Yara規(guī)則介紹

Yara是一個(gè)基于規(guī)則的惡意樣本分析工具，可以幫助安全研究人員和藍(lán)隊(duì)分析惡意軟件，并且可以在應(yīng)急取證過(guò)程中自定義檢測(cè)規(guī)則來(lái)檢測(cè)惡意軟件，Yara支持有木馬文件落盤(pán)和無(wú)木馬文件落盤(pán)(內(nèi)存馬)的檢測(cè)，由一組字符串和一個(gè)確定的布爾表達(dá)式組成。

下載安裝

Windows環(huán)境下可直接下載編譯好的exe程序進(jìn)行檢測(cè)分析，當(dāng)前使用的版本為4.1.3。

程序運(yùn)行截圖

2.Yara檢測(cè)程序運(yùn)行中使用的參數(shù)。

運(yùn)行參數(shù)

下載地址：https://github.com/VirusTotal/yara

需要更多學(xué)習(xí)資料與工具可以私信回復(fù)“資料”【點(diǎn)擊查看】

Yara規(guī)則語(yǔ)法

1.Yara規(guī)則內(nèi)容支持字符串、正則表達(dá)式、十六進(jìn)制進(jìn)行匹配。

字符串：定義一個(gè)變量 $a = “字符串內(nèi)容”

正則表達(dá)式：定義一個(gè)變量 $a = /正則表達(dá)式內(nèi)容/

十六進(jìn)制：定義一個(gè)變量 $a = {十六進(jìn)制內(nèi)容}

2.Yara規(guī)則條件

and：與 or：或 not：非

all of them：所有條件匹配即告警

any of them：有一個(gè)條件匹配即告警

$a and $b and $c：abc同時(shí)匹配即告警

($a and $b) or $c：匹配a和b或c即告警

3．Yara規(guī)則常用修飾符

nocase：不區(qū)分大小寫(xiě)

base64：base64字符串

xor：異或字符串

wide：寬字符

4.下面是一條Yara規(guī)則的demo。

yara規(guī)則demo

惡意程序檢測(cè)案例

1、挖礦程序檢測(cè)

1、下載xmrig挖礦程序，https://github.com/xmrig/xmrig/

2、編寫(xiě)xmrig挖礦程序檢測(cè)規(guī)則，利用010 Editor、die等PE文件編輯工具進(jìn)行特征的提取。此規(guī)則使用PE文件的文件頭4D 5A、挖礦程序?qū)Ｓ脜f(xié)議stratum、xmrig挖礦的程序的名稱、礦池域名xx.pool.xx等特征進(jìn)行關(guān)聯(lián)匹配。

xmrig挖礦程序檢測(cè)規(guī)則

3、xmrig挖礦程序掃描，利用-r參數(shù)對(duì)目錄下的文件進(jìn)行遞歸掃描，可發(fā)現(xiàn)利用檢測(cè)規(guī)則掃描出xmrig.exe挖礦程序。

挖礦程序掃描

2、 無(wú)文件檢測(cè)-python flask內(nèi)存馬

1.命令行運(yùn)行python flask內(nèi)存馬腳本。

內(nèi)存馬腳本

2.瀏覽器訪問(wèn)執(zhí)行payload，完成內(nèi)存馬的注入。

http://172.16.120.115:5000/test?param={{url_for.globals[‘builtins’][‘eval’](“app.add_url_rule(’/shell1’, ‘shell’, lambda :import(‘os’).popen(_request_ctx_stack.top.request.values.get(‘cmd’, ‘whoami’)).read())”,{’_request_ctx_stack’:url_for.globals[’_request_ctx_stack’],‘a(chǎn)pp’:url_for.globals[‘current_app’]})}}

3.查看命令執(zhí)行的效果。

whoami命令執(zhí)行

4.利用procdump.exe dump內(nèi)存。

procdump dump內(nèi)存命令

5.檢測(cè)內(nèi)存中的明文特征，如payload中的_request_ctx_stack、exec|eval、url_for.globals、add_url_rule、import(‘os’).popen等函數(shù)在內(nèi)存中全部明文顯示，利用此特征編寫(xiě)檢測(cè)規(guī)則。

python flask內(nèi)存馬檢測(cè)規(guī)則

6.利用python flask內(nèi)存馬檢測(cè)規(guī)則掃描出python.exe進(jìn)程中被注入內(nèi)存馬。

python flask內(nèi)存馬檢測(cè)

總結(jié)

以上是生活随笔為你收集整理的应急响应-Yara规则木马检测的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。