साइबर सुरक्षा: ओपन-सोर्स टूल YARA . का उपयोग करके अपनी सुरक्षा बढ़ाएँ

यह एंटीवायरस सॉफ़्टवेयर को प्रतिस्थापित नहीं करेगा, लेकिन यह आपको समस्याओं का अधिक कुशलता से पता लगाने में मदद कर सकता है और अधिक अनुकूलन की अनुमति देता है। यहां मैक, विंडोज और लिनक्स पर इसे स्थापित करने का तरीका बताया गया है।

डार्क-कीबोर्ड-गुप्त-सुरक्षा-dark-web.jpg

छवि: डीजेजुरा / आईस्टॉक

कॉर्पोरेट नेटवर्क के लिए खतरों का पता लगाने के लिए ढेर सारे विभिन्न उपकरण मौजूद हैं। इनमें से कुछ डिटेक्शन नेटवर्क सिग्नेचर पर आधारित होते हैं, जबकि कुछ अन्य फाइल या व्यवहार पर आधारित होते हैं जो एंडपॉइंट या कंपनी के सर्वर पर होते हैं। इनमें से अधिकांश समाधान खतरे का पता लगाने के लिए मौजूदा नियमों का उपयोग करते हैं, जो उम्मीद है कि अक्सर अपडेट किए जाते हैं। लेकिन क्या होता है जब सुरक्षा कर्मचारी पता लगाने के लिए कस्टम नियम जोड़ना चाहते हैं या विशिष्ट नियमों का उपयोग करके समापन बिंदुओं पर अपनी घटना प्रतिक्रिया करना चाहते हैं? यहीं पर YARA काम आता है।

यारा क्या है?

यारा एक स्वतंत्र है और खुला स्त्रोत सुरक्षा कर्मचारियों को मैलवेयर का पता लगाने और वर्गीकृत करने में मदद करने के उद्देश्य से उपकरण, लेकिन यह इस एकल उद्देश्य तक सीमित नहीं होना चाहिए। YARA नियम विशिष्ट फ़ाइलों या ऐसी किसी भी सामग्री का पता लगाने में भी मदद कर सकते हैं जिसका आप पता लगाना चाहते हैं।

देख: 40+ ओपन सोर्स और लिनक्स शब्द जिन्हें आपको जानना आवश्यक है (टेक रिपब्लिक प्रीमियम)

YARA एक बाइनरी के रूप में आता है जिसे YARA नियमों को तर्क के रूप में लेते हुए फाइलों के खिलाफ लॉन्च किया जा सकता है। यह विंडोज, लिनक्स और मैक ऑपरेटिंग सिस्टम पर काम करता है। इसका उपयोग में भी किया जा सकता है अजगर स्क्रिप्ट का उपयोग कर यारा-पायथन विस्तार।

YARA नियम टेक्स्ट फाइलें हैं जिनमें आइटम और शर्तें होती हैं जो मिलने पर एक डिटेक्शन को ट्रिगर करती हैं। इन नियमों को एकल फ़ाइल, कई फ़ाइलों वाले फ़ोल्डर या यहां तक ​​कि एक पूर्ण फ़ाइल सिस्टम के विरुद्ध लॉन्च किया जा सकता है।

YARA का उपयोग किस लिए किया जा सकता है?

यहां कुछ तरीके दिए गए हैं जिनसे आप YARA का उपयोग कर सकते हैं।

मैलवेयर का पता लगाना

YARA का मुख्य उपयोग, और इसके लिए शुरुआत में 2008 में बनाया गया था, मैलवेयर का पता लगाना है। आपको यह समझने की जरूरत है कि यह पारंपरिक एंटीवायरस सॉफ़्टवेयर के रूप में काम नहीं करता है। जबकि उत्तरार्द्ध ज्यादातर बाइनरी फ़ाइलों या संदिग्ध फ़ाइल व्यवहार में कुछ बाइट्स के स्थिर हस्ताक्षर का पता लगाता है, YARA विशिष्ट घटकों के संयोजन का उपयोग करके पहचान को बड़ा कर सकता है। इसलिए, मैलवेयर के पूरे परिवारों का पता लगाने के लिए YARA नियम बनाना संभव है, न कि केवल एक संस्करण का। किसी नियम से मेल खाने के लिए तार्किक स्थितियों का उपयोग करने की क्षमता इसे दुर्भावनापूर्ण फ़ाइलों का पता लगाने के लिए एक बहुत ही लचीला उपकरण बनाती है।

साथ ही, यह ध्यान दिया जाना चाहिए कि इस संदर्भ में न केवल फाइलों पर बल्कि मेमोरी डंप पर भी YARA नियमों का उपयोग करना संभव है।

घटना से निपटना

घटनाओं के दौरान, सुरक्षा और खतरे के विश्लेषकों को कभी-कभी जल्दी से जांच करने की आवश्यकता होती है कि क्या एक विशेष फ़ाइल या सामग्री कहीं एंडपॉइंट पर या यहां तक ​​कि सभी कॉर्पोरेट नेटवर्क पर छिपी हुई है। फ़ाइल का पता लगाने का एक समाधान कोई फर्क नहीं पड़ता कि वह कहाँ स्थित है, विशिष्ट YARA नियमों का निर्माण और उपयोग करना हो सकता है।

