Jump to content

Treinamento de Yara na H2HC

Eventos
Fernando Mercês

Event details

Yara é uma ferramenta de código aberto para reconhecer padrões em arquivos que já um padrão na indústria de segurança defensiva, extensamente utilizado nos campos de threat intelligence, pesquisa em malware e outros. É extremamente poderosa, especialmente quando integrada com outros serviços e produtos como VTI (VirusTotal Intelligence). Neste workshop vamos aprender como criar regras assertivas e de alto desempenho para casos especiais onde o simples casamento de cadeias de texto não é suficiente. Ele será dado através de exemplos onde os arquivos são dados aos estudantes, que recebem dicas para escrever regras de Yara para resolver casos reais de campanhas de ciber crime e ataques dirigidos. No final do workshop todos os estudantes recebem um pacote contendo todas as regras de cenários reais explicadas. O objetivo é habilitar pesquisadores a escrever regras melhores, dando a eles a oportunidade de serem mais precisos e rápidos na investigação de ataques. Através dos exercícios, vamos usar diferentes módulos em combinação com as construções disponíveis na última versão do Yara como modificados, funções, repetições e mais. 

PROGRAMA 

1. Revisando as melhores práticas para escrever regras Yara 
• Metadados, tags e comentários 
• Escopo de regras (global, private and normal) 
• Identificação de arquivos com funções intXX() 
• Modificadores de strings 
• LAB01: Casando arquivos PE 

2. Escrita avançada de regras com módulos 
• Identificando campos interessantes da estrutura do PE 
• Removendo valores específico de compiladores para evitar falsos-positivos 
• LAB02: Família de ransomware sem strings em comum 
• LAB03: Cavalo de Tróia bancário empacotado com BobSoft 
• LAB04: Ransomware com executável na seção .rsrc 
• LAB05: Construtor de RAT por nome de seção 
• LAB06: Cliente de RAT pelo ícone na seção .rsrc 
• LAB07: Artefatos protegidos por VMProtect 

3. Quando o Yara puro não é suficiente 
1. Extensões do VTI 
2. Especificidades do Retrohunt 
3. Extendendo o Yara 

DURAÇÃO 
8h 

REQUISITOS 
- Algum conhecimento sobre malware 

REQUISITOS DO LAB 
- VMware (pode ser o Player, Workstation, Fusion, etc) para rodar uma VM com Ubuntu de 2 GB de RAM. 
- Recomendado um laptop com 6 GB de RAM no mínimo. 

O QUE OS ALUNOS VÃO RECEBER 
Uma VM com todos os softwares necessários instalados e material do workshop, arquivos para os labs (desafios) e slides.

Mais informações e inscrições (limitadas a 30 participantes): https://www.h2hc.com.br/h2hc/pt/treinamentos#yaraworkshop2

×
×
  • Create New...