Как поймать черного лебедя в собственной сети?

[KL FC Bot]

Давненько у человечества не было такого года, как 2020-й. Да что там, не было на моей памяти ни одного года с такой концентрацией черных лебедей разных видов и форм. Это я, конечно, не про редких птичек, а про непредсказуемые события с далеко идущими последствиями, которые с легкой руки господина Талеба вот уже лет десять именно так и величаются. Одна из главных особенностей таких «черных лебедей» в том, что ретроспективно они кажутся прогнозируемыми, а вот предсказать их в реальности никогда не удается.

Взять хотя бы всем известный вирус (тот, что биологический). Их в одноименном семействе существует несколько десятков, но регулярно находятся новые, которые и нагоняют страха на человечество. Они при этом существуют у всех на виду, живут в кошечках, собачках и летучих мышах. Казалось бы, изучай себе да обезвреживай, то есть разрабатывай вакцины. Но для этого нужно знать, что искать, а это уже искусство.

А как в кибербезопасности?

В интернетах гуляют и полезные приложения, и любительская малвара, и сложные кибершпионские модули, а иногда и редкие, никем не пойманные зиродеи («уязвимости нулевого дня»). Вреда такие уязвимости могут наделать ого-го, но часто они остаются ненайденными до самого момента нанесения этого вреда.

На самом деле у секюрити-экспертов есть способы бороться с неопределенностью и предсказывать «черных лебедей». И речь в этом посте пойдет об одном из этих способов — поиске киберугроз с помощью YARA-правил.

Если коротко, то YARA-правила помогают по заданным характеристикам (иногда о-о-очень хитрым) искать похожие образцы вредоносов и определять: ага, вот эти-то, похоже, сделаны одними и теми же ребятами для похожих целей.

 

View the full article