YARA (Yet Another Recursive Acronym) é uma ferramenta valiosa para identificar e classificar malware. Neste artigo, exploraremos a funcionalidade do YARA, incluindo o que ele faz e como escrever regras eficazes do YARA para inteligência de ameaças e detecção de malware.
Saiba como criar uma estratégia de resiliência de dados e proteger sua organização dos efeitos do ransomware e outras variantes de malware com o mecanismo YARA nos servidores de backup e recuperação da Veeam. Faça o download do white paper
Introdução
Uma das formas mais importantes de proteger o seu negócio é garantir uma proteção forte contra a presença de malware. É recomendável proteger sua organização com ferramentas de segurança que melhorem suas defesas, mas o malware pode chegar aos seus sistemas e dados por meio de senhas roubadas, ataques de phishing ou outras táticas de agentes de ameaças. Se o malware ganhar força e for executado para criptografar ou exfiltrar dados confidenciais, ele também poderá ser usado para extorquir dinheiro e causar um impacto negativo significativo na sua organização.
A verificação de regras YARA é uma das formas mais eficazes de ajudar a identificar e classificar malware, incluindo vírus, worms e ransomware. Um mecanismo de regras YARA é uma ferramenta de código aberto que ajuda as equipes de segurança cibernética a procurar e detectar malware, dando a eles a oportunidade de neutralizá-lo antes que ele cause danos significativos.
Este artigo apresenta uma visão geral da funcionalidade do YARA e discute como criar e testar uma regra YARA, por que ela pode ser tão eficaz na detecção de malware e como usar as regras do YARA para proteger sua organização.
Entendendo as regras do YARA
Antes de criar regras YARA, é importante saber o que são e como funcionam.
Quais são as regras YARA?
As regras do YARA identificam padrões que podem ser encontrados em malware ou famílias de malware e, dessa forma, podem indicar a presença de software malicioso. Quando uma regra encontra uma característica ou um padrão que indica um malware, ela pode alertar a pessoa apropriada que pode isolá-lo ou excluí-lo.
Casos de uso do YARA
Para ajudar você a entender melhor as regras do YARA, vamos dar uma olhada em alguns casos de uso:
Regras YARA para detecção de malware
As regras do YARA podem ser criadas para detectar um malware específico ou famílias de malware, sejam suas variantes ou tipos específicos.
YARA baseado em assinatura
As regras do YARA podem ser criadas para detectar hashes baseados em malware, cadeias de caracteres específicas, frases ou trechos de código, incluindo chaves de registro e até mesmo malware baseado em sequências de bytes.
Regras YARA para tipos de arquivo
As regras do YARA também podem ser aplicadas a tipos de arquivo ou extensões, como .pdf ou .exe. Isso permite que você encontre arquivos de malware específicos que já são conhecidos.
Regras YARA e inteligência de ameaças
As regras YARA podem ser integradas com ferramentas de inteligência de ameaças para criar regras com base nos dados de ameaças mais recentes. Isso ajuda na identificação de ameaças novas ou emergentes.
Detecção de ransomware com regras YARA
De acordo com o Relatório de Tendências de Ransomware 2024 da Veeam, o número de vítimas de ransomware teve um aumento anual de 50% em 2023. As principais empresas de proteção de dados, como a Veeam, oferecem scanners de detecção de malware de backup integrados e com base em assinatura para manter a integridade e a recuperabilidade. Outros recursos incluem analisadores de tamanho de arquivo de backup, detecção de anomalias e detecção de ferramenta de indicadores de comprometimento (IOC).
Porém, para regras específicas que pesquisam malwares específicos ou padrões que podem executar um ataque de ransomware, a regra YARA é a melhor opção para encontrar software malicioso e alertar os administradores.
Um exemplo de regra YARA que pode impedir o ransomware é o CTBLocker, que pode ser encontrado procurando por klospad.pdb. Uma regra do YARA vai verificar esses arquivos e alertá-lo imediatamente se forem encontrados no backup ou no momento da recuperação.
Sintaxe das regras YARA
As regras YARA são simples e apresentam uma sintaxe semelhante à linguagem de programação C. Para criar regras YARA, é essencial entender a sintaxe YARA.
