YARA란 무엇인가?
YARA는 악성코드의 시그니처를 패턴을 이용하여 악성 여부를 확인하고, 그 특징에 따라 분류하기 위한 목적으로 사용되는 도구이다.
간단한 문법( C와 Pyhon 형태의 문법)으로 YARA Rule을 작성하는 것으로도 악성코드(파일, 프로세스)이 어떤 기능을 하는지, 조건이 포함되는지 여부를 확인할 수 있어서 악성코드에 대해 공부를 하고 있다는 사람들은 많이 사용하고 있다.
또한 단순히 텍스트 스티링과 바이너리 패턴만을 이용해 파일의 시그니처를 찾는 것 뿐만 아니라 , 특정 EP(Entry Point)값을 지정하거나 File Offset, Virtual Memory Address를 제시하고, 정규 표현식(Regular Expression)을 이용하여 효율적인 패턴 매칭 작업이 가능하도록 한다.
YARA는 악성코드를 방지하는 목적이 아니라 이미 나온 것을 대응하는 침해대응에 가깝다.
YARA는 2008년 최초 1.0v 으로 나와 오픈소스로 관리되고 있으며, 2014년 기준 1.7v 까지 나와 있으며이 링크에서 https://code.google.com/p/yara-project/downloads/list 확인을 할 수 있고, 다운로드를 받을 수 있다. VirusTotal에서 최초 제작을 하고, 현재 소스 관리는 Google에서 하고 있다.
YARA는 Windows, MAC OS X, Linux건 상관없이 모든 플랫폼에서 사용할 수 있고, 지원한다.
댓글 없음:
댓글 쓰기