Règle YARA : un outil au service de la recherche et détection de logiciels malveillants

14 Mar, 2022

Apparu en 2007, YARA est un framework qui a été mis au jour par Victor Manuel Alvarez pour identifier un malware et le classer dans un groupe de famille partageant les mêmes caractéristiques.
Depuis lors, la méthode est mobilisée par de nombreuses entreprises spécialisées dans la cybersécurité. Chez Sekoia.io, nos chercheurs en cybersécurité s’en servent, par exemple, pour renforcer notre connaissance perpétuelle des groupes de malware et mettre à jour, par la même occasion, notre intelligence center.
Qu’est-ce qu’une règle YARA ? Comment fonctionne-t-elle ? Quels sont ses usages dans l’univers de la cybersécurité (notamment auprès des analystes et chercheurs) ? Voici quelques questions auxquelles nous allons tenter de répondre dans cet article.

Qu’est qu’une règle Yara et comment fonctionne-t-elle ?

Comme évoqué dans l’introduction de cet article, YARA propose un langage permettant de décrire un fichier à l’aide de variables comme sa taille, les chaînes de caractères qui le composent ou des bouts de code compilés. Les règles sont créées à partir d’informations issues d’un sample de malware ou du sample d’un groupe de malware. Cette détection est rendue possible grâce une similarité entre la chaîne de caractères du malware et celle d’une famille de logiciels malveillants, déjà établie.

Exemple de règle Yara réalisée par l’équipe TDR de SEKOIA.IO pour les besoins de cet article.

Command & Control

Dans ce processus d’identification et classification du malware, interviennent également des informations telles que :
• la taille du fichier,
• le type de fichier,
• les chaînes,
• la date de création et autres particularités de ses différentes parties.

En créant des règles YARA à partir de plusieurs échantillons issus de plateformes web telles que VirusTotal, les chercheurs et analystes en cybersécurité s’offrent ainsi un avantage de taille : celui de bloquer un malware avant son exécution dans un réseau. D’autant plus qu’il s’agit ici d’un outil qui n’a pas besoin d’attendre l’exécution d’un fichier avant de le détecter. Outre sa simplicité d’usage, une règle YARA peut être appliquée à des fichiers inertes. C’est également cette particularité qui participe au renforcement de sa popularité au sein des communautés de chercheurs en cybersécurité.

Anticiper la détection de malware, mais aussi instiguer la mise en place d’un renseignement permanent autour des menaces cyber

La règle YARA répond à deux usages principaux dans l’univers de la cybersécurité. Comme évoqué au début de cet article, elle permet d’une part, aux experts cyber de détecter la présence d’un fichier malveillant quelconque dans un système. Dans ce cas, la pratique consiste, par exemple, à l’installer dans un EDR (endpoint detection response).

Dès lors qu’un terminal ou une machine (ordinateur, téléphone) créé ou télécharge un fichier, la règle se met en exécution pour une vérification du fichier. Autrement dit, elle scanne sa chaîne de caractères et signale le cas échéant, son rapprochement avec une famille de logiciels malveillants.

D’autre part, elle permet aux experts CTI, d’améliorer leurs actions de renseignement sur les menaces Cyber. En d’autres termes, elle leur sert, par exemple, à répertorier de nouvelles versions de malwares sur la base d’informations spécifiques à un groupe ou famille de malware.

Dans la pratique, le principe est simple. Il commence par une récupération des fichiers soumis par des entreprises, en particulier sur la plateforme Virustotal, aux fins de vérification pour présence d’un logiciel malveillant. Cette extraction concerne uniquement les fichiers qui ont été détectés par les règles YARA.

La prochaine étape consiste à appliquer sur cette première base de fichiers, une règle YARA. Tel un filet de pêche à la recherche de poissons répondant à une certaine spécificité, la règle YARA permettra ici, de retrouver les variantes du malware et donc de suivre l’évolution du logiciel malveillant, ses nouveaux modes opératoires techniques (si le cas se présente). Cela peut également permettre de lister l’ensemble de son infrastructure si elle est peut être extraite des nouveaux malwares trouvés. Il devient dès lors, possible de répertorier de façon continue l’ensemble des versions du malware ainsi que les serveurs web avec lesquels il communique.

Des procédures similaires sont régulièrement appliquées par les experts Cyber Threat Intelligence de SEKOIA. L’une d’entre elles a permis récemment de dresser un bilan concernant les infrastructures de « Command & Control » utilisées par les groupes cybercriminels et étatiques pour leurs campagnes d’attaques cyber.

À titre d’exemple, ces résultats donnent à voir l’usage de plus de 38000 adresses IP comme serveurs C2 au cours de l’année 2021 par les groupes de ransomware. Ce qui équivaut à une augmentation de plus de 75% par rapport au bilan de l’année 2020. Retranscrites et commentées par les experts CTI de SEKOIA, ces résultats sont accessibles en téléchargement gratuit via le formulaire ou l’URL ci-dessous.

