de backup, detección de anomalías y detección de herramientas de indicadores de compromiso (IOC).
Sin embargo, para reglas específicas que buscan malware específico o patrones que pueden ejecutar un ataque de ransomware, una regla YARA es la mejor opción para encontrar software malicioso y alertar a los administradores.
Un ejemplo de una regla de YARA que puede prevenir el ransomware es el ransomware CTBLocker, que se puede encontrar buscando klospad.pdb. Una regla de YARA buscará esos archivos y le avisará inmediatamente si se encuentran dentro del backup o en el momento de la recuperación.
Sintaxis de las reglas de YARA
Las reglas de YARA son sencillas y presentan una sintaxis similar a la del lenguaje de programación C. Para crear reglas de YARA, es esencial comprender la sintaxis de YARA.
Nombre de la regla
Para el nombre de la regla, se recomienda que haga referencia al nombre del archivo o al software malintencionado que desea buscar. Dentro de la sintaxis, el nombre de la regla es un identificador después de la palabra regla, que nunca puede ser un número o un guión bajo. Por ejemplo:
regla Detect_Malicious_String
{
condition;
false
}
Cadenas de texto
En la sección de cadenas de texto se definen los patrones, las firmas o las cadenas. Hay tres tipos distintos de cadenas: cadenas hexadecimales, cadenas de texto y expresiones regulares. Las cadenas hexadecimales se emplean para definir secuencias de bytes sin procesar, mientras que las cadenas de texto y las expresiones regulares son ideales para especificar segmentos de texto legibles. Además, las cadenas de texto y las expresiones regulares pueden representar bytes sin formato mediante el uso de secuencias de escape.
Condiciones
Esta es la única sección obligatoria, ya que se refiere a expresiones booleanas o aritméticas comúnmente utilizadas en todos los lenguajes de programación (por ejemplo, y, o, no, +, -,*, /, contiene, etc.). Para que la regla coincida, deben cumplirse las condiciones. Otro tipo de condición podría ser el tamaño del archivo o la coincidencia de la longitud de la cadena. Hay muchas posibilidades a la hora de crear reglas con condiciones que respondan a estas necesidades.
Metadatos
Además de las secciones de definición de cadena y condición, las reglas también pueden tener una sección de metadatos en la que se puede incluir información adicional sobre la regla. La sección de metadatos se define con la palabra clave “meta”. Los metadatos pueden incluir el nombre del autor, la fecha en que se creó la regla, el número de versión de la regla y una descripción de lo que encuentra la regla, etc.
Condiciones
Esta es la única sección obligatoria. Especifican cuándo es válida la regla YARA para el archivo que está analizando. Las condiciones son expresiones booleanas (es decir, y, o, todas, cualquiera, no) que deben cumplirse para que la regla coincida. Por ejemplo, una regla podría ser válida si un archivo es más pequeño que un tamaño determinado y se encuentran una de las cadenas (o todas) enumeradas en el archivo.
Creación de reglas de YARA dentro de Veeam Backup & Replication
Basándonos en la información anterior sobre la sintaxis para las reglas de YARA, veamos cómo se pueden usar dentro de la funcionalidad de Veeam Backup and Replication.
Reglas de YARA durante el análisis de backup
En una sesión de análisis de backup, puede ejecutar un análisis de YARA para realizar las siguientes operaciones:
- Encuentre el último punto de restauración limpio.
- Analice el contenido en busca de información específica definida en la regla.
Para ejecutar el análisis de YARA durante la sesión de análisis de backup, lleve a cabo lo siguiente:
- En la ventana Análisis de backup, active la opción Escanear puntos de restauración con la siguiente regla YARA.
- Especifique el archivo YARA que se encuentra en la carpeta del producto Veeam Backup & Replication. La ruta predeterminada es: C:\Program Files\Veeam\Backup and Replication\Backup\YaraRules. El archivo YARA debe tener la extensión .yara o .yar.
Ver los resultados del análisis de Yara
Para ver los resultados del análisis de YARA en las estadísticas de la sesión de backup, haga lo siguiente:
- Abra la vista Inicio en el panel de inventario, seleccione “Últimas 24 horas” y, en el área de trabajo, haga doble clic en el trabajo de análisis de backup que desee. También, puede seleccionar el trabajo y hacer clic en “Estadísticas” en la cinta, o hacer clic con el botón derecho en el trabajo y seleccionar “Estadísticas”.
