YARA

quelloffenes Framework zur Malware-Mustererkennung

YARA, oft auch in der Schreibweise Yara,[2] ist ein von VirusTotal entwickeltes quelloffenes Framework zur Mustererkennung, das die Erforschung von Schadprogrammen erleichtern soll. Das Framework wird u. a. von Sicherheitsforschern genutzt und kommt in Antivirenprogrammen zur Anwendung.[3] Realisiert ist das Framework in der Programmiersprache C und es gibt Anbindungen an andere Programmiersprachen, womit YARA u. a. auch als Python-Bibliothek geladen und genutzt werden kann.

YARA
Basisdaten

Hauptentwickler VirusTotal
Entwickler VirusTotal
Aktuelle Version 4.5.2[1]
(10. September 2024)
Betriebssystem Multiplattform
Programmier­sprache C, Python-Anbindung
Lizenz 3-Klausel-BSD-Lizenz
deutschsprachig nein
virustotal.github.io/yara

Nach Angaben des Entwicklers Victor M. Alvarez von VirusTotal steht YARA entweder als Backronym für YARA: Another Recursive Ancronym oder für Yet Another Ridiculous Acronym, übersetzt ins Deutsche: „(YARA:) Ein weiteres rekursives bzw. lächerliches Akronym“.

“YARA is an ancronym for: YARA: Another Recursive Ancronym, or Yet Another Ridiculous Acronym. Pick your choice.”

Victor M. Alvarez (@plusvic): Twitter[4]

Beschreibungsregeln

Bearbeiten

Das Yara-Framework implementiert die Suche nach Mustern, die in Form von einfachen Regeln definiert werden können.

rule YaraArticle {
   strings:
      $a = "Wikipedia"
      $b = "wiki"
      $c = "YARA"
   condition:
      all of them
}

Diese Regel, hier YaraArticle getauft, sucht nach den drei Zeichenketten „Wikipedia“, „wiki“ und „YARA“. In gleicher Weise lässt sich mit dem Framework nach Malware suchen, da das Framework neben Text auch binäre Muster unterstützt.

Dies erlaubt es jedem, seine eigenen Regeln zu erstellen und damit, im Kontext von Virenscannern, eigene Signaturen zu erstellen. Beim quelloffenen ClamAV reicht es etwa, eigene Yara-Regeln als Dateien in den Signatur-Ordner zu kopieren – ClamAV identifiziert fortan der Regel entsprechende Dateien ebenfalls als Malware.[2]

Obwohl YARA in zahlreichen Programmen eingebaut ist und damit über Yara-Regeln Malware erkannt werden soll, sind diese letztlich nichts anderes als reguläre Ausdrücke und somit auch nicht gegen polymorphe Angreifer, u. a. gegen polymorphe Phishingattacken, wirksam.[5]

Einzelnachweise

Bearbeiten
  1. Release 4.5.2. 10. September 2024 (abgerufen am 26. September 2024).
  2. a b Olivia von Westernhagen: Gut aufgestellt gegen Schadcode; Malware-Signaturen mit Yara einfach selbst schreiben. In: c’t. Nr. 20, 2018, S. 154 ff. (online oder im Shop, beides kostenpflichtig [abgerufen am 17. Oktober 2020]).
  3. Olivia von Westernhagen: Yara 4.1.0: Tool zum Schreiben eigener Malware-Signaturen in neuer Version. In: Heise online. 3. Mai 2021. Abgerufen am 3. Mai 2021.
  4. Awesome YARA. (GitHub-Projekt) Abgerufen am 17. Oktober 2020 (englisch).
  5. Eyal Benishti: YARA, YARA, YARA: Why Manual Rules Don’t Cut it as Incident Response. (Blog) Ironscales Ltd., 25. Oktober 2019, abgerufen am 17. Oktober 2020 (englisch): „…writing YARA rule after YARA rule after YARA rule to try to find all instances of a threat is a lousy way to fight phishing attacks and other types of email security threats. In fact, there’s almost universal agreement that we should ditch YARA rules and regular expressions like it. But they’re still around…“