İyi günler Türk Hack Team ailesi.
Bugün sizlere Yara tool'undan bahsetmek isterim. Bakalım bu Yara neymiş.
Simdi kısaca YARA tool'unu öğrenelim. YARA, zararlı yazılım analistlerinin kötü amaçlı yazılım örneklerinin tanımlanmasına ve sınıflanmasına yardımcı olan bir araçtır. Ama bununlada sınırlı değil. YARA tool'u ile metinsel veya ikili kalıplara dayalı olarak kötü amaçlı yazılım familyalarının açıklamalarını oluşturabillirsiniz. Her tanımlama bir dizi string ve mantıksal ifadekerden oluşur. Bir çok yerde kullanılan bir örneği size gösteriyim.
Bugün sizlere Yara tool'undan bahsetmek isterim. Bakalım bu Yara neymiş.
Simdi kısaca YARA tool'unu öğrenelim. YARA, zararlı yazılım analistlerinin kötü amaçlı yazılım örneklerinin tanımlanmasına ve sınıflanmasına yardımcı olan bir araçtır. Ama bununlada sınırlı değil. YARA tool'u ile metinsel veya ikili kalıplara dayalı olarak kötü amaçlı yazılım familyalarının açıklamalarını oluşturabillirsiniz. Her tanımlama bir dizi string ve mantıksal ifadekerden oluşur. Bir çok yerde kullanılan bir örneği size gösteriyim.
Kod:
rule silent_banker : banker[/B][/SIZE][/COLOR][/CENTER]
[COLOR=rgb(255, 255, 255)][SIZE=5][B][CENTER]{
meta:
description = "This is just an example"
threat_level = 3
in_the_wild = true
strings:
$a = {6A 40 68 00 30 00 00 6A 14 8D 91}
$b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
$c = "UVODFRYSIHLNWPEJXQZAKCBGMT"
condition:
$a or $b or $c
}
Yukardaki kural bize herhangi bir dosyanın yukardki üç karakter dizisinden birini içermesi gerektiğini belirtmektedir.
Yara kullanmanın belirli faydaları bulunmaktadır. Yara kuralları zararlı yazılımları sınıflandırılmasında ve zararlı kodlarının tanımlanmasında kullanıldığını yukarde belirtim. Tespit edilen bir zararlı yazılım hangi familyadan veya hangi hacker grupları daha çok kullandığını öğrenebilliriz. Böyle artı yönleri bulunmaktadır. Bununlada bitmiyor bir zararlı yazılımda kullanılan zafiyetin hakkında bilgi alabilliyor olmamız bize avantaj sağlıyor.
Simdi YARA'nın parametrelerine bakalım.
Yara kullanmanın belirli faydaları bulunmaktadır. Yara kuralları zararlı yazılımları sınıflandırılmasında ve zararlı kodlarının tanımlanmasında kullanıldığını yukarde belirtim. Tespit edilen bir zararlı yazılım hangi familyadan veya hangi hacker grupları daha çok kullandığını öğrenebilliriz. Böyle artı yönleri bulunmaktadır. Bununlada bitmiyor bir zararlı yazılımda kullanılan zafiyetin hakkında bilgi alabilliyor olmamız bize avantaj sağlıyor.
Simdi YARA'nın parametrelerine bakalım.
-t <tag> | tag olarak girmiş olduğumuz kuralı yazmakta. |
-n | Negatif anlamına gelir ve olumsuz olan kuralları yazdırır |
-g | Tagları yazdırır |
-m | Metadataları ekrana yazdırır. |
-s | Kuralda eşlesen stringleri ekrana yazdırır. |
-a <saniye> | Saniye girerek işlemi iptal etmeye yarar. |
-f | Hızlı eşlestirme yapar. |
-r | Tekrarlanan dizinleri arar |
-w | Uyarıları devre dışı bırakmaya yarar |
-v | Yardım kısmını gösterir |
Belirli parametreler bunlar. İşinize yaraması amaçıyla buraya koydum umarım işinize yarar. Simdi Yara kurallı ile Stuxnet analizi yapalım.
Simdi Github'tan indirmiş olduğum kurallı kullanıcağım. Simdi örnek göstermek gerekirse Terminal'e su komutları giriyorum.
Kod:
yara APT_Stuxnet.yar <Karsılaştıracağım dosyayı giriyorum>
İyi günler dilerim