YARA l'outil qui détecte et classifie les malwares
Détection de malwares et d'autres outils d'attaques.
Ce projet a été créé en 2008 (date de sortie de la version 1.0), et depuis cette date le projet à prit pas mal d’ampleur, et c'est d'ailleurs pour cela que quelques sites l'ont mis en avant. De plus le logiciel est multi-plateforme (Unix, Windows).
Ce logiciel est généralement utilisé pour des sites ou professionnels souhaitant vérifier des fichiers, dossier ou arborescence.
Vous pouvez tout de même le mettre en place chez vous, mais vous aurez de bonnes connaissances en système de fichier et Python.
La détection réalisé par YARA est uniquement fait sur les caractéristiques des fichiers et pour les dossiers une exploration récursive est réalisée.
Plus simplement YARA permet d'utiliser et de mettre en place des règles et/ou signatures (non automatisé contrairement aux anti-virus) sur vos fichiers. Des règles existent déjà, appelées règles de base et il en va de votre souhait d'en créer d'autres ou les modifier. Le langage à utiliser sera le Python.
Le petit plus que j'y ai trouvé, est l'analyse de flux (tout binaires) entrants ou sortant de votre système, soit par mail soit via des protocoles réseau (comme l'HTTP).
En plus de cette analyse de flux vous aurez une détection antivirale, la possibilité d'avoir une classification de malware et encore un avantage, la détection de menace dans la mémoire volatile et dans la mémoire RAM.
Inconvénient, (il en faut bien un) son utilisation nécessite un temps d'investissement relativement important afin de créer et maintenir les règles.
Cet outil est mis à jour régulièrement et la dernière sortie date du 29 Mars 2013 avec la version 1.7.
Pour conclure je citerai un autre logiciel concurrent, IOC (Indicators Of Compromise).
Sources : Yara-project
Et vous ?
En avez-vous déjà entendu parlé ?
L'avez-vous déjà utilisé ?
Souhaitez-vous déjà utilisé ?
Si un léger cours sur son utilisation serait présenté vous en servirez-vous ?
Quels retours pouvez-nous vous faire sur cet outil ?
Partager