YARA — Ferramentas CySA+ — Thiago Teixeira

YARA

VirusTotal / Community

Motor de pattern-matching para classificar e identificar amostras de malware.

Análise de Malware e Sandboxing Gratuito e Open Source CLI Em Estudo Cross-platform

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain

1 Reconhecimento

2 Armamento

3 Entrega

4 Exploração

5 Instalação

6 Comando e Controle

7 Ações sobre Objetivos

Defensor — Ciclo de RI

8 Detecção / Monitoramento

9 Contenção e Erradicação

10 Forense Pós-Incidente

Descrição

O YARA ("Yet Another Recursive Acronym") é o padrão de fato para escrever assinaturas que descrevem famílias de malware. Uma regra YARA combina strings (texto/bytes), regex e uma condition booleana que dispara quando a amostra casa.

Analistas usam YARA em três contextos principais:

Triagem de grandes volumes (um pipeline de SOC varre todo anexo de e-mail com centenas de regras).
Threat hunting em memória (plugin yarascan do Volatility, loki, THOR).
Compartilhamento de IOCs — vendors e CERTs publicam regras YARA junto com relatórios.

Casos de uso

Triagem de arquivos no gateway de e-mail
Hunting de famílias conhecidas em uma frota
Validação de veredictos de sandbox com regras offline

Exemplo

rule SuspiciousMimikatz {
    meta:
        author = "soc-team"
        description = "Heuristic for Mimikatz-like strings"
    strings:
        $s1 = "sekurlsa::logonpasswords" ascii wide
        $s2 = "privilege::debug" ascii wide
    condition:
        any of them
}