Top-Fragen
Zeitleiste
Chat
Kontext
YARA
quelloffenes Framework zur Malware-Mustererkennung Aus Wikipedia, der freien Enzyklopädie
Remove ads
YARA, oft auch in der Schreibweise Yara,[2] ist ein von VirusTotal entwickeltes quelloffenes Framework zur Mustererkennung, das die Erforschung von Schadprogrammen erleichtern soll. Das Framework wird u. a. von Sicherheitsforschern genutzt und kommt in Antivirenprogrammen zur Anwendung.[3] Realisiert ist das Framework in der Programmiersprache C und es gibt Anbindungen an andere Programmiersprachen, womit YARA u. a. auch als Python-Bibliothek geladen und genutzt werden kann.
Nach Angaben des Entwicklers Victor M. Alvarez von VirusTotal steht YARA entweder als Backronym für YARA: Another Recursive Ancronym oder für Yet Another Ridiculous Acronym, übersetzt ins Deutsche: „(YARA:) Ein weiteres rekursives bzw. lächerliches Akronym“.
Remove ads
Beschreibungsregeln
Das Yara-Framework implementiert die Suche nach Mustern, die in Form von einfachen Regeln definiert werden können.
rule YaraArticle {
strings:
$a = "Wikipedia"
$b = "wiki"
$c = "YARA"
condition:
all of them
}
Diese Regel, hier YaraArticle getauft, sucht nach den drei Zeichenketten „Wikipedia“, „wiki“ und „YARA“. In gleicher Weise lässt sich mit dem Framework nach Malware suchen, da das Framework neben Text auch binäre Muster unterstützt.
Dies erlaubt es jedem, seine eigenen Regeln zu erstellen und damit, im Kontext von Virenscannern, eigene Signaturen zu erstellen. Beim quelloffenen ClamAV reicht es etwa, eigene Yara-Regeln als Dateien in den Signatur-Ordner zu kopieren – ClamAV identifiziert fortan der Regel entsprechende Dateien ebenfalls als Malware.[2]
Remove ads
Kritik
Obwohl YARA in zahlreichen Programmen eingebaut ist und damit über Yara-Regeln Malware erkannt werden soll, sind diese letztlich nichts anderes als reguläre Ausdrücke und somit auch nicht gegen polymorphe Angreifer, u. a. gegen polymorphe Phishingattacken, wirksam.[5]
Einzelnachweise
Wikiwand - on
Seamless Wikipedia browsing. On steroids.
Remove ads