Yara Rule 작성 기본 실습

기본적인 내용을 다루는 Yara Rule 작성을 실습해보자

분류 대상 파일은 기본제공된 파일셋을 사용

 

첫 번째 문제

기본적으로 Yara Rule을 작성하므로, yar파일을 생성해보자

여기에 간단한 룰명과 설정을 지정

룰의 조건은 아주 간단함

"potato" 문자열을 strings 영역안에 조건으로 두고, 이 조건 모두에 해당하는 파일이 있으면 분류 대상으로 지정

해당 폴더 안에서 yara를 실행시키면 3개의 파일이 탐지되는 것을 볼 수 있음

실제로 존재하는지 확인

실제로 문자열이 존재하는 것을 확인

 

 

두 번째 문제

비슷한 조건이긴 하나, 이번엔 16진수를 찾는 문제로 바뀌었음

첫 번째 문제에서 strings조건만 살짝 바꾸면 해결되는 문제

실행하면 3개의 파일이 탐지된 것을 확인

실제로 16진수 값이 존재하는지 검증

실제로 16진수 값이 존재하는 것을 확인

 

 

세 번째 문제

앞선 두 문제보다 조건이 하나 더 추가되었음

대소문자 관계 없이 문자열을 찾는 옵션은 nocase옵션

이를 이용하면 문제가 해결

실행하면 2개의 파일이 감지

대소문자 구분없이 fish 문자열이 존재하는 것을 확인

 

 

네 번째 문제

탐지해야 하는 조건이 7개로 증가하였음

각각의 조건을 하나하나씩 설정 한 후

condition을 any of them으로 설정하면 하나만 맞아도 탐지됨

파일이 탐지되는 것을 확인 가능

 

 

다섯 번째 문제

이메일 형식을 가지는 룰을 만드는 문제

특정한 값이 정해진 것이 아닌, 조금씩 형태가 바뀌는 이메일을 타겟으로 잡아야하기 때문에, 정규표현식을 사용

파일 5개가 이메일을 포함하고 있음을 확인

 

 

여섯 번째 문제

good 단어를 포함하나, 단어 앞뒤에 공백만 존재해야 함

이를 충족하는 옵션은 fullword옵션

이를 이용하여 조건을 작성하면 됨

3개의 파일을 탐지함

 

 

일곱 번째 문제

두개 이상의 룰을 만드는 문제

각각의 룰의 condition또한 다름

이 점에 유의하면서 룰을 설정하면 됨

조건에 맞는 파일 4개를 탐지

 

 

여덟 번째 문제

룰 참조를 물어보는 문제

지금까지 만들었던 룰들을 전부 include하여 룰을 완성하면 됨

모든 룰에 각각 탐지된 28개의 파일을 탐지함