YARA-Regeln

Teilen

Ist dieser Artikel hilfreich?

Letzte Aktualisierung:

Übersicht über YARA-Regeln

PhishER verwendet Regeln mit der YARA-Logik (Yet Another Recursive/Ridiculous Acronym), um die an die Inbox (Posteingang) von PhishER weitergeleiteten Nachrichten einzustufen und mit Tags zu versehen. YARA ist ein Tool zum Erkennen und Klassifizieren von Malware. Mit der YARA-Logik können Sie benutzerdefinierte Regeln schreiben. Weitere Informationen über das Erstellen von Regeln in PhishER finden Sie im Artikel So erstellen und verwalten Sie Regeln in PhishER. Um Ihnen den Einstieg in die Arbeit mit YARA-Regeln zu erleichtern, finden Sie in unserem Artikel Anwendungsbeispiele für YARA-Regeln eine Liste der häufigsten Anwendungsfälle und Regeln.

Hinweis: PhishER unterstützt momentan Version 4.1.2 von YARA. Weitere Informationen finden Sie in der YARA-Dokumentation Schreiben von YARA-Regeln.

Verwenden der YARA-Logik

Eine YARA-Regel ist ein logischer Ausdruck mit einer Beschreibung, der auf Text- oder Binärmustern basiert. Eine Regel beginnt mit einer Regelkennung und die Beschreibung einer Regel enthält drei Abschnitte: Meta, Zeichenfolgen und Bedingung. Diese Abschnitte bestimmen, wie eine Regel funktioniert.

Hinweis: Verwenden Sie ASCII-Zeichen, um benutzerdefinierte Regeln in PhishER zu schreiben. PhishER-Regeln können nur mit ASCII-Zeichen erstellt werden. Weitere Informationen zu ASCII-Zeichen finden Sie auf der ASCII-Webseite.

Regelkennung

Beginnen Sie jede YARA-Regel mit dem Schlüsselwort rule, gefolgt von einer Kennung. Eine Kennung ist ein eindeutiger Name für die Regel. Bei Regelkennungen wird zwischen Groß- und Kleinschreibung unterschieden. Sie dürfen keine Leerzeichen enthalten, nicht mit einer Zahl beginnen und keine der in der YARA-Dokumentation Schreiben von YARA-Regeln aufgeführten Schlüsselwörter enthalten.

Meta

Als Nächstes können Sie einen meta-Abschnitt einfügen, um Kommentare oder Details zur Regel hinzuzufügen. Wenn mehrere Administrator:innen in PhishER YARA-Regeln schreiben oder bearbeiten, kann es hilfreich sein, den meta-Abschnitt als internes Änderungsprotokoll zu verwenden.

Hinweis: Die im meta-Abschnitt angegebenen Informationen werden nicht für Variationen der Malware-Erkennung verwendet.

Zeichenfolgen

Deklarieren Sie im strings-Abschnitt eine Variable und legen Sie deren Wert fest. Jede Variable wird durch ein $-Zeichen gekennzeichnet, gefolgt vom Variablennamen. Bei Variablen wird zwischen Groß- und Kleinschreibung unterschieden. Sie dürfen weder Leerzeichen enthalten noch mit einer Zahl beginnen.

Hinweis: Bei Verwendung einer globalen Variable in der Regel muss der Wert der globalen Variable in doppelten Klammern eingegeben werden. Geben Sie den Wert so ein, wie er in der Regelliste unter Rules (Regeln) > Global Variables (Globale Variablen) auf der PhishER-Plattform angezeigt wird. Weitere Informationen zu globalen Variablen finden Sie im Abschnitt Verwenden globaler Variablen des Artikels So erstellen und verwalten Sie Regeln in PhishER.

Bedingung

Schreiben Sie im condition-Abschnitt einen Ausdruck mit logischen Operatoren, um anzugeben, was mithilfe der Regel erkannt werden soll. Jede Regel muss über einen condition-Abschnitt verfügen und in der Bedingung müssen alle Zeichenfolgen enthalten sein.

War dieser Artikel hilfreich?

15 von 18 fanden dies hilfreich

Sie finden nicht, wonach Sie suchen?

Support kontaktieren