Au EFF Threat Lab, nous passons beaucoup de temps à rechercher des logiciels malveillants qui ciblent les populations vulnérables, mais nous passons également du temps à essayer de classer les échantillons de logiciels malveillants que nous avons rencontrés. L'un des outils que nous utilisons pour cela est YARA. YARA est décrit comme « Le couteau suisse correspondant aux modèles pour les chercheurs sur les logiciels malveillants. «En termes simples, YARA est un programme qui vous permet de créer des descriptions de logiciels malveillants (règles YARA) et d'analyser les fichiers ou processus avec eux pour voir s'ils correspondent.
La communauté des chercheurs sur les logiciels malveillants a accumulé de nombreuses règles YARA utiles au fil des ans, et nous en utilisons beaucoup dans nos propres efforts de recherche sur les logiciels malveillants. Un de ces référentiels de règles YARA est le guide Awesome YARA , qui contient des liens vers des dizaines de référentiels YARA de haute qualité.
Gérer une tonne de règles YARA dans différents référentiels, ainsi que vos propres ensembles de règles, peut être un casse-tête, nous avons donc décidé de créer un outil pour nous aider à gérer nos règles YARA et à exécuter des analyses. Aujourd'hui, nous présentons gratuitement au public cet outil open source: YAYA, ou Yet Another YARA Automation.
Présentation de YAYA
YAYA est un nouvel outil open source pour aider les chercheurs à gérer plusieurs référentiels de règles YARA. YAYA commence par importer un ensemble de règles YARA de haute qualité, puis permet aux chercheurs d'ajouter leurs propres règles, de désactiver des ensembles de règles spécifiques et d'exécuter des analyses de fichiers. YAYA ne fonctionne que sur les systèmes Linux pour le moment. Le programme est destiné aux chercheurs novices et expérimentés sur les logiciels malveillants ou à ceux qui souhaitent se lancer dans la recherche sur les logiciels malveillants. Aucune connaissance préalable de YARA n'est requise pour pouvoir exécuter YAYA.
Un exemple vidéo de YAYA en cours d'exécution
Si vous souhaitez obtenir YAYA ou contribuer à son développement, vous pouvez trouver le référentiel github ici . Nous espérons que cet outil constituera un complément utile aux kits d'outils de nombreux chercheurs sur les logiciels malveillants.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2020/09/introducing-yaya-new-threat-hunting-tool-eff-threat-lab le Fri, 25 Sep 2020 20:03:03 +0000.