Command & Control

Grâce à ce type d’informations (directement intégrées dans l’intelligence center), le chercheur est en mesure de créer de nouvelles règles YARA. Son exécution permettra cette fois, de notifier la détection de nouvelles versions du malware encore inconnues à une grande échelle. Quant à l’entreprise cliente de la CTI SEKOIA, elle dispose d’un accès à l’ensemble de ces informations autour de l’évolution du malware. Par conséquent, elle renforce sa capacité à neutraliser une éventuelle présence dudit malware avant qu’elle ne porte préjudice.

Par exemple, si l’on constate qu’une entreprise cliente communique avec un serveur web trouvé grâce à l’analyse d’un malware détecté par une règle YARA, nous sommes en mesure d’alerter cette entreprise cliente avant que ladite menace n’ait un impact sur son réseau informatique.

Au-delà de YARA, d’autres règles complémentaires telles que IDS (ex Suricata), Sigma…

La règle Sigma est un outil qui permet de détecter un malware sur la base de ce qu’il FAIT, lorsqu’il s’exécute. Elle permet de détecter également n’importe quelle activité suspecte, qu’elle soit produite par un script ou directement par l’attaquant. Les règles Sigma se basent sur l’analyse des logs, c’est-à-dire des traces enregistrées de chaque action sur la machine. Pour la déployer, la pratique consiste d’abord, à faire exécuter le malware sur une machine virtuelle, appelée aussi « Sandbox » et à enregistrer chacune de ces actions. L’ensemble de ces informations enregistrées est ensuite retranscrit. À cette nouvelle étape du processus, l’objectif est de procéder à une description détaillée de l’ensemble des actions réalisées par le malware. On y retrouve des informations de type :
• Le malware crée un fichier dénommé « X ou Y ».
• Il crée une clé de registre « 0000”
• Il modifie la configuration du dossier et supprime la totalité des données du dossier « Z ».
• Il exécute telle commande…

À leur tour, ces informations seront établies comme une règle sigma permettant de détecter une éventuelle présence du malware, lorsqu’un fichier — envoyé par mail ou exécuté sur une machine — reproduit les mêmes actions.

Contrairement à Sigma, la règle IDS (Intrusion detection System ou système de détection d’intrusion) sert à obtenir des renseignements quant à la manière dont un malware communique. Ici, l’on s’intéresse plus particulièrement aux serveurs web, adresses IP à partir desquels communique le malware. On parle alors de signature. Sur la base de ce renseignement, la pratique consiste pour les experts cyber, à créer une bibliothèque de description de ces signatures et à la mettre à jour. En cas d’une activité de connexion suspecte — entre l’infrastructure réseau de l’entreprise et l’une des signatures des attaquants, celle-ci permet de déclencher automatiquement une alerte.

Dans cet article, nous avons tenté de vous expliquer le fonctionnement de base d’une règle YARA. Nous nous sommes intéressés à ses différents avantages et usages au sein des communautés cyber. Chez SEKOIA.IO, par exemple, nos chercheurs et analystes en cybersécurité la mobilisent pour répondre à notre quête perpétuelle de savoir sur l’évolution des ransomware. Mis à la disposition des clients de notre plateforme CTI (Cyber Threat Intelligence), ces informations — contextualisées et directement exploitables — leur permettent de neutraliser les menaces avant exécution dans leurs réseaux.

Si vous souhaitez renforcer de façon proactive, la protection de votre système d’information, sachez que SEKOIA.IO est un éditeur français spécialisé dans la cybersécurité. Nous mettons à la disposition de nos utilisateurs (RSSI, DSI, analystes, ingénieurs en cybersécurité), une plateforme de détection et de réponses capables de :
• vous renseigner sur les menaces informatiques et rendre proactif votre dispositif de sécurité par la détection anticipée
• automatiser vos réponses à des incidents à partir d’un environnement de travail regroupant l’ensemble de vos solutions externes sur une plateforme unique.

Si vous souhaitez bénéficier d’une démo ou tout simplement en savoir plus sur nos activités, nous vous invitons à remplir le formulaire ci-dessous :

Chat with our team!

Would you like to know more about our solutions? Do you want to discover our XDR and CTI products? Do you have a cyber security project in your organization? Make an appointment and meet us!

Échangez avec l’équipe

Vous souhaitez en savoir plus sur nos solutions de protection ? Vous voulez découvrir nos produits de XDR et de CTI ? Vous avez un projet de cybersécurité dans votre organisation ? Prenez rendez-vous et rencontrons-nous !

Follow us on Social Media