Come avvengono le infezioni e come YARA può aiutare ad identificarle.

L'infezione attraverso un file che corrisponde a una YARA rule specifica può avvenire in diversi modi, a seconda del tipo di exploit o malware individuato dalla regola. Ecco alcuni scenari tipici:

🔴 1. Exploit di una vulnerabilità (Zero-day o nota)

📌 Come avviene

• L'attaccante sfrutta una vulnerabilità nel software (es. Windows, Adobe, Office, browser) per eseguire codice malevolo.

• Il file malevolo può essere un documento Office, un PDF, un eseguibile o uno script con codice exploit.

• Quando l'utente lo apre, il codice dannoso viene eseguito e scarica il payload (malware).

📌 Esempio

• Un documento Word con una macro VBA malevola che sfrutta una vulnerabilità per eseguire un PowerShell script.

• Un PDF con codice JavaScript offuscato che attiva un exploit per eseguire codice arbitrario.

  
  

🟠 2. Attacco via Email (Phishing con allegato o link)

📌 Come avviene

• L’utente riceve un’email con un allegato infetto o un link a un sito compromesso.

• Se apre l’allegato o scarica ed esegue un file, viene infettato.

• Può trattarsi di malware RAT (Remote Access Trojan), ransomware, o un dropper che scarica altri malware.

📌 Esempio

• Email con un allegato Excel con macro malevola che scarica un trojan bancario.

• Link a un sito che scarica un file .zip con un eseguibile offuscato.

  
  

🟡 3. Drive-by Download (Infezione automatica visitando un sito compromesso)

📌 Come avviene

• L'utente visita un sito web compromesso o infetto.

• Il sito sfrutta una vulnerabilità nel browser o in un plugin (es. Flash, Java, PDF reader) per scaricare ed eseguire malware automaticamente.

• Nessun intervento dell'utente è necessario!

📌 Esempio

• Un sito infetto esegue uno script che sfrutta un exploit nel browser per scaricare ed eseguire un trojan.

• Il sito induce l’utente a scaricare un aggiornamento falso contenente malware.

  
  

🟢 4. USB / File Sharing / Torrent (Propagazione via File Infetti)

📌 Come avviene

• Un file infetto viene copiato su una chiavetta USB, un'unità di rete o scaricato da un sito di torrent.

• Quando viene aperto, esegue codice malevolo nascosto all’interno del file.

📌 Esempio

• Un software pirata o una crack con codice nascosto che installa spyware o un miner.

• Un eseguibile mascherato da documento o immagine che esegue un ransomware.

  
  

🔥 In che modo le YARA rules aiutano?

Le YARA rules vengono usate per identificare file sospetti prima che vengano eseguiti. Se un file contiene codice noto usato in exploit o malware, può essere bloccato prima che causi danni.

Ecco un esempio specifico di una regola YARA per rilevare un exploit che sfrutta la vulnerabilità CVE-2017-0199, una falla in Microsoft Office che permette l'esecuzione remota di codice tramite documenti RTF o DOC malevoli.

📌 Regola YARA per CVE-2017-0199

rule CVE_2017_0199_Exploit {

meta:

author = "Security Researcher"

description = "Detects RTF/DOC files exploiting CVE-2017-0199"

date = "2025-03-19"

reference = "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0199"

strings:

$rtf_header = "{\\rtf1" ascii nocase // Identifica un documento RTF

$ole_object = "{\\object" ascii nocase // Oggetto OLE sospetto

$urlmon = "http://malicious-url.com" ascii wide nocase // URL malevolo usato per il payload

$hex_pattern = { D0 CF 11 E0 A1 B1 1A E1 } // Intestazione di file OLE (DOC, PPT, XLS)

condition:

(any of ($rtf_header, $ole_object) and $hex_pattern) or $urlmon

}

🔍 Come Funziona?

Questa regola cerca:

✅ RTF Header: {\\rtf1 → Il documento è un RTF

✅ OLE Object: {\\object → Potrebbe contenere un exploit

✅ URL Sospetto: "http://malicious-url.com" → Indica un payload remoto

✅ Hex Pattern: D0 CF 11 E0 A1 B1 1A E1 → Formato OLE, tipico dei file DOC

Se un file soddisfa queste condizioni, è probabile che stia sfruttando la vulnerabilità CVE-2017-0199 per eseguire codice malevolo.

🛡 Come avviene l’infezione?

1️⃣ L'attaccante invia un documento Word/RTF malevolo via email.

2️⃣ La vittima apre il file, che sfrutta CVE-2017-0199 per scaricare codice malevolo.

3️⃣ Il payload viene eseguito senza bisogno di interazione dell’utente.

4️⃣ Il malware compromette il sistema della vittima.

🔥 Esistono siti dove si possono scaricare YARA conosciuti?

Sì, esistono diversi siti dove è possibile trovare e scaricare regole YARA già pronte, spesso utilizzate per rilevare malware, comportamenti sospetti e altre attività anomale. Ecco alcuni dei più conosciuti:

1. VirusTotal YARA Rules

• Descrizione: VirusTotal, uno dei principali servizi di analisi malware, mantiene una repository pubblica di regole YARA. Queste regole sono utilizzate per rilevare vari tipi di malware.

• Link: VirusTotal YARA GitHub

  
  

2. YARA-Rules

• Descrizione: Un repository open source che raccoglie una vasta collezione di regole YARA. È mantenuto dalla comunità di ricercatori e analisti di sicurezza. Queste regole coprono vari tipi di minacce, tra cui malware, ransomware e altro.

• Link: YARA-Rules GitHub

  
  

3. F-Secure YARA Rules

• Descrizione: F-Secure, una compagnia di sicurezza informatica, offre regole YARA che sono spesso aggiornate per rilevare le minacce più recenti. Le regole sono generalmente condivise nei loro report di ricerca.

• Link: F-Secure Research

  
  

4. MalwareBazaar YARA Rules

• Descrizione: MalwareBazaar è una piattaforma che raccoglie malware e indicatori di compromissione (IOCs). Il sito offre anche una raccolta di regole YARA per l'analisi di file sospetti.

• Link: MalwareBazaar

  
  

5. Open Source YARA Rules

• Descrizione: Un altro repository di regole YARA, questa volta specificamente per analizzare il malware e l'attività malevola legata a software come Anydesk, noto per essere usato in attività di accesso remoto malevolo.

• Link: Open Source YARA Rules GitHub

  
  

6. Hunting4Malware YARA Rules

• Descrizione: Un altro repository di regole YARA per la caccia ai malware. Le regole sono organizzate in base al tipo di minaccia o comportamento osservato nei campioni di malware.

• Link: Hunting4Malware GitHub

  
  

7. ThreatHunting/PE-Machine-Learning YARA Rules

• Descrizione: Una raccolta di regole YARA create per rilevare comportamenti sospetti nei file PE (Portable Executable) e altri tipi di malware.

• Link: ThreatHunting YARA GitHub

  
  

8. YARA in MISP (Malware Information Sharing Platform)

• Descrizione: MISP è una piattaforma di condivisione di indicatori di compromissione e altre informazioni sulle minacce. Le regole YARA possono essere scaricate da vari eventi di threat intelligence sulla piattaforma MISP.

• Link: MISP

  
  

9. YARA's official documentation

• Descrizione: Anche se non è un repository di regole vere e proprie, la documentazione ufficiale di YARA fornisce una panoramica delle regole e dei pattern da utilizzare per scrivere regole personalizzate.

• Link: YARA Documentation

Per compilare ed eseguire regole YARA, puoi utilizzare diversi strumenti già pronti e sicuri, che sono ben documentati e supportati dalla comunità. Qui di seguito ti elenco le principali opzioni che puoi esplorare:

1. YARA - Official GitHub Repository

• Descrizione: Il compilatore YARA ufficiale, fornito direttamente da VirusTotal, è la scelta più sicura e supportata per compilare ed eseguire le regole YARA. La versione ufficiale include tutto il necessario per scrivere e testare le regole.

• Link: YARA GitHub

• Come usarlo: Puoi scaricare il codice sorgente, compilare YARA sui sistemi supportati (Linux, Windows, macOS) e usarlo tramite la riga di comando. Le istruzioni di installazione e compilazione sono disponibili nel repository.

  
  

2. YARA for Windows

• Descrizione: Se stai cercando una versione precompilata di YARA per Windows, puoi trovare i pacchetti ufficiali di YARA su GitHub. Sono precompilati e pronti per l'uso, senza bisogno di compilare manualmente il codice.

• Link: YARA Releases for Windows

• Come usarlo: Vai alla sezione "Assets" delle versioni più recenti di YARA, scarica il pacchetto .zip e segui le istruzioni per l'installazione. Una volta installato, potrai utilizzare YARA tramite il terminale di Windows.

  
  

3. YARA on Linux (via package manager)

• Descrizione: Su Linux, puoi installare YARA facilmente usando i package manager di distribuzione come apt, yum, o brew. YARA è disponibile su molte distribuzioni Linux, ed è una delle opzioni più facili per ottenere un compilatore sicuro.

• Link: Getting Started with YARA

• Come usarlo:

  • Ubuntu/Debian: sudo apt install yara

  • CentOS/RHEL: sudo yum install yara

  • macOS (via Homebrew): brew install yara

  • Una volta installato, puoi utilizzare YARA direttamente dalla riga di comando.

    
    

4. YARA via Docker

• Descrizione: Se non desideri installare YARA direttamente sulla tua macchina, puoi utilizzare un contenitore Docker. Questo ti permette di eseguire YARA in modo isolato senza interferire con il tuo sistema operativo.

• Link: YARA Docker Image

• Come usarlo: Puoi eseguire YARA utilizzando il comando docker run dopo aver scaricato l'immagine ufficiale di YARA:

  docker run --rm virustotal/yara

  
  

5. YARA-CLI (Command Line Interface)

• Descrizione: Una volta che hai compilato e configurato YARA sul tuo sistema, puoi utilizzare il suo CLI (Command Line Interface) per testare le regole su file o directory. Il comando principale per eseguire una regola su un file è il seguente:

  yara /path/to/rules /path/to/file

• Puoi scrivere regole personalizzate o utilizzare regole preesistenti, eseguendole in modo semplice tramite la riga di comando.

  
  

6. YARA Editor (GUI)

• Descrizione: Se preferisci utilizzare un'interfaccia grafica per scrivere e testare le regole YARA, puoi utilizzare YARA Editor. Questo tool offre un editor con evidenziazione della sintassi e funzionalità per testare regole in modo più intuitivo.

• Link: YARA Editor GitHub

• Come usarlo: Scarica e avvia il programma, scrivi o carica le regole YARA, quindi esegui i test direttamente tramite la GUI.

  
  

7. MalwareBazaar (YARA Rules and Detection)

• Descrizione: MalwareBazaar è una piattaforma per la condivisione di malware e indicatori di compromissione, e offre anche una serie di regole YARA per il rilevamento di campioni di malware. Puoi combinare queste regole con un compilatore YARA già funzionante per analizzare i tuoi file.

• Link: MalwareBazaar YARA Rules

  
  

🔥 Considerazioni sulla Sicurezza

Tutti questi strumenti sono considerati sicuri, a condizione che vengano scaricati da fonti ufficiali, come i repository GitHub di YARA o i gestori di pacchetti ufficiali. Inoltre, è fondamentale tenere aggiornato il tuo software per evitare vulnerabilità di sicurezza.

🔴 Passaggi generali per l'installazione (Windows):

1. Scarica l'ultima versione di YARA per Windows da YARA Releases GitHub.

2. Estrai il file .zip in una directory di tua scelta.

3. Aggiungi la directory in cui hai estratto YARA al Path di sistema per poter eseguire i comandi YARA dalla riga di comando.

4. Apri il prompt dei comandi e verifica l'installazione eseguendo:

   yara --version

🔴 Passaggi generali per l'installazione (Linux):

1. Su Ubuntu/Debian, installa YARA utilizzando il comando:

   sudo apt install yara

2. Verifica l'installazione eseguendo:

   yara --version

#sicurezza #malaware #virus #windows