YARA (Yet Another Recursive Acronym) è uno strumento prezioso per identificare e classificare il malware. In questo articolo, esploreremo la funzionalità YARA, incluso cosa fa e come scrivere regole YARA efficaci per l’intelligence sulle minacce e il rilevamento del malware.
Scopri come creare una strategia di resilienza dei dati e proteggere la tua organizzazione dagli effetti del ransomware e di altre varianti di malware con il motore YARA nei server di backup e ripristino di Veeam. Scarica il white paper
Introduzione
Uno dei modi più importanti per salvaguardare la tua azienda è garantire una solida protezione contro la presenza di malware. Si consiglia di proteggere l’organizzazione con strumenti di sicurezza che migliorino le difese, ma il malware può farsi strada nei sistemi e nei dati tramite password rubate, attacchi di phishing o altre tattiche degli autori delle minacce. Se il malware prende piede e viene eseguito per crittografare o esfiltrare dati sensibili, può anche essere utilizzato per estorcere denaro e causare un impatto negativo significativo alla tua organizzazione.
Le scansioni delle regole YARA sono uno dei modi più efficaci per identificare e classificare il malware, inclusi virus, worm e ransomware. Un motore di regole YARA è uno strumento open source che aiuta i team di sicurezza informatica a cercare e rilevare il malware, dando loro l’opportunità di neutralizzarlo prima che causi danni significativi.
Questo articolo presenta una panoramica della funzionalità YARA e spiega come creare e testare una regola YARA, perché può essere così efficace nel rilevare il malware e come utilizzare le regole YARA per proteggere la tua organizzazione.
Comprendere le regole YARA
Prima di creare regole YARA, è importante sapere cosa sono e come funzionano.
Quali sono le regole YARA?
Le regole YARA identificano i pattern riscontrabili nel malware o nelle famiglie di malware e, in questo modo, possono indicare la presenza di software dannoso. Quando una regola trova una caratteristica o un pattern che indica un malware, può avvisare la persona incaricata, che può isolarlo o eliminarlo.
Casi d’uso di YARA
Per aiutarti a comprendere meglio le regole YARA, diamo un’occhiata ad alcuni casi d’uso:
Regole YARA per il rilevamento del malware
È possibile creare regole YARA per rilevare malware o famiglie di malware specifici, sia che si tratti di varianti o di ceppi specifici di malware.
YARA basato su firma digitale
È possibile creare regole YARA per rilevare hash basati su malware, stringhe, frasi o frammenti di codice specifici, comprese le chiavi di registro e persino malware in base a sequenze di byte.
Regole YARA per tipi di file
Le regole YARA possono essere applicate anche a tipi di file o estensioni come .pdf o .exe. Ciò consente di trovare file malware specifici già noti.
Regole YARA e intelligence sulle minacce
Le regole YARA possono essere integrate con gli strumenti di threat intelligence per creare regole basate sui dati più recenti sulle minacce. Questa modalità consente di identificare minacce nuove o emergenti.
Rilevamento del ransomware con le regole YARA
Secondo il Report sulle tendenze della sicurezza informatica 2024 di Veeam, nel 2023 il numero di vittime di ransomware è aumentato del 50% rispetto all’anno precedente. Le principali società di protezione dei dati, come Veeam, offrono scanner di rilevamento di malware basati su firma integrati nel backup per mantenere l’integrità e la recuperabilità. Altre funzionalità includono strumenti di analisi delle dimensioni dei file di backup, rilevamento delle anomalie e strumenti di rilevamento degli indicatori di compromissione (IOC).
Tuttavia, per regole specifiche che cercano malware o modelli specifici in grado di eseguire un attacco ransomware, una regola YARA è l’opzione migliore per trovare software dannoso e avvisare gli amministratori.
Un esempio di regola YARA che può aiutare a rilevare il ransomware è quella per il ransomware CTBLocker, che può essere trovato cercando klospad.pdb. Una regola YARA eseguirà la scansione di questi file e ti avviserà immediatamente se vengono trovati all’interno del backup o al momento del ripristino.
Sintassi delle regole YARA
Le regole YARA sono semplici e presentano una sintassi simile al linguaggio di programmazione C. Per creare regole YARA, è essenziale comprendere la sintassi YARA.
