Apelidado de YARAify, a ferramenta defensiva foi projetada para verificar arquivos suspeitos em um grande repositório de regras YARA.
“YARA é uma ferramenta de código aberto para correspondência de padrões”, disse o fundador do Abuse.ch, Roman Hüssy, em entrevista ao The Daily Swig. “Ele permite que qualquer pessoa […] escreva suas próprias regras para detectar [problemas], como arquivos maliciosos ou suspeitos.”
O YARAify pode escanear arquivos usando regras YARA públicas e integrar regras YARA públicas e não públicas da Malpedia, que é operada pelo Fraunhofer Institute na Alemanha.
Além disso, os pesquisadores podem usar a ferramenta para digitalizar arquivos usando assinaturas abertas e comerciais do ClamAV, configurar regras de busca para corresponder tanto às regras YARA quanto às assinaturas ClamAV e vincular o YARAify a outras ferramentas por meio de interfaces de programação de aplicativos (APIs).
De acordo com Hüssy, o YARAify foi criado para facilitar o manuseio das regras do YARA, que ele descreveu como poderosas, mas difíceis de manusear.
Antes do lançamento do YARAify, os caçadores de malware precisavam encontrar regras YARA em plataformas e repositórios git, sem uma maneira direta de compartilhá-las e sem convenção de nomenclatura consistente (levando a duplicatas).
“Decidimos lançar a plataforma YARAify ao público para permitir que qualquer pessoa compartilhe suas regras YARA com a comunidade de maneira estruturada e as use para caçar arquivos suspeitos e maliciosos vistos no universo Abuse.ch”, concluiu Hüssy.
Para contextualizar, as regras da YARA foram usadas por várias organizações e indivíduos no passado e ajudaram vários pesquisadores de segurança a identificar ameaças perigosas.
Por exemplo, em fevereiro de 2021, a FireEye usou as regras da YARA durante os eventos relacionados à violação de dados. A ferramenta também foi usada meses depois pela Microsoft para encontrar evidências do infame botnet Emotet.
IA está comprimindo a janela entre divulgação e exploração a ponto de ficar negativa. A…
Operação NoVoice espalhou-se por mais de 50 apps do Google Play e explorou falhas antigas…
Grupo Inc reivindica ataque contra a prefeitura de Meriden, Connecticut. A cidade desligou serviços e…
A Alemanha expôs o líder ligado a GandCrab/REvil e reforçou o alerta sobre rebrandings no…
BlueHammer é um zero‑day LPE que explora o Windows Defender e eleva um usuário comum…
Drift Protocol suspendeu depósitos e saques após ataque na Solana. Estimativas apontam perdas entre US$…