Sono lieto di condividere con voi una mod, dello strumento Yara-Scanner, creato e sviluppato in collaborazione con Davide Bovio, che introduce nuove funzionalità allo scipt originale. Yara-Scanner è uno strumento Yara basato su regole, scritto in python, molto utile nella caccia alle minacce e come scanner Indicatore di compromissione (#IoC).
Caratteristiche dello scanner Yara:
- Scansiona un singolo file, tenta di trovare un modello che corrisponda al file specificato
- Scansiona una directory, cerca i file nel percorso della directory specificato e prova a trovare un modello che corrisponda alle regole di Yara
- Scansiona i registri di accesso al Web, ottiene l’elenco dei percorsi dei file a cui si accede dai log di accesso e tenta di trovare un modello che corrisponda alle regole di Yara
- Recupera automaticamente le regole di Yara da Neo23x0
- Flessibilità, utilizzando regole Yara personalizzate
- Report di scansione HTML
- Consegna rapporti via e-mail
- Avvisi e-mail, quando viene trovata una corrispondenza di pattern
- Logging
Cosa aggiunge questa mod alle funzionalità originali?
- Aggiunto un campo nel rapporto con HOSTNAME e USERNAME
- Implementato un multithread per velocizzare la scansione
- Ora lo script impegna fino al 60% della CPU
- Aggiunto multithread nella routine “matchfile”
- Aggiunto multithread nella routine “match”
- NB: il numero massimo di work dipende dal numero di core della CPU occupati
- Possibilità di vedere il numero totale di file da scansionare e il numero del file di scansione corrente
- Visualizzare il percorso completo del file
- Se lo script si arresta in modo anomalo i risultati correnti verranno salvati nel file di registro
Altri cambiamenti:
- Creato un nuovo modulo yara_match.py
- La “corrispondenza” di routine è stata spostata (da yara_scanner.py a yara_match.py)
- Modulo yara_match.py:
- “matchrule” è stato suddiviso per l’analisi
- “matchfile” è stato diviso per l’analisi dei file
Join the quest!
Download al link: https://github.com/s33ke3/Yara-Scanner