सामग्री का त्वरित वर्गीकरण

YARA नियमों का उपयोग आवश्यकता पड़ने पर एक वास्तविक फ़ाइल ट्राइएज बना सकता है। परिवार द्वारा मैलवेयर के वर्गीकरण को YARA नियमों का उपयोग करके अनुकूलित किया जा सकता है। फिर भी झूठी सकारात्मकता से बचने के लिए नियमों को बहुत सटीक होना चाहिए।

आने वाले नेटवर्क कनेक्शन विश्लेषण

दुर्भावनापूर्ण सामग्री का पता लगाने के लिए नेटवर्क संदर्भ में YARA का उपयोग करना संभव है जो कॉर्पोरेट नेटवर्क को सुरक्षा के लिए भेजा जाता है। YARA नियम ई-मेल पर और विशेष रूप से उनकी संलग्न फाइलों पर, या नेटवर्क के अन्य हिस्सों पर, जैसे कि रिवर्स प्रॉक्सी सर्वर पर HTTP संचार पर लॉन्च किए जा सकते हैं, उदाहरण के लिए। बेशक, इसका उपयोग पहले से मौजूद विश्लेषण सॉफ़्टवेयर के अतिरिक्त के रूप में किया जा सकता है।

देख: लिनक्स 30 साल का हो गया: ओपन सोर्स ऑपरेटिंग सिस्टम का जश्न (मुफ्त पीडीएफ) (टेक रिपब्लिक)

आउटगोइंग नेटवर्क संचार विश्लेषण

आउटगोइंग संचार का विश्लेषण आउटगोइंग मैलवेयर संचार का पता लगाने के लिए YARA नियमों का उपयोग करके किया जा सकता है, लेकिन डेटा एक्सफ़िल्टरेशन का पता लगाने का प्रयास करने के लिए भी। कंपनी से वैध दस्तावेजों का पता लगाने के लिए बनाए गए कस्टम नियमों के आधार पर विशिष्ट YARA नियमों का उपयोग करना डेटा हानि निवारण प्रणाली के रूप में काम कर सकता है और आंतरिक डेटा के संभावित रिसाव का पता लगा सकता है।

ईडीआर एकीकरण

YARA एक परिपक्व उत्पाद है और इसलिए कई अलग-अलग EDR (एंडपॉइंट डिटेक्शन एंड रिस्पांस) समाधान व्यक्तिगत YARA नियमों को इसमें एकीकृत करने की अनुमति देते हैं, जिससे एक क्लिक के साथ सभी एंडपॉइंट पर डिटेक्शन चलाना आसान हो जाता है।

मैं यारा कैसे स्थापित करूं?

YARA विभिन्न ऑपरेटिंग सिस्टम के लिए उपलब्ध है: macOS, Windows और Linux।

MacOS पर YARA कैसे स्थापित करें

YARA को macOS पर इंस्टाल किया जा सकता है होमब्रू. बस कमांड टाइप करें और निष्पादित करें:

brew install YARA

इस ऑपरेशन के बाद, YARA कमांड लाइन में उपयोग के लिए तैयार है।

विंडोज़ पर यारा कैसे स्थापित करें

यारा ऑफर विंडोज बायनेरिज़ आसान उपयोग के लिए। एक बार वेबसाइट से ज़िप फ़ाइल डाउनलोड हो जाने के बाद, इसे किसी भी फ़ोल्डर में अनज़िप किया जा सकता है और इसमें दो फ़ाइलें होती हैं: Yara64.exe और Yarac64.exe (या Yara32.exe और Yarac32.exe, यदि आपने फ़ाइलों का 32-बिट संस्करण चुना है) )

फिर यह कमांड लाइन पर काम करने के लिए तैयार है।

लिनक्स पर YARA कैसे स्थापित करें

YARA को सीधे इसके सोर्स कोड से इंस्टॉल किया जा सकता है। उसे डाऊनलोड कर लें यहां सोर्स कोड (tar.gz) लिंक पर क्लिक करके फाइलों को एक्सट्रेक्ट करें और कंपाइल करें। एक उदाहरण के रूप में हम YARA के संस्करण 4.1.3 का उपयोग करेंगे, जो इस लेखन के समय का नवीनतम संस्करण है, एक Ubuntu सिस्टम पर।

कृपया ध्यान दें कि कुछ पैकेज अनिवार्य हैं और YARA को स्थापित करने से पहले स्थापित किया जाना चाहिए:

sudo apt install automake libtool make gcc pkg-config

एक बार हो जाने के बाद, फ़ाइलों का निष्कर्षण और स्थापना चलाएँ:

tar -zxf YARA-4.1.3.tar.gz
cd YARA-4.1.3
./bootstrap.sh
./configure
make
sudo make install

YARA को स्थापित करना आसान है, फिर भी सबसे कठिन हिस्सा कुशल YARA नियम लिखना सीख रहा है, जिसके बारे में मैं अपने अगले लेख में बताऊंगा।

और देखें

Leave a Reply

Your email address will not be published.

%d bloggers like this: