在EFF威胁实验室,我们花了大量时间寻找针对易受攻击人群的恶意软件,但我们也花时间尝试对我们遇到的恶意软件样本进行分类。我们使用的工具之一是YARA。Yara被描述为“恶意软件研究人员的模式匹配瑞士刀”。“。简而言之,YARA是一个让您创建恶意软件描述(YARA规则)并扫描它们的文件或进程以查看它们是否匹配的程序。
多年来,恶意软件研究人员社区积累了大量有用的YARA规则,我们在自己的恶意软件研究工作中使用了其中许多规则。“令人敬畏的雅拉指南”(AweseYara Guide)就是这样一个关于雅拉规则的存储库,它包含数十个高质量的雅拉存储库的链接。
在不同的存储库中管理大量的YARA规则,再加上您自己的规则集,可能会令人头疼,因此我们决定创建一个工具来帮助我们管理我们的YARA规则并运行扫描。今天,我们将免费向公众展示这个开源工具:Yaya,或另一个Yara Automation。
Yaya是一个新的开源工具,用于帮助研究人员管理多个YARA规则存储库。Yaya首先导入一组高质量的YARA规则,然后让研究人员添加自己的规则,禁用特定的规则集,并运行文件扫描。Yaya目前只在Linux系统上运行。该计划面向新的和有经验的恶意软件研究人员,或那些想要进入恶意软件研究的人。不需要之前的YARA知识就可以运行YAYA。
如果您有兴趣获得YAYA或为其开发做出贡献,您可以在这里找到GitHub存储库。我们希望这个工具能对许多恶意软件研究人员的工具包起到有益的补充作用。