Эффективная охота на macOS-вредоносы: как создавать качественные YARA-правила

Что такое YARA и почему это важно?

YARA (Yet Another Recursive Acronym) - это инструмент для создания правил, которые описывают характеристики вредоносного ПО на основе строк, бинарных последовательностей и других паттернов. С помощью YARA исследователи могут точно классифицировать образцы, сокращая количество ложных срабатываний.

Качественное YARA-правило состоит из трех основных частей:

• Метаданные: информация об авторе, описании, дате создания и ссылках на источники.
• Строки (Strings): уникальные идентификаторы, такие как текстовые строки, шестнадцатеричные последовательности или регулярные выражения.
• Условия (Conditions): логические конструкции, определяющие, при каких условиях правило сработает.

Правило должно быть точным, читаемым и оптимизированным. Например, условие может начинаться с проверки заголовка файла, а заканчиваться исключением легитимного программного обеспечения (goodware).

Автоматические и ручные правила: плюсы и минусы

YARA-правила могут создаваться как вручную аналитиками, так и автоматически с помощью инструментов. Автоматически сгенерированные правила, такие как те, что создает yara-signator, обычно основываются на статических особенностях образца - строках, опкодах, последовательностях байтов. Их главное преимущество - скорость создания, что полезно при работе с большими объемами данных. Однако такие правила уязвимы к обфускации, которую часто применяют злоумышленники.

Ручные правила, напротив, часто включают динамические характеристики, такие как вызовы API, изменения в файловой системе или реестре. Это делает их более устойчивыми к изменениям в коде вредоносного ПО и позволяет обнаруживать новые угрозы. Например, правило от AlienVault Labs для macOS-вредоноса OceanLotus фокусируется на алгоритме XOR-декодирования, который сложнее замаскировать.

Практический пример: охота на Bundlore

Spectra Analyze позволяет исследователям применять YARA-правила к обширной базе образцов ReversingLabs, которая содержит более 422 миллиардов файлов. В качестве примера рассмотрим правило для обнаружения семейства macOS-вредоносов Bundlore, взятое из публичного репозитория Apple XProtect.

Правило включает строки, такие как "OffersInstallScriptUrl", "SoftwareInstallScriptUrl" и "Please wait while your software is being installed…", которые характерны для Bundlore. Однако при запуске ретроспективного поиска (Cloud Retrohunt) в Spectra Analyze было обнаружено всего восемь образцов, датированных восемью-девятью годами назад. Это указывает на то, что используемые в правиле строки устарели и не актуальны для современных версий вредоносного ПО.

Такой результат подчеркивает важность регулярного обновления правил и использования свежих данных для их создания.

Как использовать YARA в Spectra Analyze

Интерфейс Spectra Analyze интуитивно понятен: пользователи могут добавлять правила вручную, загружать файлы или импортировать их из онлайн-источников. Для ретроспективного поиска доступна опция Cloud Retrohunt, которая проверяет исторические данные на соответствие заданным условиям. Это особенно полезно для анализа ранее собранных образцов.

Кроме того, платформа позволяет включать автоматическое сканирование новых файлов, что обеспечивает постоянный мониторинг угроз.

Заключение

YARA остается незаменимым инструментом для охоты на вредоносное ПО, включая угрозы для macOS. Качественные правила должны быть точными, читаемыми и сочетать статические и динамические показатели. Автоматические правила удобны для быстрого реагирования, тогда как ручные - для обнаружения сложных и новых угроз.

Для достижения наилучших результатов рекомендуется комбинировать оба подхода - использовать автоматически сгенерированные правила для массового анализа и ручные - для целевой охоты на сложные угрозы.