Yara, una herramienta de seguridad multi entornos

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Si nos resulta necesario de analizar amenazas en entornos asociados tenemos un abanico amplio de medios con respecto al tipo de herramientas que podemos usar

Hay una que particularmente se ha vuelto bastante útil y que muchos de los profesionales de tecnología hemos comenzado a usar con mayor frecuencia cada día para identificar y clasificar muestras de códigos maliciosos, hablamos de YARA.

Ya sea para detectar la fecha de compilación de un ejecutable, encontrar información de geolocalización en imágenes o para la clasificación de malware, YARA es un aliado importante en las tareas que llevamos en el día a día.

Localización de autoextraíbles y troyanos

Una de las técnicas que vienen usando los cibercriminales desde hace algún tiempo es la propagación de códigos maliciosos a través de archivos autoextraíbles. De esta manera, correos electrónicos o descargas en sitios web esconden el ejecutable en un archivo comprimido, que cuando el usuario trata de descomprimir, ejecuta automáticamente el archivo malicioso.

Utilizando la siguiente regla de YARA es posible identificar si el archivo que se está analizando corresponde a una amenaza con las características descritas anteriormente:

yara_malware_vintegris_1

En el uso de YARA hay una serie de reglas bastante útiles y que se pueden encontrar en la documentación de la herramienta. Y es precisamente utilizando este tipo de reglas que podemos hacer sets para seguir familias de códigos maliciosos.

Por ejemplo, luego de identificar las cadenas de caracteres que tiene una familia de códigos maliciosos que se quiere seguir, se pueden generar reglas para hacer un seguimiento de las muestras con una regla.

yara_malware_vintegris_2

Sin embargo, podemos llegar a casos en los cuales no basta con identificar solamente cadenas de caracteres, ya que puede darse lugar a que se incremente la cantidad de falsos positivos que queremos identificar.

En este este escenario es mucho más útil identificar características particulares en el código de cada familia y a partir de esto generar reglas que faciliten mucho más el análisis.

Si luego del análisis se identifica que hay una secuencia de instrucciones que siempre se repite en las muestras analizadas, pues se podría hacer una regla para tratar de identificar otras variantes con características similares.

yara_malware_vintegris__3

Así que en estos casos resulta bastante útil el uso de wildcards; se puede resumir en una regla de YARA una parte del comportamiento de un código malicioso.

Con esta poderosa herramienta, que ya es utilizada por servicios públicos como VirusTotal o sandbox como Cuckoo, es posible hacer una clasificación de códigos maliciosos basándos en distintas características que permitan identificar las más importantes de cada muestra, logrando simplificar el trabajo al momento de seguir este tipo de campañas.

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris