Comprendere le regole YARA

Condividi

Questo articolo è utile?

Ultimo aggiornamento:

Panoramica delle regole YARA

PhishER utilizza regole con una logica YARA (Yet Another Recursive/Ridiculous Acronym) per classificare ed etichettare i messaggi inoltrati alla tua Inbox (Posta in arrivo) di PhishER. YARA è uno strumento utilizzato per identificare e classificare i campioni di malware. Utilizzando la logica YARA puoi scrivere regole personalizzate. Per informazioni generali sulla creazione di regole in PhishER, leggi l’articolo Come creare e gestire le regole di PhishER. Per iniziare a usare le regole YARA, leggi l’elenco dei casi d’uso e delle regole comuni nell’articolo Casi d’uso per le regole YARA.

Nota:Attualmente PhishER supporta la versione 4.1.2 di YARA. Per maggiori informazioni, consulta la documentazione di YARA Scrivere regole YARA.

Uso della logica YARA

Una regola YARA è un’espressione logica con una descrizione basata su schemi testuali o binari. Una regola inizia con un identificatore di regola e la descrizione di una regola contiene tre sezioni: meta, strings (stringhe) e condition (condizione). Queste sezioni determinano come funziona la regola.

Nota:per scrivere regole personalizzate in PhishER usa i caratteri ASCII. È impossibile creare una regola di PhishER che contenga caratteri non ASCII. Per saperne di più sui caratteri ASCII, visita questa pagina web ASCII.

Identificatore della regola

Inizia ogni regola YARA con la parola chiave rule (regola) seguita da un identificatore. L’identificatore è un nome univoco per la regola. Gli identificatori delle regole distinguono maiuscole e minuscole, non possono includere spazi, non devono iniziare con un valore numerico e non possono includere nessuna delle parole chiave elencate nella documentazione di YARA Writing YARA Rules (Scrivere regole YARA).

Meta

Successivamente, puoi includere una sezione meta per aggiungere commenti o dettagli relativi alla regola. Se ci sono più admin che scrivono o modificano le regole YARA in PhishER, può essere utile utilizzare la sezione meta come registro delle modifiche interne.

Nota:le informazioni fornite nella sezione meta non vengono utilizzate per alcun tipo di rilevamento di malware.

Stringhe

Nella sezione strings (stringhe), dichiara una variabile e imposta il relativo valore. Ogni variabile è indicata dal segno $ seguito dal nome della variabile. Le variabili distinguono maiuscole e minuscole, non possono includere spazi e non devono iniziare con un valore numerico.

Nota:se nella tua regola usi una variabile globale, inserisci il valore della variabile globale tra doppie parentesi. Il valore deve essere inserito così come viene visualizzato nell’elenco delle regole in Regole (Rules) > Global Variables (Variabili globali) nella tua piattaforma PhishER. Per maggiori informazioni sulle variabili globali, consulta la sezione Utilizzo delle variabili globali dell’articolo Come creare e gestire le regole di PhishER.

Condition (Condizione)

Nella sezione condition (condizione), scrivi un’espressione utilizzando gli operatori logici per indicare quali elementi devono essere rilevati dalla regola. Tutte le regole devono avere una sezione condition (condizione) e la condizione deve includere tutte le stringhe.

Questo articolo è stato utile?

Utenti che ritengono sia utile: 15 su 18

Non trovi quello che stai cercando?

Contatta l’assistenza