¿Cómo uso un directorio de archivos YARA?

4

Estoy revisando el Malware Cookbook PEScanner y quieren una ruta a mis archivos YARA para buscar. Actualmente tengo un directorio lleno de reglas YARA para piezas conocidas de malware.

¿Cuál sería la mejor manera de ejecutar el escáner usando todos mis archivos YARA a la vez? ¿Se está fusionando? ¿Se está repitiendo en el código?

¿PEScanner hace uno o ambos de estos?

    
pregunta T. McT 02.01.2016 - 03:00
fuente

1 respuesta

2

Hay dos formas principales de buscar los IoC en los archivos de Yara:

  1. Contra los archivos en el disco usando una herramienta como Loki.exe . Loki requiere yara y escaneará las máquinas de Windows en busca de IoC.
  2. Versus volcados de memoria disponibles a través de una variedad de herramientas de descarga de memoria. Volatility Framework incluye un complemento llamado yarascan que puede especificar el archivo de reglas de Yara mediante el uso del indicador -y . Muchos recién llegados ahora están utilizando el marco Rekall Forensics (una bifurcación de la volatilidad) por su simplicidad y extensibilidad.

A continuación, combino la carpeta yara de la base de firmas de Loki (llena de archivos de reglas de Yara) con la volatilidad contra un volcado de memoria que reuní usando MoonSols DumpIt.

  

para i en 'echo / opt / signature-base / yara / *'; hacer vol.py - perfil Win7SP1x64 -f 110138-E7440-20160328-191617.raw yarascan -y $ i; hecho

Es probable que desee preparar su estación de trabajo DFIR con un ramdisk en orden para obtener algunos aumentos de rendimiento cuando se ejecutan análisis como estos.

    
respondido por el atdre 05.04.2016 - 00:27
fuente

Lea otras preguntas en las etiquetas