Tietoturvauhkien havaitseminen YARA-säännöillä
Samáneh, Nicolas (2020)
Samáneh, Nicolas
2020
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202005088030
https://urn.fi/URN:NBN:fi:amk-202005088030
Tiivistelmä
Tietoturvauhkien havaitsemiseksi on yleisesti luonnehdittu riittävän virustorjuntaohjelman asentaminen. Perinteisten virustorjuntaohjelmien ennaltaehkäisevä toiminta perustuu uuden tiedoston tiivisteen vertaamiseen jo haitallisiksi todettujen tiedostojen tiivisteisiin. Useissa viimeaikaisissa kyberhyökkäyksissä käytetyt ennalta tuntemattomat haittaohjelmat ovat kasvattaneet tarvetta uhkien tehokkaampaan havainnointiin. Eräs uusimmista keinoista uhkien tunnistamiseen on YARA-sääntöjen käyttöönotto IT-ympäristössä. YARA-sääntöjen toiminta perustuu kuvauksien luomiseen haitallisista tiedostoista ja ne sisältävät merkkijonoja ja ehtoja. Kuvaukseksi riittää yksinkertaisimmillaan vain yksi sana, mutta kehittyneimmät YARA-säännöt sisältävät useita merkkijonoja ja monimutkaisia ehtolausekkeita.
Opinnäytetyön tavoitteena oli tutkia YARA-sääntöjä yhtenä keinona haittaohjelmien ennaltaehkäisevään tunnistamiseen ja luoda automatisoitu YARA-skannaus laitteeseen. Työn lähtökohtana toimi kuviteltu tilanne, jossa ennalta tuntematon haittaohjelma oli saatu asetettua yrityksen laitteelle. Haittaohjelmaksi valittiin Windows -toimialueen tiedusteluun tarkoitettu komentosarja.
Työ toteutettiin analysoimalla YARA-sääntöjen rakennetta, luomalla uusia sääntöjä ja optimoimalla sääntöjä virheellisten havaintojen minimoimiseksi. Työssä tutkittiin myös sääntöihin lisättäviä määritteitä ja niiden vaikutuksia YARA-työkalun tuottamiin tuloksiin. Opinnäytetyössä luotujen YARA-sääntöjen pohjalta kehitettiin ajastettu YARA-skannaus, jolla tutkimuksessa käytetty Windows-laite saatiin tarkastettua säännöllisin väliajoin. Skannauksen käyttämät YARAsäännöt luotiin työn tutkimusosuudessa analysoimalla tiedusteluun tarkoitettua haittaohjelmaa.
Opinnäytetyön tavoitteessa onnistuttiin ja lopputuloksena on toimiva YARA-skannaus, joka kerää tulokset skannausajankohdan perusteella nimettyyn tekstitiedostoon. Johtopäätöksenä todettiin, että YARA-säännöillä saadaan tehokkaasti luotua merkkejä toimialueen vaarantumisesta riippumatta siitä, onko uhka peräisin organisaation sisä- vai ulkopuolelta. Cyber security threats have developed over the course of the 21st century forcing organizations to implement more and more secure solutions regarding their business. Upon detecting a compromise, the effectiveness of remedial actions often determines the future of the organization. Even more security solutions have emerged to help organizations secure their infrastructure and mitigate possible threats. One of the newest additions to the field of threat detection solutions are YARA rules. YARA rules are a way of identifying and classifying possible threats regarding an organization’s domain.
The objectives of this thesis were to introduce YARA rules as a method of improving the effectiveness of proactive cyber security threat detection and to compose rules for detecting internal reconnaissance of a Windows Active Directory domain. Testing of the composed rules was carried out by using the YARA tool.
The research was carried out by examining the logic behind YARA rules and by creating rules for testing purposes. The created rules were tested and further developed to decrease the amount of false detections. A batch file intended for Active Directory reconnaissance was analysed and rules were created to detect certain command-line commands found inside the batch file.
The goal of the thesis to implement YARA rules as another layer of security was successful. As a result of the research, a scheduled YARA-scan was successfully implemented to a Windows computer. The scheduled scan utilized four different YARA rules based on the batch file analysis.
In conclusion, YARA provides an efficient addition to existing cyber security solutions, providing a method of identifying cyber security threats regardless of whether a threat has originated from inside or outside of an organization.
Opinnäytetyön tavoitteena oli tutkia YARA-sääntöjä yhtenä keinona haittaohjelmien ennaltaehkäisevään tunnistamiseen ja luoda automatisoitu YARA-skannaus laitteeseen. Työn lähtökohtana toimi kuviteltu tilanne, jossa ennalta tuntematon haittaohjelma oli saatu asetettua yrityksen laitteelle. Haittaohjelmaksi valittiin Windows -toimialueen tiedusteluun tarkoitettu komentosarja.
Työ toteutettiin analysoimalla YARA-sääntöjen rakennetta, luomalla uusia sääntöjä ja optimoimalla sääntöjä virheellisten havaintojen minimoimiseksi. Työssä tutkittiin myös sääntöihin lisättäviä määritteitä ja niiden vaikutuksia YARA-työkalun tuottamiin tuloksiin. Opinnäytetyössä luotujen YARA-sääntöjen pohjalta kehitettiin ajastettu YARA-skannaus, jolla tutkimuksessa käytetty Windows-laite saatiin tarkastettua säännöllisin väliajoin. Skannauksen käyttämät YARAsäännöt luotiin työn tutkimusosuudessa analysoimalla tiedusteluun tarkoitettua haittaohjelmaa.
Opinnäytetyön tavoitteessa onnistuttiin ja lopputuloksena on toimiva YARA-skannaus, joka kerää tulokset skannausajankohdan perusteella nimettyyn tekstitiedostoon. Johtopäätöksenä todettiin, että YARA-säännöillä saadaan tehokkaasti luotua merkkejä toimialueen vaarantumisesta riippumatta siitä, onko uhka peräisin organisaation sisä- vai ulkopuolelta.
The objectives of this thesis were to introduce YARA rules as a method of improving the effectiveness of proactive cyber security threat detection and to compose rules for detecting internal reconnaissance of a Windows Active Directory domain. Testing of the composed rules was carried out by using the YARA tool.
The research was carried out by examining the logic behind YARA rules and by creating rules for testing purposes. The created rules were tested and further developed to decrease the amount of false detections. A batch file intended for Active Directory reconnaissance was analysed and rules were created to detect certain command-line commands found inside the batch file.
The goal of the thesis to implement YARA rules as another layer of security was successful. As a result of the research, a scheduled YARA-scan was successfully implemented to a Windows computer. The scheduled scan utilized four different YARA rules based on the batch file analysis.
In conclusion, YARA provides an efficient addition to existing cyber security solutions, providing a method of identifying cyber security threats regardless of whether a threat has originated from inside or outside of an organization.