YARA は、パターンマッチングを用いてマルウェアやフィッシング攻撃を検出するための手法です。
本ガイドでは、Email Body(本文)、Header(ヘッダー)、Attachment(添付ファイル) をターゲットとした YARA ルールの作成方法について説明します。
セキュリオでは、一部のプラン・お客様に向けて提供中の「ルール(β)」画面にて設定が可能です。
YARA ルールの基本構造
YARA ルールは、以下の4つのセクションで構成されます。
??ルール ID
そのルールのID(名前)をつけます
- 各ルールは
ruleキーワードの後に一意の識別子(英数字のみ)を付けて定義 - ルール名は大文字と小文字を区別し、スペースや数字で始めることは不可
- 日本語のルール ID は使用できません
??meta セクション
- ルールに関する補足情報を記述(作成者、日付、説明など)
- 任意項目なので、なくてもOK
??strings セクション
- 検出したい テキストやバイナリパターン を指定
-
$記号の後に変数として定義し、大文字と小文字を区別 - 変数名はスペースや数字で始めることは不可
? condition セクション
- ルールの適用条件を定義
- 論理演算子(
and,or,not,any of,all of)を利用 - すべてのルールに condition セクションが必須
YARA ルール サンプル例
近日、追加予定です。