Mi is az a „threat hunting” avagy fenyegetésvadászat? Egy napjainkban kialakult új informatikai biztonsági terület, mely során az infrastruktúrát érő rosszindulatú tevékenységeket azonosítják és próbálják nyomon követni.
Eme specializáció célja, hogy megpróbáljanak lépést tartani a fenyegetésekkel és megelőzni azok bekövetkezését. Ennek támogatására fejlesztették ki a YARA leírónyelvet és alkalmazást, mely különféle mintázatok keresésével segíti a rosszindulatú kódok megtalálását. Rendkívül sok alkalmazás és cég támogatja, mint például:
- AlienVault
- Blue Coat
- ESET
- Symantec
- Carbon Black
A malware-elemzők, fenyegetésvadászok, elsődleges eszközei a „sandbox” és „honeypot” néven ismert technológiák, melyek képesek arra, hogy a rosszindulatú kódot úgy detonálják, hogy ezzel nem okoznak kárt az infrastruktúrában, viszont információhoz jussanak az alkalmazás működésével és viselkedésével kapcsolatban. Ezen információkat aztán föl lehet használni YARA szabályok készítéséhez, mely segítségével lehetővé válik a különféle fenyegetések, malware-ek gyors és hatékony földerítése.
Ha valahol „.yar” kiterjesztésű fájlal találkozunk, azok tartalmazzák a YARA-hoz tartozó szabályokat, ami a kártékony minták felderítéséhez, azonosításához és kategorizálásához használható. Ezek egy speciális szintaxist alkalmaznak a rendszerbeli eltérő tevékenységeket jelző attribútumok leírására. Ha egy ilyen szabály teljesül akkor az nagy eséllyel egy fertőzést jelez és az elemzőnek további vizsgálatokat kell elvégeznie. A YARA segítségével szöveges vagy bináris mintákon alapuló leírások készíthetők, ezek halmazokból és logikai kifejezésekből állnak.
Read more
