Escaneando un binario contra el diccionario de reglas YARA

2

He encontrado un binario de malware, que tengo curiosidad por ver qué patrones se han encontrado en este archivo. También tengo una colección de ~ 1000 ioc's y yara-rule's relacionadas con Malwares y RAT's. He utilizado Loki , yara- gui , la yara64 (no recuerdo la fuente del enlace) en sí misma y Algunas otras herramientas, pero ninguna de ellas, son capaces de escanear múltiples reglas contra un solo archivo. Ya escribí un código Python simple (escanea varias veces, no es complicado) y es muy lento y desordenado:

import os

rules = raw_input("Rules Folder: ")
mal = raw_input("Malicious File: ")
paths = [os.path.join(rules,fn) for fn in next(os.walk(rules))[2]]

for i in range(0,len(paths)):
    os.system('yara64.exe "'+paths[i]+'" "'+mal+'" --no-warnings -f -e -m >> output.txt')

Entonces, ¿cómo escaneas tu muestra contra múltiples yara-rule? cualquier herramienta específica o pública (gratuita / de pago) o script que es eficiente?

    
pregunta Aiden Stewart 28.10.2018 - 09:00
fuente

1 respuesta

1

YARA le permite especificar múltiples archivos de reglas para ser utilizados (como la última versión).

yara64.exe path/rule/file1 path/rule/file2 path/rule/file3 malwareFile

No sé cuál es el límite al número de rutas de archivo de reglas que puede especificar en una sola invocación de YARA, pero esto debería facilitar considerablemente la secuencia de comandos.

    
respondido por el Daisetsu 29.10.2018 - 03:50
fuente

Lea otras preguntas en las etiquetas