본문 바로가기

YARA3

[실습] "AI야, 룰 짜줘!" 🤖 선별된 특징으로 YARA 룰 1초 만에 자동 생성하기 안녕하세요, 스마트한 보안 분석가 여러분! 🕵️‍♂️💻지난 시간, 우리는 악성코드 분석의 꽃인 '유니크 시그니처(Unique Signature)'를 선별해냈습니다. 해커가 실수로 남긴 오타, 프로젝트 경로, 그리고 절대 변하지 않는 핵심 기계어 코드(Hex)까지... 아주 훌륭한 재료들이 모였죠? 🥩🥦🥕이제 이 재료들을 가지고 YARA 룰(YARA Rule)이라는 '요리'를 완성할 차례입니다. 하지만 YARA 문법(rule, meta, strings, $a = ...)을 일일이 타이핑하다 보면 오타도 나고, 괄호 짝이 안 맞아 에러가 나기도 합니다.그래서 오늘은 AI(ChatGPT, Claude 등)에게 우리가 찾은 특징만 툭 던져주고, 완벽한 문법의 YARA 룰 코드를 짜달라고 시키는 프롬프트.. 2025. 12. 18.

[실습] 악성코드의 '지문'을 채취하라! 🕵️‍♂️ 강력한 탐지를 위한 유니크 헥사(Hex) & 문자열 선별 기술 안녕하세요, 명사수 보안 분석가 여러분! 🔫지난 시간에 YARA 룰의 이론(Meta, Strings, Condition)을 배웠습니다. "문자열과 조건을 조합해서 탐지한다"는 원리는 이해하셨죠?하지만 이론보다 더 중요한 것은 "도대체 '어떤' 문자열을 써야 하는가?"입니다.아무거나 골라잡으면 윈도우 계산기(calc.exe)를 악성코드라고 탐지하는 대참사(오탐)가 벌어지거나, 해커가 글자 하나만 바꿔도 탐지에 실패(미탐)하게 됩니다.오늘은 분석이 끝난 악성코드 샘플에서, 다른 정상 파일과는 겹치지 않는 '절대적인 유니크(Unique) 시그니처'를 선별해내는 실습을 진행하겠습니다.이것만 잘해도 여러분의 YARA 룰은 명품이 됩니다! ✨ 1. 💎 '유니크함'이란 무엇인가? (Golden Rule)시그니처를.. 2025. 12. 18.

[이론] 악성코드 사냥꾼의 필수 무기! 🏹 YARA 룰 문법 완전 정복 (Meta, Strings, Condition) 안녕하세요, 보안의 최전선에서 싸우는 분석가 여러분! 🛡️악성코드 분석을 하다 보면 수천, 수만 개의 파일 중에서 "내가 찾던 그 놈"을 콕 집어내야 할 때가 있습니다. 일일이 열어볼 수도 없고, 기존 백신으로는 잡히지 않는 신종 악성코드라면 더더욱 막막하죠.이때 필요한 것이 바로 YARA(야라)입니다. YARA는 "파일을 위한 정규표현식"이라고 불리며, 악성코드의 패턴(지문)을 정의하여 파일을 분류하는 가장 강력한 도구입니다.오늘은 YARA 룰을 작성하기 위한 기초 문법 구조(3대 요소)와 작성 원칙을 완벽하게 파헤쳐 보겠습니다. 이 글만 읽으면 여러분도 나만의 백신 엔진을 만들 수 있습니다! 🚀1. YARA 룰의 해부학: 뼈대 이해하기 🦴YARA 룰은 C언어와 비슷한 직관적인 구조를 가지고 있습.. 2025. 12. 18.

이전 1 다음

티스토리툴바