Definition YARA-Regeln

Was sind YARA-Regeln?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

YARA-Regeln helfen beim Finden vorgegebener Schadsoftware-Signaturen in Dateien oder Prozessen.
YARA-Regeln helfen beim Finden vorgegebener Schadsoftware-Signaturen in Dateien oder Prozessen. (Bild: gemeinfrei / Pixabay)

Eine YARA-Regel ist eine in C-ähnlicher Textform verfasste Regel, die Schadsoftware anhand der in der Regel vorgegebenen Signaturen und Bedingungen erkennen und klassifizieren kann. Eine YARA-Regel lässt sich mit dem kostenlosen YARA-Tool und mit unterschiedlicher Anti-Viren-Software verwenden. Das YARA-Tool ist Kommandozeilen-basiert und mit diversen Betriebssystemen nutzbar.

Eine YARA-Regel enthält Signaturen und Bedingungen, um Dateien oder Prozesse nach bestimmten Mustern zu durchsuchen und Schadsoftware zu erkennen und zu klassifizieren. YARA-Regeln können mit wenig Aufwand selbst geschrieben werden. Darüber hinaus existieren viele vordefinierte YARA-Regeln, die sich ebenfalls mit dem kostenlosen YARA-Tool oder unterschiedlicher Anti-Viren-Software nutzen lassen. Eine YARA-Regel ist textbasiert und hat eine relativ einfache, der Programmiersprache C ähnelnde Syntax. Typische Anwender von YARA-Regeln sind Sicherheitsforscher und -analysten. Sicherheitsbedrohungen werden von YARA durch das Durchsuchen von Dateien, Ordnern oder Prozessen nach den in den YARA-Regeln festgelegten Bedingungen und Mustern erkannt. YARA kann auf Rechnern mit Betriebssystemen wie Linux, Windows oder macOS eingesetzt werden. Das Tool ist nicht auf die Suche nach Schadsoftware begrenzt, sondern findet grundsätzlich alle in den Regeln vorgegebenen textbasierten oder binären Muster in beliebigen Dateien und Prozessen.

Was ist YARA?

YARA wurde ursprünglich von Victor Alvarez von VirusTotal entwickelt. Es handelt sich um ein auf GitHub frei verfügbares Open-Source-Tool, das Sicherheitsforschern die Erkennung und Klassifizierung von Schadsoftware erleichtern soll. Mithilfe von Regeln findet YARA textbasierte oder binäre Muster in Dateien. YARA ist multi-plattformfähig und arbeitet mit Betriebssystemen wie Linux, Windows oder macOS. Für Linux steht YARA über diverse Paketmanager zur Verfügung. Für Windows existiert ein YARA-Executable, das zur Nutzung nicht installiert werden muss aber das Microsoft Visual C++ Redistributable Package für Visual Studio benötigt. Der Quellcode des YARA-Tools ist ebenfalls frei erhältlich. Genutzt wird das Tool entweder über die Kommandozeilenoberfläche oder direkt von Python-Skripten aus.

Syntax und Elemente der YARA-Regeln

Eine YARA-Regel hat eine recht einfache Syntax und ist ohne lange Einarbeitung schnell zu verstehen. YARA-Regeln lassen sich ohne größeren Aufwand selbst schreiben. Die Syntax ähnelt der Programmiersprache C. Eine YARA-Regel startet mit einem frei vergebbaren Namen für die Regel (Rule Identifier). Rule Identifier sind case sensitive und nicht länger als 128 Character. Anschließend folgt innerhalb geschweifter Klammern der eigentliche Inhalt der Regel mit den Mustern (Strings) und den Bedingungen (Conditions). Es lassen sich die Strings festlegen, nach denen YARA in den Dateien suchen soll. Es kann sich bei den Strings um Textfolgen oder Binärcode handeln. Über die Conditions wird YARA mitgeteilt, welche Bedingungen zutreffen sollen. Es handelt sich um logische Operatoren wie "und" oder "oder", die die einzelnen Strings miteinander verknüpfen. Beispielsweise legen die Bedingungen fest, ob nur einer der Strings oder alle gefunden werden müssen, damit die Regel für eine Datei zutreffend ist. Auch weitere Dateieigenschaften wie Größe oder Typ einer Datei lassen sich in den Regeln berücksichtigen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Sicherheit in Speichernetzen

Storage Area Networks (SANs) schützen

Sicherheit in Speichernetzen

Auf die in Speichernetzen abgelegten Daten können in der Regel eine große Zahl von Anwendern und Endgeräten zugreifen. Deswegen sind umfassende Maßnahmen für deren Absicherung erforderlich. So müssen gilt es Vorkehrungen gegen Datenmanipulationen zu treffen und dafür sorgen, dass nur Berechtigte auf die gespeicherten Informationen zugreifen dürfen. lesen

