YARA წესები

YARA წესები PRX-SD-ის გამოვლენის კონვეიერის მეორე შრეა. ჰეშ-შეჯამება ცნობილი მავნე პროგრამების ზუსტ ასლებს იჭერს, YARA წესები კი ბაიტ-თანმიმდევრობების, სტრინგებისა და ფაილის შიგნით სტრუქტურული პირობების შეჯამებით მავნე პროგრამების ოჯახებს, ვარიანტებს და ქცევით შაბლონებს ავლენს.

PRX-SD 8 წყაროდან შეგროვებულ 38,800+ YARA წესს ახლავს და YARA-X ძრავს იყენებს -- YARA-ს შემდეგი თაობის Rust-ზე გადაწერილი ვერსია, რომელიც გაუმჯობესებულ წარმადობას, უსაფრთხოებასა და თავსებადობას გვთავაზობს.

YARA-X ძრავა

PRX-SD ტრადიციული C-ზე დაფუძნებული YARA ბიბლიოთეკის ნაცვლად YARA-X-ს იყენებს. მთავარი უპირატესობები:

მახასიათებელი	YARA (C)	YARA-X (Rust)
ენა	C	Rust (მეხსიერება-უსაფრთხო)
წარმადობა	კარგი	2-5x სწრაფი დიდ rule sets-ზე
წესების თავსებადობა	საბაზისო	სრული უკუთავსებადობა + ახალი მახასიათებლები
ნაკადის უსაფრთხოება	ფრთხილ მართვას საჭიროებს	უსაფრთხო დიზაინით
მოდულის მხარდაჭერა	ჩაშენებული მოდულები	მოდულური, გაფართოებადი

წესების წყაროები

PRX-SD 8 წყაროდან წესებს აგროვებს:

წყარო	წესები	შინაარსი	პლატფორმის გადაფარვა
ჩაშენებული წესები	64	გამოსასყიდი პროგრამა, ტროიანები, backdoor-ები, rootkit-ები, miner-ები, webshell-ები	Linux + macOS + Windows
Yara-Rules/rules (GitHub)	~12,400	Emotet, TrickBot, CobaltStrike, Mirai, LockBit	კროს-პლატფორმული
Neo23x0/signature-base	~8,200	APT29, Lazarus, კრიპტო-mining, webshell-ები, გამოსასყიდი	კროს-პლატფორმული
ReversingLabs YARA	~9,500	ტროიანები, გამოსასყიდი, backdoor-ები, hack tools	Windows + Linux
ESET IOC	~3,800	Turla, Interception, მაღალი დონის მდგრადი საფრთხეები	კროს-პლატფორმული
InQuest	~4,836	OLE/DDE მავნე დოკუმენტები, macro payload-ები	კროს-პლატფორმული
JPCERT/CC	~500+	აზია-წყნარი ოკეანის სამიზნე საფრთხეები	კროს-პლატფორმული
მომხმარებლის/იმპორტირებული	ცვლადი	მომხმარებლის მოწოდებული წესები	ნებისმიერი

სულ: 38,800+ წესი (დუბლიკატების მოხსნის შემდეგ)

ჩაშენებული წესები

64 ჩაშენებული წესი PRX-SD binary-ში კომპილირებულია და ყოველთვის ხელმისაწვდომია, გარე rule sets-ის ჩამოტვირთვის გარეშეც. ის ყველაზე გავრცელებულ საფრთხის კატეგორიებს მოიცავს:

კატეგორია	წესები	მაგალითები
გამოსასყიდი პროგრამა	12	WannaCry, LockBit, Conti, REvil, BlackCat, Ryuk
ტროიანები	10	Emotet, TrickBot, Dridex, QakBot
Backdoor-ები	8	Cobalt Strike Beacon, Metasploit Meterpreter, reverse shells
Rootkit-ები	6	Reptile, Diamorphine, Jynx2 (Linux)
კრიპტო-miner-ები	6	XMRig, CGMiner, ფარული mining კონფიგები
Webshell-ები	8	China Chopper, WSO, B374K, PHP/ASP/JSP shells
RAT-ები	6	njRAT, DarkComet, AsyncRAT, Quasar
Exploit-ები	4	EternalBlue, PrintNightmare, Log4Shell payload-ები
ტესტ-სიგნატურები	4	EICAR ტესტ-ფაილის ვარიანტები

წესების შეჯამების პროცესი

ფაილის მე-2 შრეზე მოხვედრისას YARA-X ასე ამუშავებს მას:

1. წესების კომპილაცია -- გაშვებისას ყველა წესი ოპტიმიზებულ შიდა წარმოდგენაში კომპილირდება. ეს ერთხელ ხდება და მეხსიერებაში ქეშირდება.
2. Atom-ის ამოღება -- YARA-X საძებნი ინდექსის ასაგებად წესების შაბლონებიდან მოკლე ბაიტ-თანმიმდევრობებს (atom-ებს) ამოიღებს. ეს სწრაფ წინა-ფილტრაციას იძლევა.
3. სკანირება -- ფაილის შინაარსი atom-ის ინდექსთან შეჯამდება. მხოლოდ შემჯამებელი atom-ების მქონე წესები სრულად ფასდება.
4. პირობის შეფასება -- ყოველი კანდიდატი წესისთვის სრული პირობა (ბულეური ლოგიკა, სტრინგის რაოდენობა, ფაილის სტრუქტურის შემოწმება) ფასდება.
5. შედეგი -- შემჯამებელი წესები გროვდება და ფაილი MALICIOUS-ად ირეპორტება, ანგარიშში წესის სახელები შედის.

წარმადობა

მეტრიკა	მნიშვნელობა
წესების კომპილაცია (38,800 წესი)	~2 წამი (ერთჯერადი გაშვებისას)
ფაილზე სკანირების დრო	საშუალოდ ~0.3 მილიწამი
მეხსიერების გამოყენება (კომპილირებული წესები)	~150 MB
გამტარობა	~3,000 ფაილი/წამი/ნაკადი

YARA წესების განახლება

წესები ჰეშ-სიგნატურებთან ერთად განახლდება:

# ყველაფრის განახლება (ჰეშები + YARA წესები)
sd update

# მხოლოდ YARA წესების განახლება
sd update --source yara

განახლების პროცესი:

1. ყოველი წყაროდან წესების არქივების ჩამოტვირთვა
2. YARA-X-ით წესების სინტაქსის დადასტურება
3. სახელისა და შინაარსის ჰეშის მიხედვით დუბლიკატების მოხსნა
4. კომბინირებული rule set-ის კომპილაცია
5. აქტიური rule set-ის ატომური ჩანაცვლება

ნულოვანი downtime-ის განახლებები

წესების განახლებები ატომურია. ახალი rule set კომპილირდება და დადასტურდება აქტიურის ჩანაცვლებამდე. კომპილაციის წარუმატებლობისას (მაგ., საზოგადოების წესში სინტაქსური შეცდომის გამო) არსებული rule set აქტიური რჩება.

მომხმარებლის წესები

.yar ან .yara ფაილების მომხმარებლის წესების დირექტორიაში მოთავსებით შეგიძლიათ საკუთარი YARA წესები დაამატოთ:

# ნაგულისხმევი მომხმარებლის წესების დირექტორია
~/.config/prx-sd/rules/

მომხმარებლის წესის მაგალითი:

rule custom_webshell_detector {
    meta:
        description = "Detects custom PHP webshell variant"
        author = "Security Team"
        severity = "high"

    strings:
        $eval = "eval(base64_decode(" ascii
        $system = "system($_" ascii
        $exec = "exec($_" ascii

    condition:
        filesize < 100KB and
        ($eval or $system or $exec)
}

მომხმარებლის წესების დამატების შემდეგ rule set-ის გადატვირთვა:

sd reload-rules

ან ცვლილებების ავტომატური ამოსაღებად მონიტორის დემონი გადატვირთეთ.

წესების დირექტორიები

დირექტორია	წყარო	განახლების ქცევა
~/.local/share/prx-sd/rules/builtin/	binary-ში კომპილირებული	გამოშვებებთან განახლება
~/.local/share/prx-sd/rules/community/	წყაროებიდან ჩამოტვირთული	sd update-ით განახლება
~/.config/prx-sd/rules/	მომხმარებლის მოწოდებული წესები	ხელით, არასოდეს გადაეწერება

წესების დადასტურება

ამჟამად ჩატვირთული წესების რაოდენობისა და წყაროების შემოწმება:

sd info

YARA Rules
==========
Built-in:        64
Community:       38,736
Custom:          12
Total compiled:  38,812
Rule sources:    8
Last updated:    2026-03-21 10:00:00 UTC

კონკრეტული საკვანძო სიტყვასთან შემჯამებელი წესების ჩამონათვალი:

sd rules list --filter "ransomware"

შემდეგი ნაბიჯები

• ევრისტიკული ანალიზი -- სიგნატურებს გვერდის ამვლელი ფაილების ქცევითი გამოვლენა
• ჰეშ-შეჯამება -- ყველაზე სწრაფი გამოვლენის შრე
• გამოვლენის ძრავის მიმოხილვა -- ყველა შრის ერთობლივი მუშაობა
• მხარდაჭერილი ფაილის ტიპები -- YARA წესების სამიზნე ფაილის ფორმატები