当前位置：首页 > news >正文

网络威胁情报 | Yara

news 来源：原创 2025/7/28 2:00:40

Yara 是一个在威胁情报、数字取证和威胁猎取方面较为常用的语言。本文并非是Yara语言的教程，更多的是希望可以让大家知道这个语言的神奇之处及其在当今信息安全领域的重要性。

Yara 是什么？

“恶意软件研究人员（以及其他所有人）的模式匹配瑞士军刀”——VirusTotal

Yara 可以根据二进制和文本模式（如文件中的十六进制和字符串）来识别信息，而 Yara rules 用于标记这些模式。我们经常需要编写 Yara rules 来根据文件的特征或模式来判断文件是否具有恶意。

字符串是编程语言的基本组成部分，应用程序会使用字符串来存储文本等数据，恶意软件也不例外。比如下图所示，一些恶意软件会在字符串中存储数据，因此利用 Yara rules 识别出恶意软件成为可能。

在这里插入图片描述

第一条 Yara rule

Yara 编写 rules 的语言非常好上手，但是很难掌握，这是因为一个 rule 的有效性取决于你对要搜索的模式的掌握程度。

要想使用一个 Yara rule 进行分析，可以通过下面的命令：

yara [yara rule 文件] [文件、目录名字或进程ID]

下面是一个 Yara rule 的使用示例。

创建一个文件，名为 somefile，这个作为要被匹配的文件。
创建一个 Yara rule，名为 myfirstrule.yar，这个作为要使用的 Yara rule，具体内容如下所示：
```
rule examplerule {condition:true
}
```
利用 Yara rule。得到如下结果，这结果表示模式匹配成功：

这一个 Yara rule 的“条件”是恒成立的，只要存在文件就会匹配成功。当然实际中并不会有这样简单的匹配，这一部分旨在展示 Yara rule 的结构。

走进 Yara rules

实际上除了“条件”，Yara rules 还拥有其他内容。整个 Yara rule 体可以被分为以下几个内容：

Strings

前文讲到我们可以利用字符串或十六进制来匹配模式，比如现在我们想利用 Yara rule 搜索一个目录内的文件是否包含 “Hello, World!” 字符串，就可以这样编写：

rule helloworld_checker{strings:$hello_world = "Hello, World!"condition:$hello_world
}

上面的规则中，我们将 “Hello, World!” 这一字符串赋给 $hello_world 变量，并使该变量作为“条件”。若文件中存在该字符串，则匹配成功。

然而上面这条 rule 只限于匹配 “Hello, World!” 字符串，假如字符串发生变形，比如 “hello world” 或 “HELLO WORLD”，这条 rule 就无法匹配到了。为了解决这个问题，可以编写如下 rule：

rule helloworld_checker_v2{strings:$hello_world = "Hello, World!"$hello_world_uppercase = "HELLO WORLD"$hello_world_lowercase = "hello world"condition:any of them
}

在此处，“条件”为 any of them ，这表示只要匹配中其中某一条字符串就可以匹配成功。

Condition（条件）

前文使用过true和any of them条件，在实际使用中还有许多的“条件”表达，具体可以阅读Writing YARA rules。在本部分简单讲讲部分表达。

比较符

在“条件”中可以使用 <=、>=、!= 符号，使用示例如下：

rule helloworld_checker_compare{strings:$hello_world = "Hello World!"condition:#hello_world <= 10
}

此处的 #hello_world表示文件中出现$hello_world字符串的次数，因此该 rule 会视$hello_world字符串出现不多于10次的文件为匹配成功。

连接关键字

还可以使用

来连接多条“条件”，示例如下：

rule helloworld_checker{strings:$hello_world = "Hello World!" condition:$hello_world and filesize < 10KB 
}

该 rule 表示当两个“条件”都符合时，规则才会匹配。

关于 Yara rule 的概括，推上有个大佬画了一幅图做了介绍，非常清晰明了：

在这里插入图片描述

Yara 与其他模块合作

Cuckoo sandbox 和 Python的PE模块可以帮助我们的 Yara rules 的效率大大提高。

Cuckoo sandbox

这是一个自动的恶意软件分析环境。由于该环境会执行恶意软件，因此可以根据软件运行时的字符串等特定行为来创建 Yara rule。

Python PE

Python 的 PE 模块用于解析Windows可执行文件（PE格式），并提取其结构信息。检查 PE 文件的内容是恶意软件分析中的一项基本技术，因为无需逆向或执行样本就可以在很大程度上识别出加密或蠕虫等行为。而Python 的 PE 模块提取出的内容也可以辅助构建 Yara rule。

Yara 工具

知晓 Yara rule的编写规范是很有用的，不过幸运的是，现在有大量的资源和开源工具可以让我们快速地利用 Yara 进行分析，而不需要我们从头开始编写一个新的 Yara rule。接下来就介绍几款工具。

LOKI

由 Florian Roth 创建和编写的免费开源 IOC（Indicator of Compromise，入侵指标）扫描器。

链接：GitHub - Neo23x0/Loki: Loki - Simple IOC and YARA Scanner

该工具可以通过四种方法扫描到 IOC：

文件名
Yara rules
哈希值
C2 back connect

THOR

还是 Florian Roth编写的，用于多平台的 IOC 和 Yara 扫描器。

链接：THOR Lite: Free Multi-Platform IOC and YARA Scanner - Nextron Systems

社区版名为 Thor Lite；THOR 是面向企业客户的。

FENRIR

又是他，Florian Roth，编写的一个简单 IOC 扫描器 Bash 脚本。

链接：GitHub - Neo23x0/Fenrir: Simple Bash IOC Scanner

YAYA

YAYA是一个自动整理开源 Yara rules 并可以对文件进行扫描的工具。它能帮助研究人员管理多个 Yara rules 库。YAYA首先会导入一组高质量的 Yara rules，然后让研究人员添加自己的规则、禁用特定规则集，并可以对文件进行扫描。

链接：GitHub - EFForg/yaya: Yet Another Yara Automaton - Automatically curate open source yara rules and run scans

YarGen

YarGen 是一个 Yara rule 生成器，它的主要原理是根据恶意软件中的字符串创建规则，并同时删除所有出现在良性软件中出现的字符串，以降低误报率。

链接：YarGen

Yara 工具实操

在本节将使用到 LOKI 和 YarGen。

首先启动虚拟机环境，在~/suspicious-files目录下有两个可疑文件，工具则放在了~/tools目录下。

我们先使用LOKI工具，对第一个可疑文件进行分析，命令如下：

cmnatic@thm-yara:~/suspicious-files/file1$ python ../../tools/Loki/loki.py -p .

其中，-p参数表示要扫描的路径。因为现在我们已在可疑文件的所在目录中，因此 .就表示扫描当前目录。扫描结果如下：

在这里插入图片描述

从图中可以得出，LOKI 工具匹配上了webshell_metaslsoft规则，认为该可疑文件是一个 Web Shell，并且可以知道该Web Shell的版本为b374k 2.2

现在，我们继续使用 LOKI 工具扫描第二个可疑文件，但是这次的结果有所不同：

在这里插入图片描述

LOKI 未匹配到规则，认为这是个良性文件，但事实如此吗？查看第二个可疑文件内部，发现这分明就是第一个可疑文件的变种：
在这里插入图片描述

显然，当前LOKI的默认规则库里并没有适配的规则，因此才放过了这条漏网之鱼。所以现在我们需要创建一个Yara rule来使其可以检测出这个 Web Shell。但是，遍历了一下这个文件，足足有4500多行，我们不可能一行行地去寻找字符串特征来编写规则。这时候，YarGen 工具派上用场。

通过输入如下命令，使 YarGen 生成对应的 Yara rule：

cmnatic@thm-yara:~/tools/yarGen$ python3 yarGen.py -m /home/cmnatic/suspicious-files/file2 --excludegood -o /home/cmnatic/suspicious-files/file2.yar

其中，-m参数表示要被生成规则的文件的路径，--excludegood参数表示排除所有出现在良性软件中的字符串，减少误报率，-o 参数表示生成的规则要存放的位置和名字。

这样，一个 Yara rule便生成成功，我们可以先验证一下它的可行性：

在这里插入图片描述

成功对应。接下来就把这个规则拷贝到LOKI工具的规则库中，并再次使用LOKI工具对该文件进行扫描。

在这里插入图片描述

匹配成功！

Valhalla

又双叒叕是 Florian Roth所做，该网站旨在“借助数千条手工制作的高质量 Yara rule的力量，提高您的侦测能力”。

链接：Valhalla

比如我们想在Valhalla上找一找是否已有针对上一部分中第二个恶意文件的 Yara rule，就可以先取该恶意文件的SHA 256哈希值，并进行搜索。

在这里插入图片描述

可以看到，Webshell_b374k_rule1和Webshell_b374k_rule2是更贴合这个恶意软件的，接下来我们可以通过它们的 Reference 和 ViralTotal 界面进行深入了解。

在这里插入图片描述
而在首页，输入了SHA256哈希值和API key（若没有提供会补充默认Key）之后，就可以点击“Get YARA Rules”按钮，这样就会自动下载对应的 Yara 规则。

小结

这一章节了解了 Yara，以及如何编写 Yara 规则，并且知道了一些 Yara 工具的使用以帮助我们进行恶意软件检测。现在可以了解到Yara的强大之处了！

Yara 是什么？

第一条 Yara rule

走进 Yara rules

Meta

Strings

Condition（条件）

比较符

连接关键字

Yara 与其他模块合作

Cuckoo sandbox

Python PE

Yara 工具

LOKI

THOR

FENRIR

YAYA

YarGen

Yara 工具实操

Valhalla

小结

相关文章：