Gut aufgestellt gegen Schadcode
Malware-Signaturen mit Yara einfach selbst schreiben
Yara ermöglicht das Erkennen von Schadsoftware mittels selbst geschriebener Regeln. Deren einfache Syntax macht das Tool auch für die Malware-Jagd auf dem heimischen PC interessant.
Als „Schweizer Taschenmesser für Malware-Forscher“ bezeichnen die Entwickler von VirusTotal ihre Software Yara auf der Projektseite. Das ist keine Übertreibung: Mittlerweile spielt das schlanke Open-Source-Tool als solides und vielseitiges Werkzeug im Arbeitsalltag vieler Sicherheitsforscher eine zentrale Rolle. Es ermöglicht das Klassifizieren und Erkennen von Schadsoftware mittels Signaturen in Textform – sogenannter Yara-Regeln. Die kommen mittlerweile nicht nur in Anti-Viren-Produkten namhafter Hersteller zum Einsatz, sondern sind oft auch fester Bestandteil von Analysen zu aktuellen Sicherheitsbedrohungen.
Mit Yara kann man aber noch andere coole Sachen machen: Mit geeigneten Regeln durchsucht das Tool Dateien, Ordner und laufende Prozesse auf Windows-, Linux- und macOS-Rechnern nach allem, was man finden möchte. Erinnern Sie sich zum Beispiel daran, wo Sie das Kuchenrezept gespeichert haben, das in Ihrer Familie seit Generationen weitergegeben wird? Ob Sie es nun vermisst haben oder nicht: Yara findet es für Sie wieder. Und wenn Sie möchten, sucht das Tool bei der Gelegenheit auch gleich nach der neuen Spyware, vor der das US-CERT erst heute Morgen gewarnt hat. Die Regel-Syntax ist gar nicht so kompliziert.
