Merhaba Blue Team ailesi. Sizlere YARA ile malware analizi rule yazmayı götereceğim.
YARA NEDİR ?
YARA, "Yet Another Recursive Acronym" (Bir Başka Yinelemeli Kısaltma) ifadesinin baş harflerinden oluşan bir akr onimdir. YARA, zararlıları (malware) tanımlamak ve analiz etmek için kullanılan bir desen eşleştirme aracıdır. YARA, genel olarak siber güvenlik uzmanları gibi güvenlik uzmanları tarafından kullanılır.
YARA'nın temel amacı, belirli bir tehdit ailesini veya zararlı örneğini tanımlamak için desen tabanlı kurallar oluşturmaktadır. Bu kurallar, zararlıların belirli davranışlarını, dosya içeriğini veya diğer karakteristik özelliklerini tanımlayan dize desenlerini içerir. YARA, bu desenleri kullanarak dosyaları veya bellek bölgesini tarar ve kurallarla eşleşen herhangi bir içeriği tespit eder. YARA; hızlı, esnek ve etkili bir araçtır. Ayrıca genişletilebilir bir dil yapısına sahiptir.
YARA İNDİRME VE KURULUMU
Windows İçin;
Öncelikle Emotet Malware'i kısaca tanımlamak gerekirse, Kendisi genel olarak sahte mail mesajları aracılığı ile yayılır. Bu postalar genelde duygusal ve çekici mesajlardan oluşur. Kullanıcılar bu postayı açtıktan sonra zararlı makineye bulaşır. Güvenlik zaafiyetleri ve sistem güvenlik açıklarında da görülebilir.
Öncelikle terminalimizden bir rule oluşturuyoruz;
Bu rule, dosya adında "invoice" kelimesini içeren ve ".doc" uzantısına sahip dosyaları "Emotet" zararlı olarak işaretler.
şimdi nasıl analiz yapacağımıza göz atalım;
Yürütülebilir dosyamızın bulunduğu dizine gidip YARA'yı kullanarak rule'mizi çalıştırıyoruz.
YARA NEDİR ?
YARA, "Yet Another Recursive Acronym" (Bir Başka Yinelemeli Kısaltma) ifadesinin baş harflerinden oluşan bir akr onimdir. YARA, zararlıları (malware) tanımlamak ve analiz etmek için kullanılan bir desen eşleştirme aracıdır. YARA, genel olarak siber güvenlik uzmanları gibi güvenlik uzmanları tarafından kullanılır.
YARA'nın temel amacı, belirli bir tehdit ailesini veya zararlı örneğini tanımlamak için desen tabanlı kurallar oluşturmaktadır. Bu kurallar, zararlıların belirli davranışlarını, dosya içeriğini veya diğer karakteristik özelliklerini tanımlayan dize desenlerini içerir. YARA, bu desenleri kullanarak dosyaları veya bellek bölgesini tarar ve kurallarla eşleşen herhangi bir içeriği tespit eder. YARA; hızlı, esnek ve etkili bir araçtır. Ayrıca genişletilebilir bir dil yapısına sahiptir.
YARA İNDİRME VE KURULUMU
Windows İçin;
- YARA'nın Windows sürümünü şimdi vereceğim linkten inidrebilirsiniz; YARA-Download_for_windows
- İndirdiğiniz dosyayı bir klasöre çıkarıp bu klasördeki yara64.exe uygulamasını çalıştırarak YARA'yı kullanmaya başlayabilirsiniz.
Linux İçin;
Kod:
sudo apt-get update
sudo apt-get install yara
Bu komutlarla makina, size en son YARA'yı indirip kurucaktır.
YARA KULLANIM VE MALWARE ANALİZİ
Örnek olarak elimize "Emotet" adlı zararlıyla YARA rulesi oluşturup analizini yapmayı öğrenelim.
YARA KULLANIM VE MALWARE ANALİZİ
Örnek olarak elimize "Emotet" adlı zararlıyla YARA rulesi oluşturup analizini yapmayı öğrenelim.
Öncelikle Emotet Malware'i kısaca tanımlamak gerekirse, Kendisi genel olarak sahte mail mesajları aracılığı ile yayılır. Bu postalar genelde duygusal ve çekici mesajlardan oluşur. Kullanıcılar bu postayı açtıktan sonra zararlı makineye bulaşır. Güvenlik zaafiyetleri ve sistem güvenlik açıklarında da görülebilir.
Öncelikle terminalimizden bir rule oluşturuyoruz;
Kod:
nano detect_emotet.yar
Şimdi ise bu zararlıya karşı rule yazalım. Bunun için Emotet'in bilinen karakteristiği olan dosya adlarına odaklanıyoruz;
Kod:
rule Detect_Emotet {
meta:
description = "Emotet kötü amaçlı yazılım tespit kuralı"
author = "Insomnia"
date = "12.02.2024"
strings:
$emotet_filename = "invoice" nocase wide ascii
$emotet_extension = ".doc" nocase wide ascii
condition:
$emotet_filename and $emotet_extension
}
Bu rule, dosya adında "invoice" kelimesini içeren ve ".doc" uzantısına sahip dosyaları "Emotet" zararlı olarak işaretler.
şimdi nasıl analiz yapacağımıza göz atalım;
Yürütülebilir dosyamızın bulunduğu dizine gidip YARA'yı kullanarak rule'mizi çalıştırıyoruz.
Kod:
yara.exe detect_emotet.yar C:\path\to\file
Bu komut, belirtilen dosyaları tarar ve YARA kuralına uygun sonuç verir. Sonuç olarak da YARA, kurala uyan herhangi bir içerik bulduğunda terminalde görüntüler. Sonuçları inceleyerek kurala uyan dosyaları ve bu dosyalara ilişkin bilgileri analiz edebiliriz.
Bugün sizlerle YARA ile malware analizi ve YARA rule yazmayı gördük. Umarım bu konu yardımcı olmuştur, okuduğunuz için teşekkürler.WİNTERSOLDIER1903
Türk milletinin karakter ve adetlerine en uygun olan idare, cumhuriyet idaresidir.
Türk milletinin karakter ve adetlerine en uygun olan idare, cumhuriyet idaresidir.