Yara 4.1.0: Tool zum Schreiben eigener Malware-Signaturen in neuer Version

Die neue Yara-Version 4.1.0 erleichtert das Suchen und Finden von Schadcode mit fĂĽnf neuen Operatoren und birgt zudem kleinere Verbesserungen und Bugfixes.

In Pocket speichern vorlesen Druckansicht

(Bild: zefart/Shutterstock.com)

Lesezeit: 2 Min.

Die Entwickler des Open-Source-Tools Yara zum Aufspüren von Schadsoftware mittels eigener Signaturen haben vergangene Woche eine neue Version veröffentlicht. Spannend an Yara 4.1.0 ist, dass es neben einer Handvoll Bugfixes auch ein paar funktionale Neuerungen umfasst. Mit an Bord sind unter anderem fünf neue Operatoren, die das Definieren von Bedingungen für positive Suchtreffer mit Yara-Regeln noch flexibler gestalten.

Eine Beispielregel zeigt die recht einfache Yara-Syntax zur String-Suche auf Basis einer Bedingung.

(Bild: yara.readthedocs.io)

Yara (Eigenschreibweise "YARA") spielt im Arbeitsalltag vieler Sicherheitsforscher eine zentrale Rolle. Es dient dazu, Signaturen in Textform, so genannte Yara-Regeln, zu erstellen, mit denen man Schadsoftware anhand spezifischer Strings suchen und finden kann. Die Syntax dieser Regeln ist recht einfach und kann von jeder und jedem schnell erlernt werden. Sie kommen nicht nur in Anti-Viren-Produkten namhafter Hersteller zum Einsatz, sondern sind oft auch fester Bestandteil von Analysen zu aktuellen Sicherheitsbedrohungen.

Auch für Privatpersonen die mit Schadcode-Suche eher weniger am Hut haben, bietet Yara interessante Einsatzszenarien. Mit geeigneten Regeln durchsucht das Tool etwa Dateien, Ordner und laufende Prozesse auf Windows-, Linux- und macOS-Rechnern nach allem, was man finden möchte. Wie das geht, haben wir bereits vor längerer Zeit in c't- und heisec-Hintergrundartikeln erklärt:

Für den "condition"-Abschnitt von Yara-Regeln, in dem die Bedingungen für einen Suchtreffer definiert werden, gibt es mit Yara 4.1.0 feinere Definitionsmöglichkeiten. Neu an Bord sind die Operatoren startswith und endswith nebst ihrer nicht case-sensitiven (also Groß- und Kleinschreibung ignorierenden) Pendants istartswith und iendswith. Dem "Operators"-Abschnitt der offiziellen Yara-Dokumentation zufolge dienen die neuen Operatoren der gezielten Substring-Suche am Anfang beziehungsweise am Ende eines Strings. Der fünfte "neue" Operator im Bunde ist icontains, die nicht case-sensitive Fassung des bereits zuvor verfügbaren contains zur Substring-Suche an beliebiger Position innerhalb eines Strings.

Eine vollständige Übersicht über weitere kleinere Neuerungen – unter anderem kann Yara jetzt die Escape-Sequenz \t in Suchstrings verarbeiten und eine Warnmeldung bei zu vielen String-Übereinstimmungen ausgeben – findet sich bei GitHub. Dort steht Yara 4.1.0 sowohl in Gestalt fertig kompilierter Binaries (Windows, 32-/64-Bit) als auch in Quellcode-Form zum Download bereit.

(ovw)