Investigate: Implementar contenido personalizado de YARA

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 24, 2018
Version 3Show Document
  • View in full screen mode
 

Además de los indicadores de riesgo incorporados, Malware Analysis es compatible con indicadores de riesgo escritos en YARA. YARA es un lenguaje de reglas que permite a los investigadores de malware identificar y clasificar muestras de malware. En RSA Live están disponibles indicadores de riesgo (IOC) basados en YARA incorporados; estos se descargan y se habilitan automáticamente en hosts suscritos.

Los clientes con habilidades y conocimientos avanzados pueden agregar funcionalidades de detección a RSA Malware Analysis mediante la creación de reglas YARA y su publicación en RSA Live o la colocación de estas reglas en una carpeta inspeccionada para consumo del host.

A medida que el malware y el panorama de amenazas evolucionan, es importante revisar y examinar las reglas personalizadas existentes. A menudo se requieren actualizaciones para incorporar nuevos métodos de detección. RSA también actualiza ocasionalmente las reglas YARA en Live. Para recibir actualizaciones, puede suscribirse al blog de RSA y a RSA Live en http://blogs.rsa.com/feed.

En este documento se proporciona información para ayudar a los clientes a implementar reglas personalizadas de YARA en Malware Analysis.

Requisitos previos

El host en el cual está agregando reglas personalizadas debe estar configurado para ser compatible con la creación de reglas YARA, como se describe en “Habilitar contenido personalizado de YARA” en la Guía de configuración de Malware Analysis.

Versión y recursos de YARA

RSA Malware Analysis viene empaquetado con YARA versión 1.7 (rev.: 167). Para descubrir la versión exacta, puede ejecutar yara -v en el host de Malware Analysis, como se muestra en este ejemplo:

[root@TESTHOST yara] # yara -v
yara 1.7 (rev:167)

Claves de metadatos en las reglas YARA

Malware Analysis es compatible con otros orígenes de reglas YARA y también consume claves de metadatos adicionales que son específicas de Malware Analysis. Cada regla YARA es equivalente a un indicador de riesgo (IOC) dentro de Malware Analysis. En el siguiente ejemplo se ilustran las definiciones de metadatos en una regla:
meta:
iocName = "FW.ecodedGenericCLSID"
        fileType = "WINDOWS_PE"
        score = 25
        ceiling = 100
        highConfidence = false

                               
Clave de metadatosDescripción
iocName(Requerido) Este es el nombre que usa MA como nombre de la regla. Es específico de Malware Analysis y se requiere para agregar la regla a la lista de IOC.
fileTypeEspecifica el tipo de archivo. Los valores posibles son: WINDOWS_PE, MS_OFFICE y PDF. Si no se especifica, el valor predeterminado es WINDOWS_PE.
puntajeEste valor se agrega al puntaje estático si se activa la regla YARA. Si no se especifica, el valor predeterminado es 10.
ceilingEsta es la cantidad máxima que se agrega a los puntajes estáticos cuando una regla se activa varias veces en una sesión. Por ejemplo, si cada vez que se activa una regla se agregan 20 puntos al puntaje estático y no se desea que se agreguen más de 40 puntos cuando la regla se activa más de dos veces, se puede especificar un límite de 40. Si no se especifica, el valor predeterminado es 100.
highConfidenceEsto configura el indicador de Alta confianza, el cual se establece en IOC cuando hay indicadores de alta confianza que delatan la presencia de malware. Si no se especifica, el valor de archivo predeterminado es false.

Note: Consulte la siguiente URL para los recursos YARA: https://code.google.com/p/yara-project/downloads/list. NetWitness Suite usa YARA 1.7, no YARA 2.0.

Contenido de YARA

RSA Live incluye tres conjuntos de reglas Yara:

  • PE Packers
  • PDF Artifacts
  • PE Artifacts

En la siguiente figura se ilustra el contenido de YARA disponible como reglas YARA en NetWitness Suite Live.

LiveLU.png

En el host de Malware Analysis, las reglas YARA residen en /var/lib/rsamalware/spectrum/yara, como se muestra en el siguiente ejemplo.

[root@TESTHOST yara]# pwd
/var/lib/rsamalware/spectrum/yara
[root@TESTHOST yara]# ls *.yara
rsa_mw_pdf_artifacts.yara rsa_mw_pe_artifacts.yara rsa_mw_pe_packers.yara


Las reglas individuales se muestran como IOC en la vista Configuración del servicio Malware Analysis > pestaña Indicadores de riesgo. Para verlas, use el módulo Yara como filtro. Puede ajustar la configuración de una regla de la misma manera que configura otros IOC.

Yara and IOC.png

Agregar reglas YARA personalizadas

Para presentar reglas YARA personalizadas desde otros orígenes:

  1. Para asegurarse de que las reglas YARA sigan la sintaxis y el formato correctos, use el comando YARA con el fin de compilar la regla YARA como se muestra en el siguiente ejemplo. Si la regla YARA se compila sin errores, esto indica que tiene la sintaxis correcta.
    [root@TESTHOST yara]# yara rsa_mw_pe_packers.yara dummy.txt
    [root@TESTHOST yara]#
  2. Asegúrese de que las reglas personalizadas no dupliquen reglas YARA existentes de RSA o de otros orígenes. Todas las reglas YARA se encuentran en /var/lib/rsamalware/spectrum/yara.
  3. Asegúrese de que se incluyan las claves de metadatos compatibles con RSA para organizar las reglas YARA como parte de los IOC configurables y dé al archivo un nombre con la extensión yara (<filename>.yara). Para una mejor organización, asegúrese de que los metadatos iocName se incluyan en la sección de metadatos, como se muestra en el siguiente ejemplo.

    Ejemplo:
    rule HEX_EXAMPLE
    {
         meta:
             author = "RSA"
             info = "HEX Detection"
            iocName = "Hex Example"
         strings:
             $hex1 = { E2 34 A1 C8 23 FB }
             $wide_string = "Ausov" wide ascii
         condition:
             $hex1 or $wide_string
    }

  4. Cuando esté listo, coloque el archivo de YARA personalizado en la carpeta que inspecciona el servicio Malware Analysis:
    /var/lib/rsamalware/spectrum/yara/watch
    El archivo se consume en un minuto.
    Cuando se consume, NetWitness Suite lo transfiere a la carpeta processed y la nueva regla se agrega a la vista Configuración de servicios > pestaña Indicadores de riesgo de Malware Analysis.
You are here
Table of Contents > Realización de un análisis de malware > Implementar contenido personalizado de YARA

Attachments

    Outcomes