Règle yara
YARA est un framework créé par Victor Manuel Alvarez permettant d'identifier et de classer les malwares en familles partageant des caractéristiques communes, grâce à des règles décrivant des motifs textuels ou binaires.
Chez Sekoia.io, nos chercheurs en cybersécurité utilisent YARA pour améliorer en permanence notre compréhension des groupes de malwares.
Qu'est-ce qu'une règle YARA et comment fonctionne-t-elle ?
YARA fournit un langage qui décrit un fichier via des variables telles que sa taille, les chaînes qu'il contient ou des fragments de code compilé. Les règles sont créées à partir d'informations extraites d'un échantillon de malware ou d'un groupe d'échantillons connexes.
Détection des malwares et renseignement continu sur les menaces
Les règles YARA servent deux objectifs principaux : la détection des fichiers malveillants via les outils EDR, et la CTI permettant de cataloguer de nouveaux variants de malwares et de surveiller leur évolution.
Au-delà de YARA : les règles Sigma et IDS
Sigma détecte les malwares en fonction de leur comportement à l'exécution. Les règles IDS comme Suricata se concentrent sur les signatures réseau utilisées par les malwares pour communiquer avec leur infrastructure.
