보안프로젝트 매거진
악성코드 분석을 할 때 시그네처 탐지룰에 활용하는 yara를 잘 다룬 글들입니다.
Yara는 악성코드의 시그니쳐를 이용해서 악성 코드의 종류들을 식별하고 분류하는 목적으로 사용하는 도구이다. 악성코드의 시그니쳐는 파일, 프로세스에 포함되어 있는 텍스트 문자열 또는 바이너리 패턴이다. 분석가는 Yara를 이용해서 텍스트 문자열, 바이너리 패턴으로 rule을 만들어 그에 매칭되는 파일들을 검색하고 분류한다. 단순히 텍스트 스트링과 바이너리 패턴만을 이용해서 rule을 만드는 것이 아니라 파일이나 프로세스의 오프셋, 가상 메모리 주소 활용 및 정규표현식을 이용해서 다양한 rule을 만들어 효과적으로 패턴 매칭을 실행해서 악성코드를 검색 및 분류한다.
PART1: http://countuponsecurity.com/…/02/10/unleashing-yara-part-1/
PART2: http://countuponsecurity.com/…/02/18/unleashing-yara-part-2/
아래는 보안프로젝트에서 공유했던 문서들입니다.
보안프로젝트에서는 이전에 Yara 사용자 메뉴얼을 배포한적 있습니다.