- Abra la vista Historial en el panel de inventario y, a continuación, seleccione “Trabajos”. En el área de trabajo, haga doble clic en el trabajo de análisis de backup deseado. También, puede seleccionar el trabajo y hacer clic en “Estadísticas” en la cinta, o hacer clic con el botón derecho en el trabajo y seleccionar “Estadísticas”.
Para ver un registro detallado del análisis de YARA, haga clic en el botón Registro de escaneo situado en la parte inferior de la ventana con las estadísticas del trabajo de análisis de backup. Veeam Backup & Replication mostrará los registros más recientes en un archivo de 1 MB.
Mejores prácticas para el desarrollo de reglas YARA
Estas son algunas de las mejores prácticas para hacer que sus reglas de YARA sean más sólidas y eficaces:
Crear plantillas para mantener la coherencia y una mejor organización.
Usar las convenciones de reglas estándar de YARA y contribuir al repositorio de reglas para ayudar a la comunidad de ciberseguridad en general. Estas convenciones suelen incluir el uso de un encabezado para identificar la regla, una condición que describe las características del malware y etiquetas para ayudar a categorizar la regla que ha creado para ayudar a otros expertos en ciberseguridad.
Tenga en cuenta que las reglas de YARA son solo una línea de defensa contra el malware. Siga el framework del NIST para tener más oportunidades de protegerse frente a las amenazas y detectar y responder a los incidentes de ciberseguridad. Consulte el Instituto Nacional de Estándares y Tecnología para obtener más pautas y mejores prácticas de ciberseguridad.
Prueba y validación de las reglas de YARA
Una vez que haya escrito una regla YARA, es vital probarla para asegurarse de que todo funciona según lo planeado.
Prueba de las reglas de YARA
La regla de YARA puede integrarse y añadirse a Veeam Data Platform para analizar archivos en tiempo real. Es fundamental probar las reglas de YARA para asegurarse de que funcionan según lo previsto. Dado que las reglas de YARA se basan en patrones o firmas, probar su regla de YARA en un entorno de ensayo le permite verificar que esos patrones se han identificado con precisión.
No es necesario infectar su red con malware funcional para probar las reglas de YARA. Descargue un conjunto de datos de muestras de malware conocido para probar sus reglas sin poner en riesgo la seguridad de su red. Implemente nuevas reglas en su entorno de producción una vez que esté seguro de que son efectivas pero no generarán demasiados falsos positivos.
Reglas de la comunidad YARA
Hay una gran comunidad de usuarios de YARA que mantienen repositorios públicos para compartir las reglas de YARA. Al compartir reglas, la comunidad ayuda a construir una extensa base de datos de la que todos pueden beneficiarse cuando se trata de la detección de malware.
Desarrollo colaborativo de reglas
Cuando los profesionales y las organizaciones de seguridad comparten las reglas de YARA, la comunidad puede desarrollar herramientas más centradas en combatir el malware. Cuando estos profesionales comparten sus reglas, no solo comparten conocimientos vitales, sino que también invitan a otros a mejorar su trabajo. Cuando se comparte la inteligencia de amenazas, la identificación de ataques peligrosos se vuelve más fácil para toda la comunidad.
Reglas de YARA, documentación y recursos
Hay varios repositorios de reglas de YARA y comunidades donde puede compartir sus reglas de YARA y colaborar con otros:
Repositorio de YARA en GitHub: Esta es la fuente primaria de todo lo relacionado con YARA. Puede encontrar las últimas versiones, la documentación de YARA y el código fuente de YARA aquí.
Documentación de YARA: Alojada en ReadTheDocs, la documentación oficial de YARA proporciona información completa sobre cómo usar YARA y su sintaxis, qué hacen las reglas y cómo sus capacidades detectan software malicioso.
Repositorio de reglas y firmas de YARA: Este es un gran recurso donde puedes encontrar una colección de reglas y firmas de YARA basadas en la comunidad. También puedes contribuir con tus propias reglas de YARA para que otros puedan usarlas.
Conclusión
Las reglas de YARA son una forma eficaz de mejorar la ciberseguridad de su organización ya que le ayudan a detectar software malicioso con más facilidad. Puedes escribir tus propias reglas de YARA o aprovechar uno de los muchos repositorios gratuitos de reglas creadas por la comunidad que ya están disponibles. Si está buscando una manera de mejorar los esfuerzos de ciberseguridad de su empresa, las reglas de YARA son una de las mejores formas de hacerlo.
Obtenga más información sobre la ciberresiliencia y cómo proteger a su organización contra el ransomware. Descargue hoy mismo nuestro white paper sobre estrategias de recuperación de datos ciberresilientes.