[[440307]]

【51CTO.com快譯】本文介紹如何編寫YARA規則以充分利用它。

使用空模板開始入手

YARA規則是文本文件，遵循基本但強大的語法。

YARA規則包含三部分：

• 元部分：這部分包含未處理但幫助用戶了解內容的一般或特定的信息。
• 字符串部分：這部分包含需要在文件中搜索的所有字符串。
• 條件部分：這部分定義匹配的條件。它可以只匹配一個或多個字符串，但也可以較復雜，我們會在文章后面看到。

我強烈建議創建一個空模板，您將始終用它來開始編寫新規則。這樣，您只需填充幾個可變內容，添加所需的條件。

rule samplerule 
{ 
meta: 
author="Cedric Pernet" 
version="0.1" 
date="2021/05/12" 
reference="any useful reference" 
strings: 
condition: 
} 

使用該模板，您可以快速編輯元數據和規則名稱(本例中名為samplerule)。元數據可以是用戶想要放在那里的任何東西。我總是使用版本號、日期、可能是惡意軟件哈希的引用或提及我想要檢測的內容的博客報告以及作者字段。

現在元數據已寫好，不妨開始編寫第一個規則。

第一個規則

YARA規則結合了字符串元素和條件。字符串可以是文本字符串、十六進制字符串或正則表達式。

條件是布爾表達式，就像在其他編程語言中一樣。最有名的條件是AND、OR和NOT。 也可以使用關系、算術和按位運算符。

這是第一個規則：

rule netcat_detection 
{ 
meta: 
author="Cedric Pernet" 
version="0.1" 
date="2021/05/12" 
reference="netcat is a free tool available freely online" 
strings: 
$str1="gethostpoop fuxored" // this is very specific to the netcat tool 
$str2="nc -l -p port [options]" 
condition: 
$str1 or $str2 
} 

不妨解釋這個名為netcat_detection的規則。

在我們通常的元數據之后，字符串部分包含兩個變量：str1和str2，當然可以按我們的喜好來命名。此外為了說明如何添加注釋，第一個變量在末尾含有一個注釋。

條件部分包含以下條件：必須匹配str1或str2。

這可以用更舒適的方式來編寫：

condition: 
 
any of ($str*) 

如果我們有很多不同的變量，只想匹配其中任何一個，這很有用。

運行第一個規則

現在不妨運行規則，我們將其保存為名為rule1.yar的文件。我們想針對包含多個不同文件的文件夾運行它，其中兩個是netcat軟件的32位和64位版本(圖A)。我們用于測試的系統是Ubuntu Linux發行版，但這沒關系，因為Yara可以輕松安裝在Linux、Mac或Windows操作系統上。

圖A. 在文件夾上運行YARA規則以檢測特定軟件

不出所料，YARA運行并返回匹配規則的所有文件的名稱。

當然，您可以將任意數量的YARA規則放在一個文件中，這比擁有許多不同的規則文件更方便。

使用-s選項運行YARA可顯示與這些文件匹配的確切字符串(圖 B)：

圖B. 使用-s選項運行YARA以顯示匹配的字符串

附帶說明一下，在公司網絡中的某個地方找到像netcat這樣的工具確實值得研究：普通用戶計算機上應該找不到這個基本工具，因為它允許計算機在特定端口上連接和交換數據，可能被攻擊者所使用。當然，它也可能被IT人員或紅隊人員使用，因此調查一番，以確定為什么在公司網絡的機器上發現它。

較復雜的字符串

匹配基本字符串足以在系統中查找文件。然而，字符串在不同系統上的編碼方式可能不同，或者可能被攻擊者輕微觸發。比如說，一個細微的變化可以改變使用隨機大小寫的字符串的大小寫。幸運的是，YARA可以輕松處理這個問題。

在下面的YARA字符串部分，字符串無論使用什么大小寫都會匹配：

strings: 
$str1="thisisit" nocase 

條件$str1現在與使用的任何大小寫匹配："ThisIsIt"、"THISISIT"、"thisisit"和"ThIsIsiT"等。

如果字符串使用每個字符兩個字節來編碼，可以使用“wide”修改符，當然可以彼此結合。

strings: 
$str1="thisisit" nocase wide 

想搜索ASCII和寬格式的字符串，修改符“ascii”可與wide結合使用。

strings: 
$str1="thisisit" ascii wide 

十六進制字符串

十六進制字符串可輕松使用：

strings: 
$str1={ 75 72 65 6C 6E 20 } 
$str2={ 75 72 65 6C ?? 20 } 
$str3={ 75 72 [2-4] 65 6C } 

這是三個不同的十六進制變量。第一個搜索十六進制字符串上的精確序列。第二個使用兩個?字符表示的通配符，將搜索任何十六進制值的帶有??的字符串。

第三個字符串搜索前兩個字節，然后跳過兩到四個字符，最后是最后兩個字節。某些序列在不同文件中不一樣、但在兩個已知序列之間顯示可預測數量的隨機字節時，這非常方便。

正則表達式

就像在任何編程語言中一樣，正則表達式對于檢測可以用不同方式編寫的特定內容非常有用。在YARA中，它們通過使用以斜杠(/) 字符開頭和結尾的字符串來定義。

不妨舉一個有意義的例子。

在惡意軟件二進制文件中，開發人員留下了調試信息，尤其是著名的PDB字符串。

內容如下：

D:\workspace\Malware_v42\Release\malw.pdb 

現在的想法是不僅要創建一個與該惡意軟件匹配的規則，還要創建它的所有不同版本，以防版本號發生變化。此外，我們決定從規則中排除“D”驅動器，因為開發人員也可能將它放在另一個驅動器上。

我們給出了正則表達式(圖C)：

圖C. 根據其PDB字符串和結果，匹配惡意軟所有版本的規則

出于演示目的，我們構建了一個名為newmalwareversion.exe的文件，包含三個不同的PDB字符串，每個字符串都有不同的版本號。我們的規則與它們全部匹配。

請注意，我們字符串中的\字符已加倍，因為\是需要轉義的特殊字符，就像在C語言中一樣。

較復雜的條件

條件可能比僅匹配單個或多個字符串來得更智能。您可以使用條件來計算字符串、指定要查找字符串的偏移量、匹配文件大小甚至使用循環。

以下是我加注釋以解釋的幾個示例：

condition: 
2 of ($str*) // will match on 2 of several strings named str followed by a number 
($str1 or $str2) and ($text1 or $text2) // example of Boolean operators 
#a == 4 and #b > 6 // string a needs to be found exactly four times and string b needs to be found strictly more than six times 
$str at 100 // string str needs to be located within the file at offset 100 
$str in (500..filesize) // string str needs to be located between offset 500 and end of file. 
filesize > 500KB // Only files which are more than 500KB big will be considered 

原文標題：How to write YARA rules for improving your security and malware detection，作者：Cedric Pernet

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】