YARA: Herramienta gratuita y de código abierto para detectar y clasificar malware
¿Qué es YARA?
YARA es una herramienta gratuita y de código abierto diseñada para ayudar al personal de seguridad a detectar y clasificar malware, pero no debería limitarse a este único propósito. Las reglas YARA también pueden ayudar a detectar archivos específicos o cualquier contenido que se desee identificar.
YARA se presenta como un archivo binario que se puede ejecutar contra archivos, tomando como argumentos las reglas YARA. Funciona en sistemas operativos Windows, Linux y Mac. También se puede utilizar en scripts de Python mediante la extensión de YARA-python.
Las reglas YARA son archivos de texto que contienen elementos y condiciones que se activan cuando se cumplen ciertos criterios. Estas reglas se pueden ejecutar contra un solo archivo, una carpeta que contiene varios archivos e incluso un sistema de archivos completo.
¿Para qué se puede utilizar YARA?
A continuación, se presentan algunas formas en las que puedes utilizar YARA.
Detección de malware
El principal uso de YARA, y aquel para el cual fue creado en 2008, es la detección de malware. Sin embargo, debes entender que no funciona como un software antivirus tradicional. Mientras que los antivirus generalmente detectan firmas estáticas de unos pocos bytes en archivos binarios o comportamiento sospechoso de archivos, YARA puede ampliar la detección utilizando combinaciones específicas de componentes. Por lo tanto, es posible crear reglas YARA que detecten familias completas de malware y no solo una sola variante. La capacidad de utilizar condiciones lógicas para que coincidan con una regla lo convierte en una herramienta muy flexible para detectar archivos maliciosos.
Además, cabe destacar que, en este contexto, también es posible utilizar reglas YARA no solo en archivos, sino también en volcados de memoria.
Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivelManejo de incidentes
Durante los incidentes, los analistas de seguridad a veces necesitan examinar rápidamente si un archivo o contenido en particular está oculto en algún lugar de un endpoint o incluso en toda la red corporativa. Una solución para detectar un archivo sin importar dónde se encuentre puede ser construir y utilizar reglas YARA específicas.
Clasificación rápida de contenido
El uso de reglas YARA puede facilitar la clasificación de archivos cuando sea necesario. La clasificación de malware por familias se puede optimizar utilizando reglas YARA. Sin embargo, estas reglas deben ser muy precisas para evitar falsos positivos.
Análisis de conexiones de red entrantes
Es posible utilizar YARA en un contexto de red para detectar contenido malicioso que se envía a la red corporativa. Las reglas YARA se pueden ejecutar en correos electrónicos y especialmente en sus archivos adjuntos, o en otras partes de la red, como las comunicaciones HTTP en un servidor proxy inverso, por ejemplo. Por supuesto, se puede utilizar como complemento de software de análisis ya existente.
Análisis de comunicaciones de red salientes
Se puede analizar la comunicación saliente utilizando reglas YARA para detectar comunicaciones de malware salientes e incluso intentar detectar la extracción de datos. El uso de reglas YARA específicas basadas en reglas personalizadas hechas para detectar documentos legítimos de la empresa podría funcionar como un sistema de prevención de pérdida de datos y detectar una posible filtración de datos internos.
Integración con EDR
YARA es un producto maduro y, por lo tanto, varias soluciones de EDR (Detección y Respuesta en Endpoints) permiten integrar reglas YARA personalizadas, lo que facilita la ejecución de detecciones en todos los endpoints con un solo clic.
¿Cómo instalar YARA?
YARA está disponible para diferentes sistemas operativos: macOS, Windows y Linux.
Cómo proteger tu computadora de los virus: métodos y consejosInstalación de YARA en macOS
YARA se puede instalar en macOS utilizando Homebrew. Simplemente escribe y ejecuta el siguiente comando:
brew install YARA
Después de realizar esta operación, YARA estará listo para usarse en la línea de comandos.
Instalación de YARA en Windows
YARA ofrece binarios para Windows para facilitar su uso. Una vez que se descargue el archivo ZIP desde el sitio web, descomprímelo en cualquier carpeta. El archivo ZIP contendrá dos archivos: Yara64.exe e Yarac64.exe (o Yara32.exe e Yarac32.exe, si eliges la versión de 32 bits de los archivos).
Después de esto, estará listo para funcionar en la línea de comandos.
Instalación de YARA en Linux
YARA se puede instalar directamente desde su código fuente. Descárgalo aquí haciendo clic en el enlace del código fuente (tar.gz), luego extrae los archivos y compílalos. A modo de ejemplo, utilizaremos la versión 4.1.3 de YARA, la última versión al momento de escribir este artículo, en un sistema Ubuntu.
Ten en cuenta que algunos paquetes son obligatorios y deben instalarse antes de instalar YARA:
¡Defiéndete! Protege tu seguridad en línea contra amenazas críticassudo apt install automake libtool make gcc pkg-config
Una vez hecho esto, realiza la extracción de los archivos y la instalación:
tar -zxf YARA-4.1.3.tar.gz
cd YARA-4.1.3
./bootstrap.sh
./configure
make
sudo make install
YARA es fácil de instalar, la parte más difícil es aprender a escribir reglas YARA eficientes, lo cual explicaré en mi próximo artículo.
En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a YARA: Herramienta gratuita y de código abierto para detectar y clasificar malware , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados