Το YARA-X 1.11.0 κυκλοφόρησε με νέα προειδοποιήσεις λειτουργίας κατακερματισμού

Το VirusTotal κυκλοφόρησε το YARA-X έκδοση 1.11.0, εισάγοντας μια σημαντική νέα δυνατότητα που έχει σχεδιαστεί για να βελτιώσει την αξιοπιστία των κανόνων και να μειώσει τα ψευδώς αρνητικά στον εντοπισμό κακόβουλου λογισμικού.

Η τελευταία ενημέρωση εισάγει προειδοποιήσεις για τη λειτουργία κατακερματισμού που βοηθούν τους ερευνητές ασφαλείας να εντοπίζουν κοινά λάθη κατά τη σύνταξη κανόνων ανίχνευσης YARA.

Το YARA-X είναι μια μηχανή ανίχνευσης κακόβουλου λογισμικού που χρησιμοποιείται ευρέως από επαγγελματίες της κυβερνοασφάλειας για τον εντοπισμό κακόβουλων αρχείων.

Κατά τη σύνταξη κανόνων YARA, οι αναλυτές χρειάζεται συχνά να ταιριάζουν με συγκεκριμένους κατακερματισμούς κρυπτογράφησης, είτε τον πλήρη κατακερματισμό του αρχείου είτε τμήματα του περιεχομένου του αρχείου.

Ωστόσο, αυτές οι λειτουργίες είναι ουσιαστικά συγκρίσεις συμβολοσειρών και όχι άμεσες επικυρώσεις κατακερματισμού.

Οι λειτουργίες κατακερματισμού στο YARA-X, όπως κατακερματισμός. sha256, επιστρέφει δεκαεξαδικές συμβολοσειρές που αντιπροσωπεύουν την υπολογισμένη τιμή κατακερματισμού.

Στη συνέχεια, αυτές οι συμβολοσειρές συγκρίνονται με τις κυριολεκτικές τιμές κατακερματισμού που καθορίζονται στον κανόνα. Αυτή η διαδικασία λειτουργεί σωστά, αλλά εισάγει ευκαιρίες για ανθρώπινο λάθος.

Το νέο σύστημα προειδοποίησης αντιμετωπίζει δύο διαδεδομένα ζητήματα που μαστίζουν την ανάπτυξη κανόνων YARA:

Λάθη τυπογραφίας και μορφοποίησης: Οι αναλυτές ασφαλείας κάνουν συχνά απλά λάθη κατά την εισαγωγή τιμών κατακερματισμού.

Η προσθήκη ενός ακούσιου διαστήματος, η λανθασμένη πληκτρολόγηση χαρακτήρων ή η εισαγωγή ασυνεπειών μορφοποίησης εμποδίζει τον κανόνα να ταιριάζει με τους επιδιωκόμενους στόχους. Προηγουμένως, αυτά τα σφάλματα αποτυγχάνουν σιωπηλά χωρίς ειδοποίηση.

Αναντιστοιχίες αλγορίθμου κατακερματισμού: Ένα άλλο κοινό πρόβλημα παρουσιάζεται όταν οι προγραμματιστές αναμειγνύουν κατά λάθος τύπους κατακερματισμού.

Για παράδειγμα, παροχή μιας συμβολοσειράς κατακερματισμού SHA1 όταν πρόκειται να γίνει σύγκριση SHA256. Ο κανόνας δεν θα ταιριάζει ποτέ επειδή τα μήκη και οι μορφές συμβολοσειράς δεν ευθυγραμμίζονται σωστά.

Πρόσθετες βελτιώσεις κυκλοφορίας

Πέρα από τις προειδοποιήσεις συνάρτησης κατακερματισμού, το YARA-X 1.11.0 περιλαμβάνει αρκετές σημαντικές βελτιώσεις σε πολλαπλές λειτουργικές μονάδες και API.

Η υλοποίηση της μονάδας DEX επιτρέπει δυνατότητες ανίχνευσης για αρχεία Android DEX. Αντίθετα, η λειτουργική μονάδα macOS υποστηρίζει τώρα ανάλυση πρόσθετων εντολών φόρτωσης Mach-O, συμπεριλαμβανομένων των LC_LAZY_LOAD_DYLIB και LC_LOAD_UPWARD_DYLIB.

Η έκδοση ενισχύει επίσης τον αναλυτή για την επιβολή αυστηρότερων κανόνων επικύρωσης. Εισάγει νέα λειτουργικότητα, όπως τη μέθοδο imports() για το Python API.

Η δυνατότητα permhash έχει εφαρμοστεί για τη μονάδα CRX, επεκτείνοντας τις δυνατότητες ανάλυσης επεκτάσεων Chrome. Η ενημέρωση επιλύει σημαντικά σφάλματα που επηρεάζουν την αξιοπιστία του αναλυτή και την εκτέλεση κανόνων.

Τα διορθωμένα ζητήματα περιλαμβάνουν συνθήκες πανικού κατά τη σύγκριση των δυαδικών τιμών και τον χειρισμό μη έγκυρων ακολουθιών διαφυγής Unicode.

Η λειτουργική μονάδα Python έχει βελτιστοποιηθεί για να αποτρέπει την περιττή απόκτηση Global Interpreter Lock κατά τις λειτουργίες σάρωσης, βελτιώνοντας την απόδοση.

Σύμφωνα με GitHub συμβουλευτικά, το YARA-X 1.11.0 είναι διαθέσιμο σε Windows, macOS και Linux. Η έκδοση περιλαμβάνει τόσο δυαδικές διανομές όσο και πηγαίο κώδικα, καθιστώντας την προσβάσιμη για προγραμματιστές και ομάδες ασφαλείας σε όλο τον κόσμο.

Αυτή η ενημέρωση ενισχύει τη δέσμευση της YARA-X να παρέχει ισχυρές, φιλικές προς το χρήστη δυνατότητες ανίχνευσης κακόβουλου λογισμικού.