ReverseYara

ReverseYara prende in input delle regole YARA e genera file che corrispondono ai criteri definiti in quelle regole. In pratica, analizza le condizioni (come pattern di byte, stringhe specifiche, offset) e crea un output che le soddisfa, ingannando o simulando un file che verrebbe rilevato dalle regole.

Le regole YARA sono espressioni utilizzate per identificare e classificare file o contenuti sospetti, principalmente in ambito di cybersecurity. Sono parte di YARA (Yet Another Recursive Acronym), uno strumento open-source creato per rilevare malware tramite pattern specifici.

ReverseYara è uno strumento proof-of-concept che estrae firme da regole YARA e genera file di output basati sull'estensione del nome del file o invia le firme attraverso una connessione di rete.

-------------------------------------------------------------

A cosa può servire ReverseYara?

Test di robustezza delle regole YARA:

  • Creare file "esca" per verificare che le regole funzionino correttamente e non ci siano falsi positivi o falsi negativi.
  • Utile per analisti di malware e team di sicurezza che devono validare la loro infrastruttura di rilevamento.

Audit e ottimizzazione di regole YARA:

  • Identificare regole troppo lascive o troppo restrittive, migliorando l'efficacia dei sistemi di rilevamento.

Simulazione di minacce:

  • Generare campioni fittizi di malware per testare strumenti di sicurezza (antivirus, sistemi EDR) senza usare codici dannosi reali.

-------------------------------------------------------------

ReverseYara può inviare le firme YARA attraverso connessioni di rete per consentire l'analisi remota e la condivisione con sistemi di rilevamento o laboratori di test. Questo permette di verificare la validità delle regole su infrastrutture distribuite o automatizzare il monitoraggio delle minacce. 

-------------------------------------------------------------

Link al Repository GitHub:

Pubblicato da alle
Categories: , Share

Leave a Reply