Lorsque l’on évoque des signatures d’attaques d’un système d’information via des malwares, il est naturel de penser à des détections basées sur le réseau. La sophistication atteinte par certains malwares et autres outils actuels de prise de contrôle à distance impose cependant de mettre en place des mécanismes de détection complémentaires. Ces derniers se basent sur une corrélation d’informations provenant aussi bien du réseau que des équipements qui le peuplent. Le format IOC (Indicator Of Compromise), vu dans le numéro précédent de MISC, permet de créer de telles signatures.Pour compléter ce format, il existe un système basé uniquement sur la détection de binaires, Yara.Yara permet de détecter des malwares ainsi que des outils d’attaques, que ce soit lors d’opérations de réponse à incident de sécurité informatique ou lors de contrôles récurrents du système d’information.
1. Présentation
Le présent article a pour seule vocation d’apporter un éclairage sur Yara afin de pouvoir commencer à écrire des signatures dans le format éponyme.
Le projet Yara [1] existe depuis septembre 2008, date de publication de la version 1.0 du logiciel. Le projet a eu quelques difficultés à prendre de l'ampleur, mais il semble depuis quelques mois avoir retenu l’attention d'une grande partie de la communauté de lutte antivirale et de réponse à incident de sécurité informatique.
Le projet se décrit lui-même comme un outil d’identification et de classification de malwares. Dans la pratique, il est surtout utilisé comme un outil de détection ; la partie « classification » étant plutôt le résultat d’une analyse humaine. Le code source de l’outil est disponible et il est possible de faire fonctionner Yara sous Windows, Linux, ou Mac OS X.
La détection réalisée par Yara s'appuie uniquement sur les caractéristiques propres aux...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première