YARA. Запуск YARA-проверки

Запуск задачи Запустить YARA-проверку. Приложение выполняет проверку файлов и объектов на наличие признаков целевых атак на IT-инфраструктуру организации с помощью баз YARA-правил, создаваемых пользователями Kaspersky Anti Targeted Attack Platform. YARA-правило – общедоступная классификация вредоносных приложений, содержащая сигнатуры признаков целевых атак и вторжений в IT-инфраструктуру организации, по которым Kaspersky Anti Targeted Attack Platform производит проверку файлов и объектов.

Для запуска YARA-проверки вам нужно подготовить YARA-файлы, которые описывают правила. При создании YARA-файлов учитывайте следующие требования:

Специалисты "Лаборатории Касперского" рекомендуют создавать по одному правилу в одном YARA-файле. Такой подход облегчает чтение результатов проверки.

YARA-проверка может занять продолжительное время. В зависимости от размера диска, параметров задачи, количества объектов на диске YARA-проверка может длиться от нескольких минут до нескольких часов. При этом приложение не показывает индикатор выполнения. Прервать или отменить YARA-проверку невозможно. Рекомендуем дождаться результатов YARA-проверки.

Синтаксис команды

avp.com YARA /<full path to the YARA file>|/path=<path to the IOC files folder> [<advanced settings>]

YARA-файлы

 

<full path to the YARA file>

Полный путь к YARA-файлу, по которому требуется выполнить поиск. Вы можете указать несколько YARA-файлов через пробел. Полный путь к YARA-файлу следует ввести без аргумента /path.

Например, C:\Users\Admin\Desktop\YARA\file1.yar.

/path=<path to the folder with YARA files>

Путь к папке с YARA-файлами, по которым требуется выполнять поиск.

Например, /path=C:\Users\Admin\Desktop\YARA.

Дополнительные параметры

 

fastScan

Быстрая YARA-проверка. Для каждого объекта приложение фиксирует в журнале одно вхождение обнаруженного маркера. При этом приложение скрывает дубликаты обнаруженных маркеров в журнале. Быстрая YARA-проверка позволяет сократить время проверки больших файлов.

Если параметр не задан, приложение выполняет стандартную YARA-проверку. В этом режиме приложение записывает дубликаты обнаруженных маркеров в журнал.

maxRules=<maximum number of scan rules>

Ограничение уникальных сработавших правил, при превышении которого приложение прекращает YARA-проверку.

Если значение параметра не задано или равно 0, приложение выполняет YARA-проверку без ограничений.

timeOut=<stop scan after the specified time in seconds>

Ограничение длительности YARA-проверки в секундах. По истечении указанного времени приложение останавливает YARA-проверку.

Если значение параметра не задано или равно 0, приложение выполняет YARA-проверку без ограничений.

recursive

Рекурсивная проверка вложенных папок при выборочной проверке (scanFolder).

scanMemory

Проверка памяти всех запущенных процессов.

scanFolders <list of folders to be scanned>

Выборочная проверка. Приложение проверяет папки, выбранные пользователем.

Если значение параметра не задано, приложение выполняет YARA-проверку на всех локальных дисках, кроме сетевых, облачных и подключаемых дисках.

scanProcess <process name>

Проверка памяти только для указанных процессов. Kaspersky Endpoint Security поддерживает символы * и ? для ввода маски.

maxFileSize=<file size in bytes>

Ограничение размера файлов для YARA-проверки. Приложение пропускает файлы большего размера.

excludes <list of objects to be scanned>

Исключение файлов и папок из YARA-проверки. Вы можете указать несколько значений через пробел. Доступны следующие значения:

  • имя файла;
  • путь к файлу;
  • маска имени файла;
  • маска пути к файлу.

Исключения необходимо задавать с параметром scanFolders.

Пример:

scanFolders C:\*.* excludes readme.txt C:\trusted\*.* *.xml – приложение пропускает файл readme.txt, все файлы из папки C:\trusted, а также все файлы с расширением xml в корневой папке на диске C.

logFolder <path to the folder for saving the scan results in a TXT file>

Сохранение результатов YARA-проверки в файл в указанную папку. При этом приложение также показывает результаты YARA-проверки в командной строке.

Коды возврата команды:

Вы можете просмотреть результаты выполнения YARA-проверки в консоли Kaspersky Anti Targeted Attack Platform. В консоли Kaspersky Security Center доступен только статус выполнения задачи.

Если команда была выполнена успешно (код 0) и в процессе выполнения были обнаружены индикаторы компрометации, Kaspersky Endpoint Security выводит в командную строку следующие данные о результатах выполнения задачи:

Offset

Смещение в объекте, для которого Kaspersky Endpoint Security выполняет YARA-проверку.

Object Name

Имя объекта, которое приложение проверяет.

Rule Name

Имя правила, которое приложение использует для YARA-проверки.

В начало