Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2024:pisanje_yara_pravila [2025/01/26 14:43]
Mikulić Katarina 		racfor_wiki:seminari2024:pisanje_yara_pravila [2025/01/26 21:50] (trenutno)
Mikulić Katarina [Pisanje YARA pravila]
Redak 1: Redak 1:
 ===== Pisanje YARA pravila ===== ===== Pisanje YARA pravila =====
  
 +Video [[https://ferhr-my.sharepoint.com/:v:/g/personal/km54317_fer_hr/EfmLMw4uTFhHuq2_i2RCq0oBN0D8SrYN4SO9Hucdn259UQ?e=sEvrYn]]
 ===== Sažetak ===== ===== Sažetak =====
  
Redak 15: Redak 16:
 YARA pravila predstavljaju snažan alat za prepoznavanje i klasifikaciju prijetnji u kibernetičkoj sigurnosti. Dizajnirana su kako bi pomogla stručnjacima u analizi i detekciji zlonamjernog softvera temeljenog na prepoznatljivim obrascima i ponašanju. YARA pravila predstavljaju snažan alat za prepoznavanje i klasifikaciju prijetnji u kibernetičkoj sigurnosti. Dizajnirana su kako bi pomogla stručnjacima u analizi i detekciji zlonamjernog softvera temeljenog na prepoznatljivim obrascima i ponašanju.
  
-Osnovna ideja YARA pravila je njihova jednostavna i intuitivna sintaksa koja omogućuje korisnicima definiranje uzoraka na temelju tekstualnih stringova, heksadecimalnih nizova i regularnih izraza. Ova fleksibilnost omogućuje njihovu primjenu u širokom spektru scenarija, uključujući:+Osnovna ideja YARA pravila je njihova jednostavna i intuitivna sintaksa koja omogućuje korisnicima definiranje uzoraka na temelju tekstualnih stringova, heksadecimalnih nizova i regularnih izraza [[#literatura|[1]]]. Ova fleksibilnost omogućuje njihovu primjenu u širokom spektru scenarija, uključujući:
  
   * Detekciju zlonamjernog softvera u datotekama, procesima i memoriji.   * Detekciju zlonamjernog softvera u datotekama, procesima i memoriji.
Redak 56: Redak 57:
  
  
-Uvjeti (condition) - definiraju logiku koja odreduje kada će se pravilo aktivirati.+Uvjeti (condition) - definiraju logiku koja određuje kada će se pravilo aktivirati.
  
 Primjeri uvjeta: Primjeri uvjeta:
Redak 96: Redak 97:
     condition:     condition:
         any of them         any of them
-}+  }
  
  
Redak 117: Redak 118:
     condition:     condition:
         $s1 or ($s2 and $s3)         $s1 or ($s2 and $s3)
-}+  }
  
  
 ---- ----
  
-  * Element obične listePravilo s regularnim izrazima+  * Pravilo s regularnim izrazima
  
 Pravilo za prepoznavanje e-mail adresa i URL-ova: Pravilo za prepoznavanje e-mail adresa i URL-ova:
Redak 136: Redak 137:
     condition:     condition:
         $regex1 or $regex2         $regex1 or $regex2
-}+  }
  
 ===== Alati za rad s YARA pravilima ===== ===== Alati za rad s YARA pravilima =====
Redak 155: Redak 156:
  
  
-yarac: Alat za kompajliranje pravila u binarni format. Kompajliranje smanjuje vrijeme obrade i optimizira performanse:+yarac: Alat za prevođenje pravila u binarni format. Prevođenje smanjuje vrijeme obrade i optimizira performanse:
  
-  yarac pravilo.yar kompajlirano_pravilo.yarc+  yarac pravilo.yar compile_pravilo.yarc
  
  
Redak 183: Redak 184:
 Prednosti automatizacije: Prednosti automatizacije:
  
-Redovito skeniranje: Smanjuje potrebu za ručnim analizama. +  * Redovito skeniranje: Smanjuje potrebu za ručnim analizama. 
-Integracija u CI/CD procese: Osigurava da novi softver prolazi sigurnosne provjere. +  Integracija u CI/CD procese: Osigurava da novi softver prolazi sigurnosne provjere. 
-Prilagodljivost: Mogućnost razvoja specifičnih alata za detekciju. +  Prilagodljivost: Mogućnost razvoja specifičnih alata za detekciju. 
-6.3. Najbolje prakse+ 
 +==== Najbolje prakse ==== 
 Za učinkovitu primjenu YARA pravila preporučuje se: Za učinkovitu primjenu YARA pravila preporučuje se:
  
-Specifičnost: Koristite jedinstvene stringove kako biste smanjili lažne pozitivne rezultate. +  * Specifičnost: Koristite jedinstvene stringove kako biste smanjili lažne pozitivne rezultate. 
-Optimizacija: Izbjegavajte složene regularne izraze koji usporavaju pretrage. +  Optimizacija: Izbjegavajte složene regularne izraze koji usporavaju pretrage. 
-Testiranje: Redovito provjeravajte pravila na stvarnim uzorcima koristeći alate poput VirusTotal ili ClamAV. +  Testiranje: Redovito provjeravajte pravila na stvarnim uzorcima koristeći alate poput VirusTotal ili ClamAV. 
-Ažuriranje pravila: Prilagođavajte ih novim prijetnjama kako bi ostala relevantna.+  Ažuriranje pravila: Prilagođavajte ih novim prijetnjama kako bi ostala relevantna.
  
  
 +
 +
 +
 +===== Ograničenja YARA pravila =====
 +Unatoč svojoj korisnosti, YARA pravila imaju ograničenja:
 +
 +  * Redovito ažuriranje: Pravila brzo zastarijevaju kako prijetnje evoluiraju.
 +  * Performanse: Kompleksna pravila mogu usporiti analize velikih datasetova.
 +  * Lažni pozitivni rezultati: Neadekvatno definirana pravila mogu povećati broj lažnih alarma.
  
  
Redak 202: Redak 214:
 ===== Literatura ===== ===== Literatura =====
  
-[1] [[https://hr.wikipedia.org/wiki/]]+[1] Službena dokumentacija YARA alata: [[https://yara.readthedocs.io/]] 
 + 
 +[2] VirusTotal i YARA pravila: [[https://www.virustotal.com/gui/home]]
  
 +[3] Sikorski, M., Honig, A. Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software. No Starch Press, 2012.
  
 +[4]GitHub YARA pravila: [[https://github.com/Yara-Rules/rules]]
racfor_wiki/seminari2024/pisanje_yara_pravila.1737902600.txt.gz · Zadnja izmjena: 2025/01/26 14:43 od Mikulić Katarina
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0