Die sechs verschiedenen CISO-Typen

Typenberatung für CISOs

Die sechs verschiedenen CISO-Typen

Es gibt sechs unterschiedliche CISO-Typen, sagt der Security & Risk-Forschungsbericht „The Future Of The CISO“ von Forrester Research. Es ist nicht nur interessant, sich darin selbst zu entdecken. Die Typen­bestimmung hilft dem CISO auch bei der Optimierung der täglichen Arbeit und damit der Cybersecurity insgesamt im Unternehmen. lesen

Automatisierer setzt auf automatisierte Sicherheit

Ontec nutzt Ensilo zur Malware-Abwehr

Automatisierer setzt auf automatisierte Sicherheit

Die Security-Experten in den Unternehmen können den Wettlauf mit den Schadsoftware-Entwicklern nur verlieren - zumindest dann, wenn sie nach deren Regeln spielen. Aber das müssen sie nicht, wie das Beispiel des Sonderanlagenbauers Ontec zeigt. Mit Hilfe des Tools „Ensilo“ hat er seine Malware-Abwehr sowohl ressourcenschonend als auch effektiv organisiert. lesen

Industrie 4.0 Sicherheit wird updatefähig

Forschung für mehr Security im IIoT

Industrie 4.0 Sicherheit wird updatefähig

Gerade in der Industrie stellen Updates ein großes Problem dar. Das gilt auch für IT-Sicherheitsverfahren, die aktualisiert werden müssen. Das Projekt ALESSIO hat untersucht, wie sich Anwendungen mit hoher Lebensdauer durch updatefähige Lösungen schützen lassen. Wir haben einen der Forscher von Fraunhofer AISEC zu den Ergebnissen und ihrer Anwendung in der Praxis befragt. lesen

IT-Systeme im Gesundheits­wesen dürfen nicht kränkeln

Risikomanagement in der Gesundheitsbranche

IT-Systeme im Gesundheits­wesen dürfen nicht kränkeln

Gerade in Zeiten der Krise ist eine sichere IT in der Gesundheitsbranche unerlässlich. IT-gestützte Technologien und Geräte sichern und unterstützen zum einen lebenserhaltende Funktionen am Patienten und ermöglichen zum anderen eine präzise Diagnostik und damit die Therapie. Ausfälle der IT können im Gesund­heitswesen deswegen schnell schwere Folgen haben. Ein durchdachtes Risikomanagement ist aus diesem Grund angebracht. lesen

Videoüberwachung bei Beschäftigten

Datenschutz-Grundverordnung in der Praxis

Videoüberwachung bei Beschäftigten

Beschwerden, die Videoüberwachung zum Gegenstand haben, nehmen quantitativ seit Jahren einen Spitzenplatz in der Tätigkeit der Aufsichtsbehörden ein. Offensichtlich haben Unternehmen weiterhin Probleme, die Videoüberwachung datenschutzkonform umzusetzen. Wir nennen Beispiele und geben Tipps zur Optimierung. Dazu gehört eine neue Leitlinie des Europäischen Datenschutz­ausschusses. lesen

Die Arbeit im Homeoffice nimmt zu

Coronakrise

Die Arbeit im Homeoffice nimmt zu

Als Vorsorge gegen eine Ausbreitung des Coronavirus haben viele Arbeitgeber Schutzmaßnahmen getroffen. Neben Hygienevorschriften und Zusatzinformationen setzen viele auf das Homeoffice. Laut einer Umfrage des Bitkom arbeitet mittlerweile fast die Hälfte aller befragten Arbeitnehmer von Zuhause. lesen

So schützen sich Unternehmen vor Social Engineering

Zielscheibe „Mensch“

So schützen sich Unternehmen vor Social Engineering

Unternehmen sind aufgrund ihrer wertvollen Daten schon lange profitable Ziele für Cyber­kriminelle. Ein Großteil plant deswegen, ihr Budget für Cyber-Sicherheit im nächsten Jahr aufzustocken. Doch geraten auch die eigenen Mitarbeiter in den Fokus der Kriminellen. Durch Social Engineering wird der Mitarbeiter zu einem Sicherheitsrisiko, das man nicht unterschätzen sollte. lesen

Security in einer immer stärker regulierten Welt

Ethische IT-Sicherheit

Security in einer immer stärker regulierten Welt

Nie war die IT-Sicherheit wichtiger – und angesichts der DSGVO und anderer Gesetze waren die Regulierungen auch noch nie strenger. Die Anforderungen an Computersoftware und Datenschutz und das Maß an Sorgfalt, mit der Unternehmen beim Einführen „echter“ IoT-Geräte vorgehen müssen, sind immens. All das müssen Unternehmen beachten, wenn sie entscheiden, mit welchen Anbietern sie zusammenarbeiten. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46400091 / Definitionen)