引入YARAify

发布日期：2022年6月13日 11:23:49 UTC

大约一年前，我们推出了ThreatFox——一个社区驱动的威胁指标共享平台。今天，我非常激动地宣布我们最新项目的发布：YARAify！

什么是YARAify？

YARAify是使用YARA进行文件扫描和狩猎的中心枢纽：

• 您可以使用大量公共YARA规则扫描文件
• YARAify还整合了Malpedia的所有公共和非公共YARA规则。将YARAify账户与Malpedia账户（API密钥）连接后，即可查看Malpedia YARA规则的匹配结果
• 对于PE可执行文件，YARAify提供一键解包的便捷功能
• 默认情况下，平台使用开源和商业ClamAV签名扫描所有文件（例如来自SecuriteInfo的ClamAV签名）
• 您可以设置狩猎规则来匹配YARA规则、ClamAV签名、imphashes等，并通过电子邮件或Pushover（移动端）立即接收通知
• YARAhub（YARAify的组成部分）为您提供了一种简单且结构化的方式，与社区共享您的YARA规则
• 您可以搜索文件并下载它们，包括相应的解包文件（如果可用）
• 与我们所有平台一样，YARAify提供了丰富的API，让您能够以自动化方式使用其功能

截至目前，我们已经对超过12,000,000个独立文件执行了超过15,000,000次扫描！

为什么需要YARAify？

YARA不仅是检测恶意文件的强大工具，也是狩猎文件的绝佳方式。然而，YARA存在一些不足之处：

• 目前，YARA规则分散在不同的平台和git仓库中，使得规则管理对每个人都很困难
• 迄今为止，还没有简单的方法以结构化的方式共享YARA规则。我们试图解决这一混乱局面
• YARA规则由其规则名称标识，但这并不唯一。因此，存在许多来自不同作者但规则名称相同的YARA规则，这使得规则管理变得困难。我们通过实现唯一标识YARA规则的yarahub_uuid来克服这个问题
• YARAhub允许您将YARA规则分为两个具有不同TLP分类的部分：元数据和规则本身。通过这种方式，您可以在不透露YARA规则的情况下，允许其他人在YARAify上使用您的规则进行狩猎。查看示例：hp_doc_svcready

祝您狩猎愉快！