YARA — Détecter des malwares avec des règles

Malware IOC

Syntaxe d'une règle YARA

rule DetecterMalwareX {
  meta:
    description = "Détecte le malware X"
    severity    = "high"
  strings:
    $texte1 = "commande_malveillante" ascii
    $texte2 = "C2_server" wide
    $hexa   = { 4D 5A 90 00 }    // magic bytes PE
    $regex  = /https?:\/\/[a-z]{5}\.ru\// nocase
  condition:
    $hexa at 0 and filesize < 5MB and any of ($texte*)
}

Utilisation

yara regles.yar fichier.exe
yara -r regles.yar /dossier/     # récursif
yara regles.yar -p 1234          # processus en cours

Sources de règles

github.com/Neo23x0/signature-base (Florian Roth) · github.com/Yara-Rules/rules · bazaar.abuse.ch