23 October 2019
Yara é uma ferramenta de código aberto para reconhecer padrões em arquivos que já um padrão na indústria de segurança defensiva, extensamente utilizado nos campos de threat intelligence, pesquisa em malware e outros. É extremamente poderosa, especialmente quando integrada com outros serviços e produtos como VTI (VirusTotal Intelligence). Neste workshop vamos aprender como criar regras assertivas e de alto desempenho para casos especiais onde o simples casamento de cadeias de texto não é suficiente. Ele será dado através de exemplos onde os arquivos são dados aos estudantes, que recebem dicas para escrever regras de Yara para resolver casos reais de campanhas de ciber crime e ataques dirigidos. No final do workshop todos os estudantes recebem um pacote contendo todas as regras de cenários reais explicadas. O objetivo é habilitar pesquisadores a escrever regras melhores, dando a eles a oportunidade de serem mais precisos e rápidos na investigação de ataques. Através dos exercícios, vamos usar diferentes módulos em combinação com as construções disponíveis na última versão do Yara como modificados, funções, repetições e mais.
PROGRAMA
1. Revisando as melhores práticas para escrever regras Yara
• Metadados, tags e comentários
• Escopo de regras (global, private and normal)
• Identificação de arquivos com funções intXX()
• Modificadores de strings
• LAB01: Casando arquivos PE
2. Escrita avançada de regras com módulos
• Identificando campos interessantes da estrutura do PE
• Removendo valores específico de compiladores para evitar falsos-positivos
• LAB02: Família de ransomware sem strings em comum
• LAB03: Cavalo de Tróia bancário empacotado com BobSoft
• LAB04: Ransomware com executável na seção .rsrc
• LAB05: Construtor de RAT por nome de seção
• LAB06: Cliente de RAT pelo ícone na seção .rsrc
• LAB07: Artefatos protegidos por VMProtect
3. Quando o Yara puro não é suficiente
1. Extensões do VTI
2. Especificidades do Retrohunt
3. Extendendo o Yara
DURAÇÃO
8h
REQUISITOS
- Algum conhecimento sobre malware
REQUISITOS DO LAB
- VMware (pode ser o Player, Workstation, Fusion, etc) para rodar uma VM com Ubuntu de 2 GB de RAM.
- Recomendado um laptop com 6 GB de RAM no mínimo.
O QUE OS ALUNOS VÃO RECEBER
Uma VM com todos os softwares necessários instalados e material do workshop, arquivos para os labs (desafios) e slides.
Mais informações e inscrições (limitadas a 30 participantes): https://www.h2hc.com.br/h2hc/pt/treinamentos#yaraworkshop2
