Comprensión de las reglas YARA

Compartir

¿Le resulta útil este artículo?

Última actualización:

Resumen de las reglas YARA

PhishER usa reglas con lógica YARA (acrónimo de Yet Another Recursive/Ridiculous Acronym) para clasificar y etiquetar los mensajes que se reenvían a la Inbox (Bandeja de entrada) de PhishER. YARA es una herramienta que se utiliza para identificar y clasificar las muestras de malware. Puede escribir reglas personalizadas mediante la lógica YARA. Para obtener información general sobre la creación de reglas en PhishER, consulte el artículo Cómo crear y gestionar reglas de PhishER. Para ayudarle a dar sus primeros pasos con las reglas YARA, consulte la lista con reglas y casos de uso habituales en nuestro artículo Casos de uso de reglas YARA.

Nota:En estos momentos, PhishER es compatible con la versión 4.1.2 de YARA. Para obtener más información, consulte el documento Writing YARA rules (Escritura de reglas YARA).

Uso de la lógica YARA

Una regla YARA es una expresión lógica que incluye una descripción basada en patrones binarios o textuales. Una regla comienza con un identificador de regla. La descripción de cada regla incluye las tres secciones siguientes: metadatos, cadenas y condición. Estas determinan el funcionamiento de las reglas.

Nota:Use caracteres ASCII para escribir reglas personalizadas en PhishER. No puede crear una regla en PhishER que incluya caracteres que no sean ASCII. Para obtener más información, consulte esta página web sobre ASCII.

Identificador de regla

Comience todas las reglas YARA por la palabra clave rule (regla), seguida de un identificador. Un identificador es un nombre único asignado a su regla. Los identificadores de reglas distinguen las mayúsculas de las minúsculas, no pueden incluir espacios ni empezar por un valor numérico. Tampoco pueden incluir ninguna de las palabras clave que aparecen en el documento Writing YARA Rules (Escritura de reglas YARA).

Metadatos

A continuación, puede incluir una sección meta (metadatos) en la que añadir comentarios o datos sobre la regla. Si hay varios administradores que escriban o editen reglas YARA en PhishER, usar la sección meta (metadatos) puede ser útil como un registro de cambios interno.

Nota:La información facilitada en la sección de metadatos no se usa en ninguna variación de detección de malware.

Cadenas

En la sección strings (cadenas), deberá establecer una variable y su valor. Cada variable viene indicada por el símbolo $, seguido del nombre de esta. Las variables distinguen mayúsculas de minúsculas y no pueden incluir espacios ni comenzar por un valor numérico.

Nota:Si está usando una variable global en su regla, introduzca el valor de esta variable entre corchetes dobles. Deberá introducir el valor tal y como se muestra en la lista de reglas en Rules (Reglas) > Global Variables (Variables globales) en la plataforma PhishER. Para obtener más información sobre las variables globales, consulte el apartado Uso de las variables globales en el artículo Cómo crear y gestionar reglas de PhishER.

Condition (Condición)

En la sección condition (condición), escriba una expresión a partir de operadores lógicos para indicar qué quiere que su regla detecte. Todas las reglas deben contar con una sección condition. La condición debe abarcar todas las cadenas.

¿Le ha resultado útil este artículo?

Usuarios a los que les pareció útil: 15 de 18

¿No encuentra lo que busca?

Hablar con asistencia técnica