Bir Developer günlüğü

Yara rules nedir ?

Yara rules nedir ?

Yara, zararlı yazılım tespitinde ve analizinde kullanılan bir araçtır. Özellikle zararlı yazılım analiz sürecinde, zararlı yazılımla ilgili bilgi toplamak ve analizi hızlandırmak amacıyla kullanılmaktadır. Aynı zamanda adli bilişim incelemelerinde de ön bilgi edinmek ve hızlı sonuçlar elde etmek amacıyla bellek analizlerinde aktif olarak tercih edilmektedir. Öte yandan, son yıllarda geliştirilen e-mail güvenlik ürünleri, sandbox sistemleri, zararlı yazılım analiz araçları ve hatta güvenlik zafiyeti tarama araçları da yara kurallarından yararlanmaktadır. Bu yazımda ise zararlı yazılım avcılığında yara kurallarının nasıl kullanıldığından bahsetmeye çalışacağım.

Yara Kullanımının Faydaları
Yara kuralları zararlı yazılımların sınıflandırılmasında ve zararlı kodların tanımlanmasında kullanılır. Tespit edilen bir zararlı yazılımın hangi zararlı yazılım ailesine ait olduğu yada hangi hacker grubu tarafından kullanıldığı bilgisini Yara kuralları ile edinebiliriz.

51.png

Aynı zamanda bir zararlı yazılımda kullanılan güvenlik zafiyetleri yada exploit kitler hakkında bilgi alabiliriz.

53.png

Yukarıdakilere ek olarak, zararlı yazılımın hangi paketleyici kullanılarak paketlendiği, hangi dilde yazıldığı, kullanmış olduğu anti analiz teknikleri gibi birçok durumdan hızlıca bilgi sahibi olabiliyoruz.

Yara ile Zararlı Yazılım Avcılığı
Yazdığımız yara kuralları ile kendi sistemlerimizde tehdit avcılığı yapabileceğimiz gibi online sandbox sistemleri üzerinde de yazmış olduğumuz yara kurallarına hit eden zararlı yazılım örnekleri de edinebiliriz. Bu örneklerin davranış analizinden yola çıkarak uç nokta güvenlik ürünlerimizi besleyebiliriz. Örnek olarak Hybrid-Analysis üzerinde yara kurallarını zararlı yazılım avcılığında nasıl kullanabileceğimizi göstereceğim.

Hybrid Analizin ana sayfasında bulunan Yara arama modülünü kullanıyoruz.

54.png

2. Arama modülündeki “Advanced Search” ile yara kuralımızı düzenleyebiliyoruz. Örnek olarak CVE-2018–4878 güvenlik zafiyetini istismar eden zararlı yazılım örneklerini arayalım.

55.png

Github üzerinde birçok zararlı yazılım, exploit kit, güvenlik zafiyeti ile ilgili hazır Yara kuralları bulmanız mümkün. Özellikle VirusTotal tarafından hazırlanan güzel bir veritabanı bulunuyor. (Buradan ulaşabilirsiniz.)

Ayrıca yara ile ilgili birçok yazı,makale ve araç listesi barından bir repository daha bulunuyor. İncelemenizi tavsiye ederim.

Yara kuralları zararlı yazılım analizinde ve tehdit avcılığında oldukça katma değeri bulunan önemli bir araç konumundadır. Özellikle kurumsal ortamlar gibi hızlı sonuçlar almanız gereken yerlerde tabiri caizse hayat kurtarıyor diyebiliriz.