YARA. Запуск YARA-проверки

Запуск задачи Запустить YARA-проверку. Приложение выполняет проверку файлов и объектов на наличие признаков целевых атак на IT-инфраструктуру организации с помощью баз YARA-правил, создаваемых пользователями Kaspersky Anti Targeted Attack Platform. YARA-правило – общедоступная классификация вредоносных приложений, содержащая сигнатуры признаков целевых атак и вторжений в IT-инфраструктуру организации, по которым Kaspersky Anti Targeted Attack Platform производит проверку файлов и объектов.

Для запуска YARA-проверки вам нужно подготовить YARA-файлы, которые описывают правила. При создании YARA-файлов учитывайте следующие требования:

Kaspersky Endpoint Security поддерживает YARA-файлы с расширением yara и yar открытого стандарта описания индикаторов компрометации YARA версии 4.0.2.
В задаче можно указывать только файл с YARA-правилами. Задача Запустить YARA-проверку не поддерживает другие типы правил.
Если вы добавили YARA-файлы, которые Kaspersky Endpoint Security не поддерживает, или правила содержат синтаксические ошибки, запуск задачи будет прерван с соответствующим уведомлением об ошибке.
Идентификаторы всех YARA-файлов, которые используются в одной задаче, должны быть уникальными. Наличие YARA-файлов с одинаковыми идентификаторами может повлиять на корректность результатов выполнения задачи.
YARA-проверка прерывается при обнаружении 128 совпадений с маркерами, описанными в YARA-правилах. Это необходимо для ограничения количества записей в отчете YARA-проверки для удобства его анализа и защиты отчета от переполнения из-за неточно сформулированных YARA-правил, для которых совпадений может быть очень много.

Специалисты "Лаборатории Касперского" рекомендуют создавать по одному правилу в одном YARA-файле. Такой подход облегчает чтение результатов проверки.

YARA-проверка может занять продолжительное время. В зависимости от размера диска, параметров задачи, количества объектов на диске YARA-проверка может длиться от нескольких минут до нескольких часов. При этом приложение не показывает индикатор выполнения. Прервать или отменить YARA-проверку невозможно. Рекомендуем дождаться результатов YARA-проверки.

Синтаксис команды

avp.com YARA /<full path to the YARA file>|/path=<path to the IOC files folder> [<advanced settings>]

YARA-файлы

<full path to the YARA file>

Полный путь к YARA-файлу, по которому требуется выполнить поиск. Вы можете указать несколько YARA-файлов через пробел. Полный путь к YARA-файлу следует ввести без аргумента /path.

Например, C:\Users\Admin\Desktop\YARA\file1.yar.

/path=<path to the folder with YARA files>

Путь к папке с YARA-файлами, по которым требуется выполнять поиск.

Например, /path=C:\Users\Admin\Desktop\YARA.

Дополнительные параметры
`fastScan`	Быстрая YARA-проверка. Для каждого объекта приложение фиксирует в журнале одно вхождение обнаруженного маркера. При этом приложение скрывает дубликаты обнаруженных маркеров в журнале. Быстрая YARA-проверка позволяет сократить время проверки больших файлов. Если параметр не задан, приложение выполняет стандартную YARA-проверку. В этом режиме приложение записывает дубликаты обнаруженных маркеров в журнал.
`maxRules=<maximum number of scan rules>`	Ограничение уникальных сработавших правил, при превышении которого приложение прекращает YARA-проверку. Если значение параметра не задано или равно `0`, приложение выполняет YARA-проверку без ограничений.
`timeOut=<stop scan after the specified time in seconds>`	Ограничение длительности YARA-проверки в секундах. По истечении указанного времени приложение останавливает YARA-проверку. Если значение параметра не задано или равно `0`, приложение выполняет YARA-проверку без ограничений.
`recursive`	Рекурсивная проверка вложенных папок при выборочной проверке (`scanFolder`).
`scanMemory`	Проверка памяти всех запущенных процессов.
`scanFolders <list of folders to be scanned>`	Выборочная проверка. Приложение проверяет папки, выбранные пользователем. Если значение параметра не задано, приложение выполняет YARA-проверку на всех локальных дисках, кроме сетевых, облачных и подключаемых дисках.
`scanProcess <process name>`	Проверка памяти только для указанных процессов. Kaspersky Endpoint Security поддерживает символы `*` и `?` для ввода маски.
`maxFileSize=<file size in bytes>`	Ограничение размера файлов для YARA-проверки. Приложение пропускает файлы большего размера.
`excludes <list of objects to be scanned>`	Исключение файлов и папок из YARA-проверки. Вы можете указать несколько значений через пробел. Доступны следующие значения: путь к файлу; маска пути к файлу. Исключения необходимо задавать с параметром `scanFolders`. Пример: `scanFolders C:\. /excludes readme.txt C:\trusted\. *.xml` – приложение пропускает файл `readme.txt`, все файлы из папки `C:\trusted`, а также все файлы с расширением xml в корневой папке на диске C.
`includes <list of objects to be scanned>`>	Формирование области проверки. Вы можете указать несколько значений через пробел. Доступны следующие значения: имя файла; маска имени файла. Область проверки необходимо задавать с параметром `scanFolders`. Пример: `scanFolders C:\. /includes=.exe .dll` – приложение проверит все файлы с расширением EXE и DLL на диске C.
`logFolder <path to the folder for saving the scan results in a TXT file>`	Сохранение результатов YARA-проверки в файл в указанную папку. При этом приложение также показывает результаты YARA-проверки в командной строке.

Коды возврата команды:

-1 – команда не поддерживается версией приложения, которое установлено на компьютере.
0 – команда выполнена успешно.
1 – команде не передан обязательный аргумент.
2 – общая ошибка.
4 – синтаксическая ошибка.
5 – не найден один или несколько файлов с YARA-правилами из указанных в значении параметра.

Вы можете просмотреть результаты выполнения YARA-проверки в консоли Kaspersky Anti Targeted Attack Platform. В консоли Kaspersky Security Center доступен только статус выполнения задачи.

Если команда была выполнена успешно (код 0) и в процессе выполнения были обнаружены индикаторы компрометации, Kaspersky Endpoint Security выводит в командную строку следующие данные о результатах выполнения задачи:

`Started at <time>` `Finished at <time>`	Время выполнения задачи.
`Host name: <computer name>`	Имя компьютера, на котором обнаружены индикаторы компрометации.
`Result: <error>`	Содержание ошибки, которая возникла при выполнении задачи. Если ошибки нет, приложение выводит `0x00000000`.
`Object Name`	Имя объекта, которое приложение проверяет.
`Md5: <md5 hash>` `Sha256: <sha256 hash>`	Хеши объекта, которое приложение проверяет.
`Rule Name`	Имя правила, которое приложение использует для YARA-проверки.
`Meta:` `Author: <author>` `Date: <date>` `Description: <description>`	Метаданные, которые указаны в YARA-правиле.
`Detects:` `Offset <N>`	Смещение в объекте, для которого Kaspersky Endpoint Security выполняет YARA-проверку.

В начало