Eine signaturbasierte, auf YARA-Regeln beruhende Detection Engine zur Erkennung von Malware, sobald sie auf der Festplatte abgelegt oder, falls verschleiert, in den Speicher geladen wird.
Die auf den YARA-Regeln basierende Signatur-Engine ermöglicht die Erkennung maliziöser Dateien: Skripte, Programme oder andere Binärdaten.
Prozesse können unmittelbar nach ihrem Start sowie während ihrer Ausführung erkannt werden.
YARA-Regeln zur Beurteilung:
Die YARA-Signatur-Engine bietet Regeln, die auf die Erkennung von Angreiferwerkzeugen abzielen, und kann für Windows-, MacOS– und Linux-Agenten so konfiguriert werden, dass es ausführbare Dateien scannt, sobald sie auf die Festplatte geschrieben werden.
Sie ermöglicht die Erkennung bekannter Bedrohungen wie beispielsweise CobaltStrike, Bruteratel, Mimikatz, Metasploit, Sliver usw.
Die Regeln im Standardformat YARA werden vom Cyber Threat Intelligence (CTI)-Team von HarfangLab langfristig entwickelt und gepflegt.
Sie werden von unseren Experten bereitgestellt und erweitert, die sie entsprechend den Bedrohungen weiterentwickeln, um einen optimalen Schutz zu gewährleisten und die Anzahl der False-Positives zu begrenzen.
Diese Regeln können mit aus Drittquellen importierten Regeln angepasst und vervollständigt werden, und die Engine lässt sich entsprechend den Bedürfnissen der EDR-Benutzer konfigurieren.
Die YARA-Regeln sind vollständig zugänglich, sodass Analysten den Ursprung der Warnungen nachvollziehen können.
Sigma and YARA are rule formats for detecting threats – malicious behaviors and files (or binaries) respectively. What are the…