Nome da regra
Para o nome da regra, é recomendável que você se refira ao nome do arquivo ou software malicioso que deseja verificar. Na sintaxe, o nome da regra é um identificador após a palavra “rule”, que nunca pode ser um número ou sublinhado. Por exemplo:
rule Detect_Malicious_String
{
condition;
false
}
Strings
A seção de string é onde os padrões, as assinaturas ou as strings são definidas. Existem três tipos distintos de strings: strings hexadecimais, strings de texto e expressões regulares. As strings hexadecimais são usadas para definir sequências de bytes brutos, enquanto as strings de texto e as expressões regulares são ideais para especificar segmentos de texto legíveis. Além disso, as strings de texto e as expressões regulares podem representar bytes brutos por meio do uso de sequências de escape.
Condições
Esta é a única seção obrigatória, uma vez que se refere a expressões booleanas ou aritméticas comumente usadas em todas as linguagens de programação (por exemplo, and, or, not, +, -, *, /, contém, etc.). As condições devem ser atendidas para que a regra seja compatível. Outro tipo de condição pode ser o tamanho do arquivo ou o tamanho correspondente da string. São muitas as possibilidades de criar regras com condições que atendam a essas necessidades.
Metadados
Além das seções de definição e condição da string, as regras também podem ter uma seção de metadados em que podem ser incluídas informações adicionais sobre sua regra. A seção de metadados é definida com a palavra-chave “meta”. Os metadados podem incluir o nome do autor, a data em que a regra foi criada, o número da versão da regra e uma descrição do que a regra encontra, etc.
Condições
Esta é a única seção obrigatória. Ela especifica quando a regra YARA é válida para o arquivo que você está fazendo a verificação. As condições são expressões booleanas (ou seja, e, ou, todos, qualquer, não) que devem ser atendidas para que a regra seja correspondida. Por exemplo, uma regra pode ser válida se um arquivo for menor do que um determinado tamanho e uma (ou todas) das cadeias de caracteres listadas no arquivo forem encontradas.
Como Criar Regras YARA no Veeam Backup & Replication
Com base nas informações de sintaxe anteriores para regras YARA, vamos ver como usá-las na funcionalidade do Veeam Backup and Replication
Regras YARA durante Fazer Varredura de Backup
Para uma sessão Fazer Varredura de Backup, você pode executar uma varredura de regra YARA para executar as seguintes operações:
- Encontre o último ponto de restauração limpo.
- Analise o conteúdo em busca de informações específicas definidas na regra.
Para executar a varredura YARA durante a sessão Fazer Varredura de Backup, faça o seguinte:
- Na janela Fazer Varredura de Backup, habilite a opção Verificar pontos de restauração com a seguinte regra YARA.
- Especifique o arquivo YARA localizado na pasta do produto Veeam Backup & Replication. O caminho por padrão é: C:\Program Files\Veeam\Backup and Replication\Backup\YaraRules. O arquivo YARA deve ter a extensão .yara ou .yarextension.
Exibir Resultados da Varredura Yara
Para visualizar os resultados da verificação YARA nas estatísticas da sessão de backup, você pode:
- Abra a visualização Página Inicial no painel de inventário, selecione “Últimas 24 horas” e, na área de trabalho, clique duas vezes na tarefa Fazer Varredura de Backup desejada. Como alternativa, você pode selecionar a tarefa e clicar em “Estatística” na faixa de opções ou clicar com o botão direito do mouse na tarefa e selecionar “Estatística”.
- Abra a visualização Histórico no painel de inventário e selecione “Tarefas”. Na área de trabalho, clique duas vezes na tarefa Fazer Varredura de Backup desejada. Como alternativa, você pode selecionar essa tarefa e clicar em “Estatística” na faixa de opções ou clicar com o botão direito do mouse na tarefa e selecionar “Estatística”.
Para exibir um registro detalhado da varredura YARA, clique no botão Registro de Varredura na parte inferior da janela com as estatísticas da tarefa Fazer Varredura de Backup. O Veeam Backup & Replication exibirá os logs mais recentes em um arquivo de 1 MB.
