MA: Activar contenido personalizado de YARA

Document created by RSA Information Design and Development on Feb 9, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

En este tema se proporcionan instrucciones para habilitar el contenido personalizado de YARA en el host de Security Analytics en el cual se instaló el servicio Malware Analysis. Además de los indicadores de riesgo incorporados, Security Analytics Malware Analysis es compatible con indicadores de riesgo escritos en YARA. YARA es un lenguaje de reglas que permite a los investigadores de malware identificar y clasificar muestras de malware. En RSA Live están disponibles indicadores de riesgo (IOC) basados en YARA incorporados; estos se descargan y se activan automáticamente en dispositivos suscritos.

Los clientes con habilidades y conocimientos avanzados pueden agregar funcionalidades de detección a RSA Malware Analysis mediante la creación de reglas YARA y su publicación en RSA Live o la colocación de estas reglas en una carpeta inspeccionada para consumo del dispositivo. En esta sección se proporcionan instrucciones para el administrador que configura dispositivos para habilitar la creación de contenido personalizado de YARA.

Requisitos previos

Esta es una tarea de configuración avanzada, que requiere el privilegio y el conocimiento suficiente para configurar una recopilación de compilador de GNU (GCC) y una biblioteca de desarrollo de C++ Python para crear YARA. Además, debe estar completamente familiarizado con la documentación estándar de YARA. Se requieren los siguientes componentes:

  • La biblioteca de la expresión regular compatible con Perl (PCRE): pcre-8.33.tar.bz2
  • La línea de comandos yara 1.7 (rev:167) independiente YARA: yara-1.7.tar
  • La extensión de YARA para Python: yara-python-1.7.tar.gz
  • Documentación de reglas de YARA: YARA User's Manual 1.6.pdf

Los componentes se pueden descargar desde aquí: https://code.google.com/p/yara-project/downloads/list

Nota: En cuanto a la escritura, YARA 2.0 está disponible, pero no es compatible con Security Analytics Malware Analysis 10.5.

Instalar bibliotecas y aplicaciones requeridas para crear YARA en un dispositivo basado en CentOS

Como requisito previo de la creación de YARA en un host que ejecuta CentOS, debe instalar make, la recopilación de compilador GNU y la biblioteca de desarrollo de C++ Python en el dispositivo. Para instalar las aplicaciones y bibliotecas que se requieren para crear YARA:

  1. Para asegurarse de que los archivos del repositorio de YUM y no de otros repositorios estén en la carpeta /etc/yum.repos.d, ingrese el siguiente comando:
    ls -al /etc/yum.repos.d
    Los resultados deben ser similares a lo siguiente:
    -rw-r-r-. 1 root root 1926 Jun 26  2012 CentOS-Base.repo
    -rw-r-r-. 1 root root  637 Jun 26  2012 CentOS-Debuginfo.repo
    -rw-r-r-. 1 root root  626 Jun 26  2012 CentOS-Media.repo
    -rw-r-r-. 1 root root 2593 Jun 26  2012 CentOS-Vault.repo
  2. Para instalar make en el dispositivo, ingrese los siguientes comandos:
    1. yum search make
      Se obtuvo el siguiente mensaje: make.x86_64 : A GNU tool which simplifies the build process for user
    2. yum install make.x86_64
  3. Para instalar y probar GCC en el host, ingrese los siguientes comandos:
    1. yum search gcc
      Se mostrarán los siguientes mensajes:
      gcc-c+.x86_64 : C+ support for GCC
      gcc.x86_64 : Various compilers (C, C++, Objective-C, Java, ...)
    2. Ingrese los siguientes comandos:
      yum install gcc.x86_64
      yum install gcc-c++.x86_64
    3. Para probar los comandos gcc, ingrese los siguientes comandos:
      gcc -v
      cc -v
  4. Para instalar la biblioteca de desarrollo de C++ Python en el dispositivo, ingrese los siguientes comandos:
    1. yum search python dev
      Se obtuvo el siguiente mensaje:
      python-devel.x86_64 : The libraries and header files needed for Python development
    2. yum install python-devel.x86_64

Configuración de Yara

Para crear una biblioteca de desarrollo de C++ Python y GCC en la cual pueda crear YARA en el host de Security Analytics que ejecuta Malware Analysis:

  1. Realice una de las siguientes acciones
    1. Si el host en el cual realiza la instalación ejecuta Mac OS, instale xCode para Mac OS.
    2. Si el host en el cual realiza la instalación ejecuta CentOS, instale make, GCC y la biblioteca de desarrollo de C++ Python mediante la línea de comandos de YUM.
  2. Para instalar la biblioteca de PCRE en el host, abra una ventana terminal e ingrese los siguientes comandos:
    tar -xvf pcre-8.33.tar.bz2
    cd pcre-8.33
    ./configure
    make
    sudo make install
  3. Para instalar la línea de comandos de YARA independiente, ingrese los siguientes comandos:
    tar -xvf yara-1.7.tar
    cd yara-1.7
    ./configure
    make
    sudo make install
  4. Para probar la línea de comandos de YARA independiente:
    1. Escriba el siguiente comando:
      yara
    2. Si el comando es exitoso, continúe con el paso 7. Si el comando falla y devuelve el error yara: error while loading shared libraries: libpcre.so.1: cannot open shared object file: No such file or directory, escriba el siguiente comando para comprobar el archivo /etc/ld.so.conf o la variable de ambiente LD_LIBRARY_PATH.
      ldconfig -v
  5. Para instalar la extensión de YARA para Python, ingrese los siguientes comandos:
    tar -xvf yara-python-1.7.tar.gz
    cd yara-python-1.7
    python setup.py build
    sudo python setup.py install
  6. Para probar la extensión de YARA:
    1. Ingrese el siguiente comando: python
    2. En el indicador Python (>>>), ingrese los siguientes comandos:
      import yara
      exit()

Cuando esta configuración esté completa, los analistas pueden crear IOC personalizados de YARA para su consumo en un host de Malware Analysis, como se describe en “Implementar contenido personalizado de YARA” en la Guía de Investigation y Malware Analysis

You are here
Table of Contents > Procedimientos adicionales > Activar contenido personalizado de YARA

Attachments

    Outcomes