MA: Aktivieren von angepassten YARA-Inhalten

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on May 14, 2018
Version 2Show Document
  • View in full screen mode
 

In diesem Thema erhalten Sie Anweisungen zum Aktivieren von angepassten YARA-Inhalten auf dem NetWitness Suite-Host, auf dem der Malware Analysis-Service installiert ist. Zusätzlich zu den integrierten Indikatoren für eine Infizierung unterstützt Malware Analysis auch in YARA geschriebene Indikatoren für eine Infizierung. YARA ist eine Regelsprache, die es Schadsoftware-Forschern erlaubt, Muster von Schadsoftware zu identifizieren und zu klassifizieren. RSA stellt integrierte YARA-basierte IOCs (Indicators of Compromise) in RSA Live zur Verfügung; diese werden automatisch heruntergeladen und auf abonnierten Appliances aktiviert.

Kunden mit fortgeschrittenen Fähigkeiten und Kenntnissen können die Erkennungsfunktionen von RSA Malware Analysis erweitern, indem sie YARA-Regeln erstellen und sie in RSA Live veröffentlichen, oder YARA-Regeln in einen beobachteten Ordner stellen, zur Verarbeitung durch die Appliance. Dieser Abschnitt enthält Anweisungen für den Administrator, der Appliances konfiguriert, um die Erstellung von angepassten YARA-Inhalten zu aktivieren.

Voraussetzungen

Hierbei handelt es sich um eine erweiterte Konfigurationsaufgabe, die ausreichende Berechtigungen und Kenntnisse erfordert, um zur Erstellung von YARA eine GNU Compiler Collection (GCC) und C++ Python-Entwicklungsbibliothek einzurichten. Außerdem müssen Sie mit der Standard-YARA-Dokumentaktion sehr vertraut sein. Die folgenden Komponenten sind erforderlich:

  • die Perl-Compatible Regular Expression (PCRE)-Bibliothek: pcre-8.33.tar.bz2
  • die Yara 1.7 (Rev:167) eigenständige YARA-Befehlszeile: yara-1.7.tar
  • die YARA-Erweiterung für Python: yara-python-1.7.tar.gz
  • YARA-Regeldokumentation: YARA-Benutzerhandbuch 1.6.pdf

Die Komponenten stehen hier zum Download zur Verfügung: https://code.google.com/p/yara-project/downloads/list

Hinweis: Zum Zeitpunkt der Erstellung dieses Dokuments war YARA 2.0 bereits verfügbar, wurde aber noch nicht von Malware Analysis 10.5 unterstützt.

Installieren von Bibliotheken und Anwendungen, die zum Erstellen von YARA auf einer CentOs-basierten Appliance erforderlich sind

Als Voraussetzung zum Erstellen von YARA auf einem Host, auf dem CentOS ausgeführt wird, müssen Sie make, die GNU Compiler Collection und die C++ Python-Entwicklungsbibliothek auf der Appliance installieren. So installieren Sie die Anwendungen und Bibliotheken, die zum Erstellen von YARA erforderlich sind:

  1. Um sicherzustellen, dass der Ordner „/etc/yum.repos.d“ nur die Standard-YUM-Repo-Dateien und keine anderen Repo-Dateien enthält, geben Sie den folgenden Befehl ein:
    ls -al /etc/yum.repos.d
    Die Ergebnisse sollten ähnlich wie folgende aussehen:
    -rw-r-r-. 1 root root 1926 Jun 26  2012 CentOS-Base.repo
    -rw-r-r-. 1 root root  637 Jun 26  2012 CentOS-Debuginfo.repo
    -rw-r-r-. 1 root root  626 Jun 26  2012 CentOS-Media.repo
    -rw-r-r-. 1 root root 2593 Jun 26  2012 CentOS-Vault.repo
  2. Geben Sie zum Installieren von make auf der Appliance die folgenden Befehle ein:
    1. yum search make
      Die folgende Meldung wird zurückgegeben: make.x86_64 : A GNU tool which simplifies the build process for user
    2. yum install make.x86_64
  3. Geben Sie zum Installieren und Testen von GCC auf der Appliance die folgenden Befehle ein:
    1. yum search gcc
      Daraufhin werden die folgenden Meldungen angezeigt:
      gcc-c+.x86_64 : C+ support for GCC
      gcc.x86_64 : Various compilers (C, C++, Objective-C, Java, ...)
    2. Geben Sie die folgenden Befehle ein:
      yum install gcc.x86_64
      yum install gcc-c++.x86_64
    3. Zum Testen der GCC-Befehle geben Sie die folgenden Befehle ein:
      gcc -v
      cc -v
  4. Zum Installieren der C++ Python-Entwicklungsbibliothek auf der Appliance geben Sie die folgenden Befehle ein:
    1. yum search python dev
      Die folgende Meldung wird zurückgegeben:
      python-devel.x86_64 : The libraries and header files needed for Python development
    2. yum install python-devel.x86_64

Einrichten von Yara

So erstellen Sie eine GCC- und C++ Python-Entwicklungsbibliothek auf dem NetWitness Suite-Host, auf dem Malware Analysis ausgeführt wird, um dort YARA zu erstellen:

  1. Führen Sie einen der folgenden Schritte aus:
    1. Wenn auf dem Host, auf dem Sie die Installation durchführen, Mac OS ausgeführt wird, installieren Sie xCode für Mac OS.
    2. Wenn auf dem Host, auf dem Sie die Installation durchführen, CentOS ausgeführt wird, installieren Sie make, GCC- und C++ Python-Entwicklungsbibliothek mithilfe der YUM-Befehlszeile.
  2. Öffnen Sie zum Installieren der PCRE-Bibliothek auf dem Host ein Terminalfenster und geben Sie die folgenden Befehle ein:
    tar -xvf pcre-8.33.tar.bz2
    cd pcre-8.33
    ./configure
    make
    sudo make install
  3. Zum Installieren der eigenständigen YARA-Befehlszeile geben Sie die folgenden Befehle ein:
    tar -xvf yara-1.7.tar
    cd yara-1.7
    ./configure
    make
    sudo make install
  4. So testen Sie die eigenständige YARA-Befehlszeile:
    1. Geben Sie den folgenden Befehl ein:
      yara
    2. Wenn der Befehl erfolgreich ausgeführt wird, fahren Sie fort mit Schritt 7. Wenn der Befehl fehlschlägt und den Fehler yara: error while loading shared libraries: libpcre.so.1: cannot open shared object file: No such file or directory zurückgibt, geben Sie den folgenden Befehl ein, um die Datei /etc/ld.so.conf oder die Umgebungsvariable LD_LIBRARY_PATH zu prüfen.
      ldconfig -v
  5. Zum Installieren der YARA-Erweiterung für Python geben Sie die folgenden Befehle ein:
    tar -xvf yara-python-1.7.tar.gz
    cd yara-python-1.7
    python setup.py build
    sudo python setup.py install
  6. So testen Sie die YARA-Erweiterung:
    1. Geben Sie den folgenden Befehl ein: python
    2. Geben Sie an der Python-Eingabeaufforderung (>>>) die folgenden Befehle ein:
      import yara
      exit()

Nach dem Abschluss dieser Konfiguration können Analysten angepasste YARA-IOCs zur Verarbeitung auf einem Malware Analysis-Host erstellen, wie unter „Implementieren von angepassten YARA-Inhalten“ im Leitfaden zu Investigation und Malware Analysis beschrieben.

You are here
Table of Contents > Zusätzliche Verfahren zur Konfiguration von Malware Analysis > Aktivieren von angepassten YARA-Inhalten

Attachments

    Outcomes