본문 바로가기

Onepage Security

Yara 버전 2.0 공식 배포

반응형

Yara 버전 2.0 공식 배포

 

http://plusvic.github.io/yara/

 

악의적인 파일을 시그네처기반으로 탐지하는 룰셋을 특정 패턴을 이용하여 사용자 정의로 제작할 수 있어 많은 오픈소스도구에 활용하고 있는 Yara가 2.0으로 업데이트 되었습니다. 이번 2.0에서는 1.0과 다르게 많은 변화를 하였다고 하고, 직접 테스트한 결과 엄청나게 빨라졌다 합니다.

아래는 주요 업데이트 상황을 본문을 나름 해석한 내용입니다.

2.0버전은 빠르고 엄청 빠르다. 개발자인 나를 믿어라!! YARA 에서 2.0 스캔 속도는 규칙에 따라 2배에서 100배까지 빠르다. 100배의 속도는 단지 특정 케이스 에서 경험되었지만 규칙의 크고 다양한 세트를 가지고 있다면, 확실히 개선되었다는 것을 알 수 있다.

뛰어난 멀티 스레딩 지원 . YARA 의 이전 버전에서도 스레드는 안전 수준 까지 증가했다. 규칙을 컴파일 하고 동시에 여러 파일을 스캔하고 각 스레드가 컴파일 된 규칙 자체 집합을 사용하고 있고 조건으로 사용할 수 있다. YARA 버전 2.0에서는 여러 스레드가 동시에 여러 파일을 스캔하도록 동일한 컴파일 된 규칙을 공유 할 수 있다. 새로운 YARA 명령줄 스캐너는 진행을 가져 다중 스레드 된 매우 빠른 디렉토리 전체 를 검색 할 수 있다.

규칙을 이진 형식으로 저장할 수 있다.  YARA 버전 2.0을 사용하여 규칙을 적용하여 컴파일 할 수 있으며, 나중에 사용하기 위해 이진 파일에 저장하고 실행 파일을 만드는 데 프로그램의 소스 코드를 컴파일 할 수 있다. 이 방법은 그 파일들을 다시 분석 하지 않고 미리 컴파일 된 규칙을 사용 할 수 있다. 실제 소스 코드 를 공개 하지 않고 다른 사람과 규칙을 공유 할 수 있다.

Yara에 대해 참고할만한 문서
Yara 2.0 릴리즈 테스트: http://hidka.tistory.com/203

Yara 한국 번역 문서(버전 1.6기준): http://chogar.blog.me/80182473714
Yara Resource(Yara 모음자료): http://chogar.blog.me/80183283826
오픈소스도구 활용-TotalRecall: http://chogar.blog.me/80198944530
메모리 포렌식 기법을 이용한 악성코드 분석의 좋은 예: http://chogar.blog.me/80204251102
Yara를 이용한 악성코드 시그네처 확인: http://chogar.blog.me/80194089323
 

반응형