Categories: ⚔️, Hacking, Tool1.7 min read

Yara-Scanner_MOD

Sono lieto di condividere con voi una mod, dello strumento Yara-Scanner, creato e sviluppato in collaborazione con Davide Bovio, che introduce nuove funzionalità allo scipt originale. Yara-Scanner è uno strumento Yara basato su regole, scritto in python, molto utile nella caccia alle minacce e come scanner Indicatore di compromissione (#IoC).

:atom: Caratteristiche dello scanner Yara:

  • Scansiona un singolo file, tenta di trovare un modello che corrisponda al file specificato
  • Scansiona una directory, cerca i file nel percorso della directory specificato e prova a trovare un modello che corrisponda alle regole di Yara
  • Scansiona i registri di accesso al Web, ottiene l’elenco dei percorsi dei file a cui si accede dai log di accesso e tenta di trovare un modello che corrisponda alle regole di Yara
  • Recupera automaticamente le regole di Yara da Neo23x0
  • Flessibilità, utilizzando regole Yara personalizzate
  • Report di scansione HTML
  • Consegna rapporti via e-mail
  • Avvisi e-mail, quando viene trovata una corrispondenza di pattern
  • Logging

:electron: Cosa aggiunge questa mod alle funzionalità originali?

  • Aggiunto un campo nel rapporto con HOSTNAME e USERNAME
  • Implementato un multithread per velocizzare la scansione
  • Ora lo script impegna fino al 60% della CPU
    • Aggiunto multithread nella routine “matchfile”
    • Aggiunto multithread nella routine “match”
    • NB: il numero massimo di work dipende dal numero di core della CPU occupati
  • Possibilità di vedere il numero totale di file da scansionare e il numero del file di scansione corrente
  • Visualizzare il percorso completo del file
  • Se lo script si arresta in modo anomalo i risultati correnti verranno salvati nel file di registro

📚 Altri cambiamenti:

  • Creato un nuovo modulo yara_match.py
  • La “corrispondenza” di routine è stata spostata (da yara_scanner.py a yara_match.py)
  • Modulo yara_match.py:
    • “matchrule” è stato suddiviso per l’analisi
    • “matchfile” è stato diviso per l’analisi dei file

Join the quest!

Download al link: https://github.com/s33ke3/Yara-Scanner

Go to Top