Hay dos formas principales de buscar los IoC en los archivos de Yara:
- Contra los archivos en el disco usando una herramienta como Loki.exe . Loki requiere yara y escaneará las máquinas de Windows en busca de IoC.
- Versus volcados de memoria disponibles a través de una variedad de herramientas de descarga de memoria. Volatility Framework incluye un complemento llamado yarascan que puede especificar el archivo de reglas de Yara mediante el uso del indicador
-y
. Muchos recién llegados ahora están utilizando el marco Rekall Forensics (una bifurcación de la volatilidad) por su simplicidad y extensibilidad.
A continuación, combino la carpeta yara de la base de firmas de Loki (llena de archivos de reglas de Yara) con la volatilidad contra un volcado de memoria que reuní usando MoonSols DumpIt.
para i en 'echo / opt / signature-base / yara / *'; hacer vol.py - perfil Win7SP1x64 -f 110138-E7440-20160328-191617.raw yarascan -y $ i; hecho
Es probable que desee preparar su estación de trabajo DFIR con un ramdisk en orden para obtener algunos aumentos de rendimiento cuando se ejecutan análisis como estos.