Yara 개념

Yara?

VirusTotal에서 만든 악성코드의 패턴을 이용하여 악성 파일을 분류하는데 사용되는 도구

간단한 룰을 작성하여 룰에 맞는 악성코드를 판단

문자열과 바이너리 패턴을 기반으로 파일 탐지

 

Triage

프랑스어로 '선별'이라는 뜻

응급상황 발생 시 병원에서 치료의 우선순위를 정하기 위한 분류체계로 사용됨

 

정보보안에서의 트리아지는 수 많은 분석대상 중 악성으로 의심되는 파일을 선별하는 과정

모든 악성코드를 분류하기에는 인적/물적 자원이 부족하기에 트리아지를 실행

분석 대상을 선별하여 위험도에 따라 우선순위를 정함

 

IOC

Indicator Of Compromise의 약어. 침해지표를 의미

위협활동을 특정할 수 있는 데이터

• 악성 파일의 Hash
• 악성 행위 수행 후 남는 로그
• 악성 파일을 배포한 IP 혹은 도메인 주소
• 피해 PC의 자료가 유출된 IP 혹은 도메인 주소
• 위협 활동을 특정할 수 있는 다양한 기타 증거 (아티팩트)

IOC 정보를 기반으로 악성 프로그램을 탐지할 수 있음

변조되기 쉬운 단점이 존재하나, 빠르게 분석할 수 있음

 

Yara의 악성 파일 분류

실질적인 분석을 하기 전에 악성 파일을 선별하는 트리아지 성향이 강함

분석하려는 대상 파일을 사용자가 작성한 룰과 비교하여 선별

=> 사용자의 룰 작성 숙련도와 IOC 정보 품질에 따라서 탐지 효율이 달라짐

IOC 정보 기반 탐지이기 때문에, 기존에 발견된 악성 코드에 대해서만 높은 탐지율을 보임

탐지율 향상을 위해 여러 IOC 정보를 통합하여 사용