Nome della regola
Per il nome della regola, si consiglia di fare riferimento al nome del file o al software dannoso che si desidera analizzare. All’interno della sintassi il nome della regola è un identificatore dopo la parola regola, che non può mai essere un numero o un trattino basso. Per esempio:
regola Detect_Malicious_String
{
condition;
false
}
Stringhe
La sezione delle stringhe è quella in cui vengono definiti i modelli, le firme o le stringhe. Esistono tre tipi distinti di stringhe: Stringhe esadecimali, stringhe di testo ed espressioni regolari. Le stringhe esadecimali vengono utilizzate per definire sequenze di byte grezze, mentre le stringhe di testo e le espressioni regolari sono ideali per specificare segmenti di testo leggibili. Inoltre, le stringhe di testo e le espressioni regolari possono rappresentare byte grezzi tramite l’uso di sequenze di escape.
Condizioni
Questa è l’unica sezione richiesta, poiché si riferisce a espressioni booleane o aritmetiche comunemente usate in tutti i linguaggi di programmazione (ad esempio, and, or, not, +, -,*, /, contains, ecc.). Affinché la regola corrisponda, devono essere soddisfatte delle condizioni. Un altro tipo di condizione potrebbe essere la dimensione del file o la lunghezza del match di una stringa. Ci sono molte possibilità per creare regole con condizioni che soddisfino queste esigenze.
Metadati
Oltre alle sezioni relative alla definizione delle stringhe e alle condizioni, le regole possono includere anche una sezione di metadati in cui è possibile includere ulteriori informazioni sulla regola. La sezione dei metadati è definita con la parola chiave “meta”. I metadati possono includere il nome dell’autore, la data di creazione della regola, il numero di versione della regola e una descrizione di ciò che la regola trova, ecc.
Condizioni
Questa è l’unica sezione obbligatoria. Specifica quando la regola YARA è valida per il file che si sta scansionando. Le condizioni sono espressioni booleane (ad esempio: and, or, all, any, not) che devono essere soddisfatte affinché la regola corrisponda. Ad esempio, una regola può essere valida se un file è più piccolo di una certa dimensione e vengono trovate una (o tutte) le stringhe elencate nel file.
Creare regole YARA all’interno di Veeam Backup & Replication
Sulla base delle precedenti informazioni sulla sintassi per le regole YARA, diamo un’occhiata a come utilizzarle all’interno della funzionalità Veeam Backup and Replication
Regole YARA durante la scansione del backup
Per una sessione di backup di scansione, è possibile eseguire una scansione YARA per eseguire le seguenti operazioni:
- Individuare l’ultimo punto di ripristino pulito.
- Analizzare il contenuto per le informazioni specifiche definite nella regola.
Per eseguire la scansione YARA durante la sessione di scansione del backup, procedi come segue:
- Nella finestra Scansione backup, abilita la scansione dei punti di ripristino con la seguente opzione di regola Yara.
- Specifica il file YARA che si trova nella cartella del prodotto Veeam Backup & Replication. Il percorso predefinito è: C:\Program Files\Veeam\Backup and Replication\Backup\YaraRules. Il file YARA deve avere l’estensione .yara o .yar.
Visualizza i risultati della scansione Yara
Per visualizzare i risultati della scansione YARA nelle statistiche della sessione di backup, puoi:
- Apri la vista Home nel pannello dell’inventario, seleziona “Ultime 24 ore” e nell’area di lavoro, fai doppio clic sul job di scansione del backup desiderato. In alternativa, è possibile selezionare il job e fare clic su “Statistiche” sulla barra multifunzione, oppure fare clic con il pulsante destro del mouse sul job e selezionare “Statistiche”.
- Apri la vista Cronologia nel pannello dell’inventario, quindi seleziona “Job”. Nell’area di lavoro, fare doppio clic sul job di backup di scansione desiderato. In alternativa, è possibile selezionare il job e fare clic su “Statistiche” sulla barra multifunzione, oppure fare clic con il pulsante destro del mouse sul job e selezionare “Statistiche”.
Per visualizzare un registro dettagliato della scansione YARA, fare clic sul pulsante del registro di scansione nella parte inferiore della finestra con le statistiche del job di scansione del backup. Veeam Backup & Replication visualizzerà i log più recenti in un file di 1 MB.
Best practice per lo sviluppo delle regole YARA
Alcune best practice per rendere le tue regole YARA più forti ed efficaci includono:
Creazione di modelli per rimanere coerenti e più organizzati.
Utilizzare le convenzioni delle regole YARA standard e contribuire al repository delle regole per aiutare la più ampia community di sicurezza informatica. Queste convenzioni includono in genere l’uso di un’intestazione per identificare la regola, una condizione che descrive le caratteristiche del malware e tag per classificare la regola creata per aiutare altri esperti di sicurezza informatica.
Tieni presente che le regole YARA sono solo una delle linee di difesa contro il malware. Segui il framework NIST per avere le migliori possibilità di proteggerti dalle minacce e di rilevare e rispondere agli incidenti di sicurezza informatica. Dai un’occhiata al National Institute of Standards and Technology per ulteriori linee guida e best practice sulla sicurezza informatica.
Testare e convalidare le regole YARA
Dopo aver scritto una regola YARA, è fondamentale testarla per assicurarsi che tutto funzioni secondo i piani.
Testare le regole YARA
La regola YARA può quindi essere aggiunta e integrata nella Veeam Data Platform per eseguire la scansione dei file in tempo reale. È fondamentale testare le regole YARA per assicurarsi che funzionino come previsto. Poiché le regole YARA si basano su modelli o firme, il test della regola YARA in un ambiente di staging consente di verificare che questi modelli siano stati identificati in modo accurato.
Non è necessario infettare la rete con malware funzionante per testare le regole YARA. Scarica un set di dati di campioni di malware noti per testare le tue regole senza mettere a rischio la sicurezza della tua rete. Implementa nuove regole nel tuo ambiente di produzione quando sei sicuro che siano efficaci, ma non genereranno troppi falsi positivi.
Regole YARA della community
C’è una grande comunità di utenti YARA che mantiene repository pubblici per la condivisione delle regole YARA. Condividendo le regole, la community aiuta a costruire un ampio database di cui tutti possono beneficiare quando si tratta di rilevamento del malware.
Sviluppo collaborativo delle regole
Quando i professionisti della sicurezza e le organizzazioni condividono le regole YARA, la community può sviluppare strumenti di lotta al malware più mirati. Quando questi professionisti condividono le loro regole, non solo condividono conoscenze vitali, ma invitano anche gli altri a migliorare il loro lavoro. Quando le informazioni sulle minacce vengono condivise, identificare gli attacchi pericolosi diventa più facile per l’intera comunità.
Regole YARA, documentazione e risorse
Esistono diversi repository e community di regole YARA in cui è possibile condividere le proprie regole YARA e collaborare con altri:
YARA GitHub Repository: Questa è la fonte primaria di tutto ciò che riguarda YARA. Puoi trovare le ultime versioni, la documentazione YARA e il codice sorgente YARA qui.
Documentazione Yara: Ospitata su ReadTheDocs, la documentazione ufficiale di YARA fornisce informazioni complete su come utilizzare YARA e la sua sintassi, cosa fanno le regole e come le sue capacità rilevano il software dannoso.
Repository di regole e firme YARA: Questa è un’ottima risorsa in cui è possibile trovare una raccolta di regole e firme YARA create dalla community. Puoi anche contribuire con le tue regole YARA in modo che altri possano usarle.
Conclusione
Le regole YARA sono un modo efficace per migliorare la sicurezza informatica della tua organizzazione aiutandoti a rilevare più facilmente il software dannoso. Puoi scrivere le tue regole YARA o approfittare di uno dei tanti repository gratuiti di regole costruite dalla comunità già disponibili. Se stai cercando un modo per migliorare gli sforzi di sicurezza informatica della tua azienda, le regole YARA sono uno dei modi migliori per farlo.
Scopri di più sulla resilienza informatica e su come proteggere la tua organizzazione dal ransomware. Scarica subito il nostro white paper gratuito sulle strategie di resilienza informatica per il ripristino dei dati.