Melhores Práticas para Desenvolvimento de Regra YARA
Algumas melhores práticas para tornar suas regras YARA mais fortes e eficazes incluem:
Criar modelos para se manter consistente e mais organizado.
Usar as convenções de regras YARA padrão e contribuir com o repositório de regras para ajudar a comunidade de segurança cibernética em geral. Essas convenções geralmente incluem o uso de um cabeçalho para identificar a regra, uma condição que descreve as características do malware e tags para ajudar a categorizar a regra que você criou para ajudar outros especialistas em segurança cibernética.
Tenha em mente que as regras do YARA são apenas uma linha de defesa contra o malware. Siga a estrutura NIST para ter a melhor chance de se proteger contra ameaças e detectar e responder a incidentes de segurança cibernética. Confira o National Institute of Standards and Technology para obter mais diretrizes e melhores práticas de segurança cibernética.
Testando e validando regras YARA
Depois de escrever uma regra YARA, é vital testá-la para garantir que tudo funcione de acordo com o planejado.
Como Testar Regras YARA
A regra YARA pode ser integrada à Veeam Data Platform para fazer a varredura de arquivos em tempo real. É crucial testar suas regras YARA para garantir que estejam funcionando como esperado. Como as regras YARA são baseadas em padrões ou assinaturas, testar sua regra YARA em um ambiente de preparação permite verificar se esses padrões foram identificados com precisão.
Você não precisa infectar sua rede com malware funcional para testar as regras do YARA. Baixe um conjunto de dados com amostras conhecidas de malware para testar suas regras sem colocar a segurança da sua rede em risco. Implante novas regras em seu ambiente de produção quando tiver certeza de que elas são eficazes, mas não gerarão muitos falsos positivos.
Regras comunitárias YARA
Há uma grande comunidade de usuários do YARA que mantém repositórios públicos para compartilhar as regras do YARA. Ao compartilhar regras, a comunidade ajuda a construir um banco de dados extenso do qual todos podem se beneficiar quando se trata de detecção de malware.
Desenvolvimento colaborativo de regras
Quando profissionais de segurança e organizações compartilham regras YARA, a comunidade pode desenvolver ferramentas de combate a malware mais focadas. Quando esses profissionais compartilham suas regras, eles não estão apenas compartilhando conhecimentos vitais, mas convidando outros a melhorar seu trabalho também. Quando a inteligência de ameaças é compartilhada, a identificação de ataques perigosos se torna mais fácil para toda a comunidade.
Regras YARA, Documentação e Recursos
Existem vários repositórios de regras YARA e comunidades em que você pode compartilhar suas regras YARA e colaborar com outras pessoas:
Repositório YARA GitHub: Esta é a fonte principal para tudo sobre a regra YARA. Você pode encontrar os últimos lançamentos, a documentação do YARA e o código-fonte do YARA aqui.
Documentação da YARA: Hospedada no ReadTheDocs, a documentação oficial do YARA fornece informações abrangentes sobre como usar o YARA e sua sintaxe, o que as regras fazem e como seus recursos detectam software mal-intencionado.
Repositório de Assinaturas e Regras YARA: Este é um ótimo recurso onde você pode encontrar uma coleção de regras e assinaturas YARA baseadas na comunidade. Você também pode contribuir com suas próprias regras YARA para que outras pessoas possam usá-las.
Conclusão
As regras YARA são uma forma eficaz de melhorar a segurança cibernética da sua organização, ajudando você a detectar software malicioso com mais facilidade. Você pode escrever suas próprias regras do YARA ou tirar proveito de um dos muitos repositórios gratuitos de regras criadas pela comunidade já disponíveis. Se você está procurando uma maneira de melhorar os esforços de segurança cibernética da sua empresa, as regras YARA são uma das melhores maneiras de fazê-lo.
Saiba mais sobre resiliência cibernética e como proteger sua organização contra o ransomware. Faça o download do nosso white paper gratuito sobre estratégias de recuperação de dados com resiliência cibernética hoje mesmo.