Segurança
Yara: ferramenta customizável de código aberto ajuda a detectar malwares
Código aberto do software permite customizar regras para ampliar proteção de ambientes residenciais e corporativosBy - Liliane Nakagawa, 2 dezembro 2021 às 14:22
Criado em 2008 com objetivo de detectar malwares, o software de código aberto Yara pode ser uma das opções para profissionais de cibersegurança que procuram uma ferramenta customizável para detectar arquivos maliciosos.
Diferentemente de como funciona um antivírus tradicional, que principalmente detecta assinaturas estáticas de alguns bytes em arquivos binários ou comportamento suspeito de arquivos, o Yara pode usar combinações específicas de componentes para criar regras com a finalidade de ampliar a detecção de famílias inteiras de malware, e não apenas uma única variante.
Essa capacidade de usar condições lógicas para corresponder a uma regra, a torna uma ferramenta de código aberto bastante flexível para esse tipo de atividade. Também, é possível estender a criação de regras para despejos de memória e não apenas para ser utilizada em arquivos.
Aplicações possíveis
A vantagem de construir e usar regras específicas também auxilia em casos de triagem profunda de um arquivo quando necessário.
Além disso, o Yara também pode ser usado para análise da conexão de rede com o objetivo de detectar conteúdo malicioso em uma rede corporativa, por exemplo. Para isso, as regras podem ser aplicadas aos e-mails, especialmente em arquivos anexos, ou em partes da rede.
Sem esquecer, é claro, que pode ser acrescido ao software de análise já utilizado.
Imagem: Fotomay/Shutterstock
Regras do Yara também podem ser aplicadas para analisar as comunicações da rede de saída, tanto na detecção de malware quanto em exfiltração de dados.
As regras específicas do Yara com base nas regras personalizadas direcionadas para encontrar documentos legítimos da empresa, por exemplo, pode funcionar como sistema de prevenção de perdas e vazamento de dados interno.
Como instalar o Yara no Linux
O software pode ser instalado diretamente a partir do código-fonte. Para baixá-lo, acesse o link do código-fonte (tar.gz) pelo Github e depois extraia os arquivos e compile-os.
(Como exemplo, a redação usou a versão 4.1.3 do Yara em um sistema Ubuntu)
Atenção para alguns pacotes obrigatórios e que devem ser instalados antes do Yara:
sudo apt install automake libtool make gcc pkg-config
Após finalizada a etapa, execute a extração dos arquivos e da instalação:
tar -zxf YARA-4.1.3.tar.gz cd YARA-4.1.3 ./bootstrap.sh ./configure make sudo make install
Como instalar o Yara em MacOS
Para instalar, basta usa o homebrew e executar o comando: brew install YARA
Após a operação, já é possível usar a linha de comando.
Como instalar o Yara no Windows
Disponível para binários Windows (x32 e x64), o software de código aberto após descompactado em qualquer pasta mostrará dois arquivos executáveis: Yara64.exe e Yarac64.exe ou Yara32.exe e Yarac32.exe, caso tenha escolhido a versão de 32 bits dos arquivos.
A partir daí, o usuário já pode começar a trabalhar nas linhas de comando.
Comentários