YARA. YARA 검사 실행

YARA 검사 실행 작업 실행. 애플리케이션은 Kaspersky Anti Targeted Attack Platform 사용자에 의해 생성된 YARA 규칙 데이터베이스를 사용하여 회사 IT 인프라에 대한 표적형 공격 지표에 대해 파일과 개체를 검사합니다. YARA 규칙은 Kaspersky Anti Targeted Attack Platform이 파일 및 개체 검사를 위해 사용하는 회사 IT 인프라에 대한 표적형 공격 및 침입 지표의 서명이 포함된, 공용으로 사용 가능한 악성 코드입니다.

YARA 검사를 실행하려면 규칙을 설명하는 YARA 파일을 준비해야 합니다. YARA 파일을 생성할 때 다음 요구 사항을 고려하시기 바랍니다.

Kaspersky Endpoint Security는 침해 지표 표시에 대해 YARA 4.0.2 개방형 표준을 준수하는 yara 또는 yar 확장자가 있는 YARA 파일을 지원합니다.
YARA 규칙이 있는 파일만 이 작업에 대해 지정할 수 있습니다. YARA 검사 실행 작업은 기타 규칙 유형을 지원하지 않습니다.
Kaspersky Endpoint Security에서 지원하지 않는 YARA 파일을 추가했거나 규칙에 구문 오류가 포함된 경우 작업이 중단되고 해당 오류 메시지가 표시됩니다.
단일 작업에 사용된 모든 YARA 파일의 식별자는 고유해야 합니다. 식별자가 같은 YARA 파일이 있다면 작업 실행 결과에 영향을 미칠 수 있습니다.
YARA 검사는 YARA 규칙에 설명된 지표와 128개가 일치 시 중단됩니다. 이는 YARA 검사 리포트의 항목 수를 제한하여 분석을 더 쉽게 하고, 정확하지 않게 공식화된 YARA 규칙으로 대량의 일치 항목이 생성되어 리포트가 오버플로되는 것을 방지하기 위함입니다.

Kaspersky는 YARA 파일당 하나의 규칙을 생성하는 것을 권장합니다. 그러면 검사 결과를 더 쉽게 읽을 수 있습니다.

명령 구문

avp.com YARA /<full path to the YARA file>|/path=<path to the IOC files folder> [<advanced settings>]

YARA 파일

<full path to the YARA file>

검사에 사용할 YARA 파일의 전체 경로입니다. 공백으로 구분된 여러 YARA 파일을 지정할 수 있습니다. YARA 파일의 전체 경로는 /path 인수 없이 입력해야 합니다.

예: C:\Users\Admin\Desktop\YARA\file1.yar.

/path=<path to the folder with YARA files>

검사에 사용할 YARA 파일이 있는 폴더의 경로입니다.

예: /path=C:\Users\Admin\Desktop\YARA.

고급 설정
`fastScan`	빠른 YARA 검사. 애플리케이션은 각 개체에 대해 탐지된 지표의 발생을 한 번만 기록합니다. 또한 애플리케이션은 로그에서 탐지된 지표의 중복 파일을 숨깁니다. 빠른 YARA 검사를 사용하면 대용량 파일을 더 빠르게 검사할 수 있습니다. 이 설정을 지정하지 않으면 애플리케이션이 표준 YARA 검사를 수행합니다. 이 모드에서 애플리케이션은 탐지된 지표의 중복 파일을 기록합니다.
`maxRules=<maximum number of scan rules>`	애플리케이션이 YARA 검사를 중지하기 위해 트리거해야 하는 고유 규칙의 수. 이 설정의 값이 지정되지 않거나 `0`이 지정되면 애플리케이션은 제한 없이 YARA 검사를 수행합니다.
`timeOut=<stop scan after the specified time in seconds>`	YARA 검사에 걸리는 시간(초). 이 시간이 초과되면 애플리케이션은 YARA 검사를 중지합니다. 이 설정의 값이 지정되지 않거나 `0`이 지정되면 애플리케이션은 제한 없이 YARA 검사를 수행합니다.
`recursive`	사용자 지정 검사를 수행할 때 반복적으로 하위 폴더를 검사합니다(`scanFolder`).
`scanMemory`	실행 중인 모든 프로세스의 메모리를 검사합니다.
`scanFolders <list of folders to be scanned>`	사용자 지정 검사 애플리케이션은 사용자가 선택한 폴더를 검사합니다. 이 설정이 지정되지 않으면 애플리케이션은 네트워크 공유, 클라우드 드라이브 및 이동식 미디어를 제외한 모든 로컬 디스크에 대해 YARA 검사를 수행합니다.
`scanProcess <process name>`	지정된 프로세스에 대해서만 메모리를 검사합니다. Kaspersky Endpoint Security는 마스크를 입력할 때 `*` 및 `?` 문자를 지원합니다.
`maxFileSize=<file size in bytes>`	YARA 검사를 위한 파일 크기를 제한합니다. 애플리케이션은 더 큰 파일은 건너뜁니다.
`excludes <list of objects to be scanned>`	YARA 검사에서 파일 및 폴더를 제외합니다. 공백으로 구분된 여러 값을 지정할 수 있습니다. 다음과 같은 값을 사용할 수 있습니다. 파일 이름 파일 경로 파일 확장자 파일 경로 마스크 예외 규칙은 `scanFolders` 파라미터와 함께 지정되어야 합니다. 예: `scanFolders C:\. excludes readme.txt C:\trusted\. *.xml` – 애플리케이션은 `readme.txt` 파일, `C:\trusted` 폴더의 모든 파일 및 C 드라이브의 루트 폴더에 xml 확장자를 가진 모든 파일을 건너뜁니다.
`logFolder <path to the folder for saving the scan results in a TXT file>`	YARA 검사 결과를 지정한 폴더의 파일에 저장합니다. 또한 애플리케이션은 YARA 검사 결과를 명령줄로 출력합니다.

명령 반환 값:

-1은 컴퓨터에 설치된 애플리케이션 버전에서 이 명령을 지원하지 않는다는 뜻입니다.
0은 명령이 성공적으로 실행되었음을 의미합니다.
1은 명령에 필수 인수가 전달되지 않았음을 의미합니다.
2는 일반적인 오류가 발생했음을 의미합니다.
4는 구문 오류가 있음을 의미합니다.
5는 파라미터에 지정된 YARA 규칙이 있는 하나 이상의 파일을 찾을 수 없음을 의미합니다.

Kaspersky Anti Targeted Attack Platform 콘솔에서 YARA 검사 결과를 볼 수 있습니다. Kaspersky Security Center에서는 작업 상태만 사용할 수 있습니다.

명령이 성공적으로 실행되고(반환 값 0) 도중에 침해지표가 감지되면, Kaspersky Endpoint Security가 다음 작업 결과 정보를 명령줄에 출력합니다.

`Offset`	Kaspersky Endpoint Security가 YARA 검사를 수행하는 개체의 오프셋.
`Object Name`	애플리케이션이 검사하는 개체의 이름.
`Rule Name`	애플리케이션이 YARA 검사에 사용하는 규칙의 이름.

맨 위로