E

FF Threat Lab spędza dużo czasu na szukaniu złośliwego oprogramowania, które atakuje podatne grupy, ale również klasyfikuje próbki złośliwego oprogramowania, z którymi się spotykają. Jednym z narzędzi, którego używają jest YARA opisana jako szwajcarski nóż dla badaczy złośliwego oprogramowania. Społeczność badaczy malware zgromadziła przez lata wiele przydatnych reguł YARA i wiele z nich wykorzystywanych jest w różnych badaniach. Jednym z takich repozytoriów reguł YARA jest przewodnik Awesome YARA, który zawiera odnośniki do dziesiątek wysokiej jakości repozytoriów YARA.

YAYA – kolejne narzędzie do automatyzacji YARA – to program typu open source, które pomaga badaczom zarządzać wieloma repozytoriami reguł YARA. YAYA zaczyna od zaimportowania zestawu wysokiej jakości reguł YARA, a następnie pozwala badaczom dodawać własne reguły, wyłączać określone zestawy i uruchamiać skanowanie plików. Program skierowany jest do nowych, jak i już doświadczonych badaczy złośliwego oprogramowania. Do uruchamiania YAYA nie jest wymagana żadna wcześniejsza znajomość YAYA:

export GOROOT=/home/malwarelab/go
export GOPATH=/home/malwarelab/go/bin
./go get -v github.com/EFForg/yaya
cd $GOPATH/src/github.com/EFForg/yaya
/home/malwarelab/go/bin/go build go build 
/home/malwarelab/go/bin/go install 
sudo echo "/usr/local/lib" >> /etc/ld.so.conf
sudo ldconfig
/home/malwarelab/go/bin/bin/yaya update
/home/malwarelab/go/bin/bin/yaya scan /home/malwarelab/samples

Więcej informacji: YAYA – Yet Another Yara Automaton