Hepinize merhabalar bu yazımda size Yara kuralı nedir ve yara kuralının nasıl yazıldığını Zeus Botnet zararlı yazılımı üzerinden anlatmaya çalışacağım. Şimdiden iyi okumalar. 🙂
YARA Nedir?
YARA, zararlı yazılımların tespit edilmesine, tanımlanmasına ve sınıflandırılmasına en hızlı ve en iyi şekilde yardımcı olmayı amaçlayan bir tool(araç) dur. VirüsTotal tarafından geliştirilmiş ve open source bir kaynaktır.
YARA’nın çalıştırılabilir dosyasını indirip kendi sisteminizde de çalıştırabilirsiniz. Son sürümünü http://plusvic.github.io/yara/ adresinden indirebilirsiniz.
Yara Kuralının Yazılması
Yara kuralları ise zararlı yazılımların sınıflandırılmasında ve bu zararlı yazılımların kodlarının hex değerlerinin tanımlanmasında yardımcı olmak için oluşturulan kurallardır. Yazdığımız bu kuralları saldırı tespit sistemlerimize eklediğimiz zaman sisteme sızmaya çalışan bir zararlı yazılımı daha önceden hazırladığımız yara kuralı ile rahatlıkla sistemden bertaraf edebiliriz. Bu yara kuralları sayesinde de yara kuralını yazdığımız malwareların sistemimize vereceği zarardan kendimizi koruruz.
Her bir YARA kural tanımlaması bir takım mantıksal ifadelerden oluşur. Bu ifadelerden aşağıda bahsettim ben burada Zeus Botnet zararlı yazılımını ele aldım ve basit bir şekilde yara kuralının yazımından bahsettim.
Basit bir yara kuralının temel mantığı şöyledir:
rule kural_ismi
{
meta:
authour= “Mehmetkadir”
decription=”x_yarakuralı”
strings:
$a =”malware”
$b=”yara kuralları”
condition:
$a and $b
}
- Buradaki amacım Zeus Botnet in kendine ait özellklerini tespit edip yara kuralını hazırlamak olacaktır.
Öncelikle sanal Windows 7 makinama Hxd yi kurdum ve çalıştırdım daha sonra ise Zeus Botnet in dosyasını indirdim ve bu dosyayı Hxd’nin içerisine dahil ettim.
- Bu kısımda ilk olarak PK değeri karşıma çıktı ve bunun önemli birşey olabileceğini düşündüm ve yara kuralı içine eklemek istedim.
- Bu kısımda kdr string ifadesinin benim için önemli olabileceğini düşündüm ve bunu da yara kuralına eklemek istedim.
- Buradaki string ifade de dikkatimi çekti ve biraz araştırdıktan sonra Tor kullanan Zeus Botnetin kaynak kodu olduğu kanısına vardım.
- Bu kısımda da string olarak MZ değeriyle karşılaştım. MZ yani windowsun standrt çalıştırılabilir dosya olduğunu belirtir.
Ve en son hazırladığım yara kuralı kısaca şu şekilde oluştu. İlk olarak yara kuralına bir ad verdim. Daha sonra PK, kdr, Tor ağındaki kaynak kodun string ifadesi ve MZ değerini yara kuralıma ekledim. Ve son olarak condition kısmında bu 4 ifade ile aynı anda karşılaşılma durumunda uyarı vermesi gerektiği kanısına vardım. Tabi sizler burada kendinize göre değişiklikler yapabilirsiniz. Ve yazacağınız yara kuralını buna göre düzenleyebilirsiniz.
Buraya kadar okuduğunuz için Teşekkürler. 🙂