# [SOC] YARA ## Introduction Le **YARA** est un langage pour écrire des règles de détection de malware. Il s'agit d'un langage simple et descriptif qui est adopté par le grand public. Il est découpé par section qui ont chacune leur utilité. ![image.png](https://wiki.neopipe.fr/uploads/images/gallery/2024-05/scaled-1680-/iSAimage.png) ## Source - [TryHackMe - Yara](https://tryhackme.com/r/room/yara) - [Cuckoosandbox - Sandbox pour tester vos règles Yara](https://github.com/cuckoosandbox) - [PEfile - Scan les exécutables Windows PE ](https://github.com/erocarrera/pefile) ## Annexes - [Github - Awesome Yara](https://github.com/InQuest/awesome-yara) - [Valhalla - Base de règles Yara Opensource](https://valhalla.nextron-systems.com/) ## Anatomie d'une règle [![image.png](https://wiki.neopipe.fr/uploads/images/gallery/2024-05/scaled-1680-/EANimage.png)](https://wiki.neopipe.fr/uploads/images/gallery/2024-05/EANimage.png) ## Manuel #### Installation ```bash apt install -y yara ``` #### Meta Cette section permet de donner des informations complémentaires qui ne seront pas interprêtés comme le ferait un commentaire dans du code. Par exemple on peut utiliser le mot-clé **desc**, pour donner une description à notre règle afin qu'elle soit plus explicite pour les utilisateurs. #### Strings Cette section permet de détecter des chaînes de caractères présente dans les fichiers. Voici un exemple d'utilisation : ``` rule helloworld_checker{ strings: $hello_world = "Hello World!" condition: $hello_world } ``` On peut aussi détecter des chaînes multiples : ``` rule helloworld_checker{ strings: $hello_world = "Hello World!" $hello_world_lowercase = "hello world" $hello_world_uppercase = "HELLO WORLD" condition: any of them } ``` #### Opérateurs Comme dans les langages de programmation traditionnels, on peut utiliser des opérateurs pour nos conditions : ``` rule helloworld_checker{ strings: $hello_world = "Hello World!" condition: #hello_world <= 10 } ```

Opérateurs	Descriptions
<=	Plus petit ou égal
>=	Plus grand ou égal
!=	Différent de

#### Combinaisons On peut utiliser les mot-clés suivants pour combiner nos conditions :

Mot-clés	Descriptions
and	Les deux conditions doivent être valides
or	Au moins l'une des deux conditions doit être valide
not	Inverse la condition (true devient false et false devient true)

Voici un exemple pour vérifier si la chaîne est présente et si la taille du fichier est inférieure à 10KB : ``` rule helloworld_checker{ strings: $hello_world = "Hello World!" condition: $hello_world and filesize < 10KB } ``` #### Lancer le scan ```bash yara .yar ```

Si la règle match, la commande renverra le nom de la règle qui a matchée ainsi que le nom du fichier qui a matché.

#### Scanners d'IOC basés sur Yara - [Loki](https://github.com/Neo23x0/Loki/releases) - [THOR](https://www.nextron-systems.com/thor-lite/) - [Fenrir](https://github.com/Neo23x0/Fenrir) - [YAYA](https://www.eff.org/deeplinks/2020/09/introducing-yaya-new-threat-hunting-tool-eff-threat-lab) ## Loki #### Mettre à jour la base de signature ```bash python loki.py --update ``` #### Lancer un scan d'un dossier ```bash python loki.py -p ``` ## YarGen Cet outil permet de créer une règle Yara à partir d'un ou plusieurs fichiers connus pour être malveillants. Il va se baser sur les chaînes de caractères et les informations pour générer la règle qui va détecter le ou les fichiers. #### Téléchargement - [Github - YarGen](https://github.com/Neo23x0/yarGen) #### Mettre à jour l'outil ```bash python3 yarGen.py --update ```

Cela va mettre à jour la base avec les chaînes et les opcodes.

#### Créer une règle ```bash python3 yarGen.py -m --excludegood -o ```

Bien que l'outil soit fonctionnel, il est recommandé d'éditer la règle pour supprimer les chaînes qui pourraient lever des faux-positifs.