YARA, una alternativa dinámica para dar seguridad

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Si hablamos de detección de malware existen especialmente 3 formas de determinar si un fichero es nocivo o no: firmas, heurística y string signatures.

La más popular en los sistemas de detección antivirus es la detección en base a firmas, en base al resultado de calcular el HASH de un fichero, pasarlo por una base de datos de firmas y probar si este fichero ha sido detectado precedentemente como malware.

Este tipo de firma es inútil para la detección de malware no conocido y para evadirlo basta con recompilar el código en un sistema diferente o cambiarle un solo bit, los dolores de cabeza que trae al mundo de la seguridad, la liberación del código fuente de un troyano, es casi comparable con una visión real del apocalipsis.

Para tratar de parar estos métodos de evasión se usa habitualmente el método heurístico.

Este procedimiento se basa en el comportamiento del ejecutable y, de acuerdo a las acciones que realiza dentro del sistema, se decide si el fichero es malicioso o no.

El problema más grave de este método es que puede generar una gran cantidad de falsos positivos ya que muchos programas realizan acciones lícitas que pueden hacer saltar las alertas, algo muy habitual que suele ocurrir con el uso de la inteligencia artificial.

String Signatures

En lugar de usar firmas tipo HASH, utiliza cadenas de texto o binarias que identifican inequívocamente a un malware. Asimismo, aunque se modifique el fichero, si este sigue conteniendo esas cadenas que conforman una firma, los analistas seguirán siendo capaces de detectar y clasificar ese malware.

YARA es una herramienta diseñada por Víctor Manuel Álvarez especialmente para la detección y clasificación de malware basándose en string signatures.

Pero no es el único uso que se le puede dar a YARA, utilizando reglas YARA puede ser utilizado para IoT, como herramienta de comando y Control, en tiempo real.

Es estremadamente fácil de usar y para instalarlo no hay más que descargar el paquete correspondiente de la web del proyecto y seguir las instrucciones de instalación.

Si Usted es usuario de Linux es muy simple; y en caso de usar Windows es todavía más fácil: el ejecutable de YARA solo hay que extraerlo de un zip y para instalar la librería de YARA: doble clic, presionar siguiente, volver a presionar siguiente y ya está instalado.

Por Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS