YARA Rule 등록 방법

YARA는 악성코드 시그니처를 이용해서 악성 코드의 종류를 식별하고 분류하는 목적으로 사용하는 도구 입니다.
악성코드의 시그니처는 파일, 프로세스에 포함되어 있는 텍스트 문자열 또는 바이너리 패턴으로 되어 있으며, Genian EDR은 YARA를 이용하여 악성코드 샘플에 포함된 패턴을 탐지 및 대응이 가능합니다.
YARA는 관리자가 직접 파일 또는 프로세스에서 확인하고자 하는 패턴 정보가 담긴 YARA Rule 작성하고, 개별 엔드포인트에 YARA Rule 검사 명령을 수행하는 형태로 동작합니다.

YARA Rule 등록 및 검사 명령 수행 방법은 아래와 같습니다.

YARA Rule 추가

  1. 정책 > YARA Rule 관리 > YARA Rule 메뉴로 이동 후 상단의 추가 버튼을 클릭합니다.

  2. 이름과 규칙은 필수로 입력하고 저장 버튼을 클릭합니다.

항목

설명

이름

YARA Rule 정책 이름을 입력합니다. 최대 128자까지 입력할 수 있습니다.

규칙

파일 또는 프로세스에서 확인하고자 하는 패턴 정보가 담긴 YARA Rule 을 작성합니다. 최대 12000자까지 입력할 수 있습니다.

YARA Rule의 최소한으로 갖춰야 할 형태는 아래와 같습니다.

rule 룰_이름
{
condition:
Boolean 
}

YARA Rule 수정

  1. 정책 > YARA Rule 관리 > YARA Rule 메뉴로 이동 후 수정할 YARA Rule을 클릭합니다.

  2. Rule 수정 후 저장 버튼을 클릭합니다.

YARA Rule 삭제

  1. 정책 > YARA Rule 관리 > YARA Rule 메뉴로 이동 후 삭제할 YARA Rule 목록의 체크박스를 선택합니다. 버튼이 활성화 되면 클릭합니다.

YARA Rule 사용여부

  1. 정책 > YARA Rule 관리 > YARA Rule 메뉴로 이동 후 사용여부를 수정할 YARA Rule 목록의 체크박스를 선택합니다. 작업 선택에서 사용 여부를 선택합니다.
    사용여부 선택 시 변경 사항이 즉시 반영됩니다.

YARA Rule 정책 적용

YARA Rule 작성 후 개별 엔드포인트에 대해 검사 명령을 수행하여야 합니다.

  1. 분석 > 엔드포인트 > 엔드포인트 목록 메뉴로 이동 후 검사 명령을 수행 할 목록을 클릭합니다.

  2. 엔드포인트 상세 목록 화면에서 작업선택, YARA Rule 검사 를 클릭합니다. 목록 중 전체 Rule 또는 선택한 Rule 중 클릭합니다.
    아래 예제에서는 선택한 Rule 적용방법에 대해 서술합니다.

  3. 선택한 Rule 클릭 시 정책 > YARA Rule 관리에서 생성했던 정책 중 사용 여부가 사용함 인 정책 목록이 표시됩니다.

  4. YARA Rule 검사 여부에 대해 분석 > 엔드포인트 > 엔드포인트 목록 메뉴에서 표시된 그림과 같이 톱니바퀴 모양의 아이콘이 파란색으로 활성화 되어 있습니다.

  5. 분석 > 엔드포인트 > 엔드포인트 목록 에서 IP를 클릭하여 로그 탭으로 이동 시, 에이전트에서 위협 탐지 후 처리한 결과 및 YARA Rule 관련 로그를 확인 할 수 있습니다.

  6. 분석 > 위협 관리 에서 YARA Rule 탐지 목록 을 클릭하면 상세 화면에 어떤 파일을 탐지했는 지 확인 할 수 있습니다.
    자세한 정보는 목록 오른쪽의 위협 분석 버튼을 클릭하여 상세 화면으로 이동하여 확인할 수 있습니다.

  7. YARA Rule 탐지한 파일을 격리 또는 위협 파일로 등록하고자 하는 경우 오른쪽 위협 관리에서 대응 방법을 선택합니다.