System for assisted creation of YARA rules – Mgr. Karel Hájek

Anotace:

Tato práce představuje nový způsob urychlení tvorby YARA pravidel pro klasifikaci malwaru. Existuje již řada pokusů pro automatickou tvorbu YARA pravidel pro danou sadu souborů, ale mají své nedostatky a často nefungují příliš dobře. Často vytvářejí velmi složitá pravidla, nezobecňují příliš dobře nebo jsou pro analytiky těžko pochopitelné. Tato práce představuje nástroj Yarachef, pomocníka pro psaní YARA pravidel, který má pomoct malwarovým analytikům urychlit a usnadnit psaní YARA pravidel. Yarachef shromažďuje informace z binárních souborů, zpracovává je pomocí několika heuristik a ty nejcennější informace ukazuje analytikům prostřednictvím interaktivního webového uživatelského rozhraní. Také poskytuje možnost pohodlně vytvářet YARA pravidla přímo v aplikaci. Yarachef je pozitivně vnímán analytiky ve společnosti Avast, kteří ho považují za užitečný a pravděpodobně ho použijí i v budoucnu. Yarachef je navržen tak, aby se dal v budoucnu snadno rozšířit a vylepšit. Potenciálními vylepšeními jsou například přidání dalších zdrojů informací, podpora více binárních formátů, doladění heuristik a vylepšení uživatelského rozhraní. Celkově je Yarachef potenciálně cenným přírůstkem mezi nástroje malwarových analytiků. …víceméně

Abstract:

This thesis introduces a new way to speed up the development of YARA rules for malware classification. There have been many attempts to generate YARA rules for given files automatically, but they have shortcomings and generally do not work well. They often create very complex rules, do not generalize very well, or are hard to understand by analysts. This thesis presents Yarachef, a YARA rule-writing assistant designed to assist malware analysts in creating quality rules quickly and easily. Yarachef collects information from the target binary files, processes it using several heuristics, and shows the most valuable information to analysts through an interactive web user interface. It also conveniently provides an option to create YARA rules directly in the application. Yarachef is well-perceived by Avast malware analysts, who found it useful and likely to use in the future. Yarachef is designed to be easily extended and improved in the future. The potential improvements are, for example, adding more information sources, supporting more binary formats, fine-tuning the heuristics, and improving the user interface. Overall, Yarachef is potentially a valuable addition to the malware analyst's toolkit. …víceméně