Lanzamiento de una nueva versión de YARA en Rust para mejorar la experiencia del usuario, rendimiento y robustez.
Se anuncia un cambio significativo: la reescritura total de YARA en Rust, dando nacimiento a YARA-X. Esta nueva versión está diseñada para ofrecer una mejor experiencia de usuario, compatibilidad a nivel de reglas, rendimiento, fiabilidad y robustez, así como una integración más fácil con otros proyectos.
¿Qué es Yara?
Durante más de 15 años, Yet Another Ridiculous Acronym (YARA) ha sido una herramienta indispensable para los investigadores de malware, evolucionando con numerosas actualizaciones y nuevas características.
YARA es una herramienta de código abierto diseñada para ayudar a los investigadores de malware a identificar y clasificar muestras de malware. Yara permite crear descripciones (o reglas) para familias de malware basadas en patrones textuales y/o binarios. YARA es multiplataforma, funcionando en Linux, Windows y Mac OS X. Puede usarse a través de su interfaz de línea de comandos o desde scripts de Python con la extensión YARA-Python.
Esta herramienta se ha convertido en un estándar en el mundo de la ciberseguridad, utilizada para la caracterización y detección de malware y otras amenazas. Su creador, Víctor M. Álvarez, actualmente en el equipo de VirusTotal de Google, explica que la decisión de reescribir la herramienta se debió a la necesidad de implementar mejoras significativas que requerían cambios de diseño profundos. Rust fue elegido por su facilidad de mantenimiento y sus fuertes garantías de fiabilidad tal y como explica en un post esta nueva etapa de la herramienta.
El estado actual de YARA-X
YARA-X, actualmente en fase beta, ya ha demostrado ser estable y efectiva. El equipo de VirusTotal ha estado utilizando YARA-X para escanear millones de archivos y detectar discrepancias y errores. Mientras YARA seguirá recibiendo mantenimiento, las nuevas funcionalidades y mejoras se centrarán en YARA-X.
Una de las novedades más destacadas de YARA-X es su capacidad para analizar varios formatos de archivo, como PE, .NET, ELF, Mach-O y LNK, creando estructuras de datos detalladas. El comando yr dump [FILE] permite a los usuarios acceder a esta información de manera sencilla, en formato YAML o JSON, mejorando significativamente la funcionalidad anterior de YARA.
Al ejecutar este comando, YARA-X analiza el archivo especificado utilizando todos los módulos relevantes y muestra las estructuras de datos generadas, proporcionando la salida en formato YAML por defecto para una mejor legibilidad y facilidad de uso. Anteriormente, YARA ofrecía una opción similar, pero más engorrosa, que requería el paso de un archivo fuente YARA e importaba los módulos deseados. La introducción del comando dump en YARA-X simplifica enormemente este proceso, ofreciendo a los usuarios una forma más eficiente de acceder a información detallada sobre varios formatos de archivo.
Objetivos de YARA-X
El objetivo de YARA-X es superar a YARA en todos los aspectos, facilitando que los usuarios migren de forma natural debido a sus claras ventajas. La versión actualizada de YARA-X aprovecha el conocimiento acumulado para mejorar sus capacidades, enfrentando sus limitaciones y simplificando su mantenimiento y desarrollo futuro.
- Mejorar la experiencia de usuario: interfaz moderna y reportes de errores explicativos.
- Mantener la compatibilidad a nivel de reglas: 99% de compatibilidad con YARA.
- Mejor rendimiento: mayor velocidad con reglas complejas.
- Mayor fiabilidad y seguridad: beneficios de la implementación en Rust.
- Facilidad de integración: APIs oficiales en Python, Golang y C.
YARA-X representa una nueva era en la detección de malware, aprovechando su base de conocimiento para ofrecer una herramienta más potente y fácil de mantener.
Más información:
- https://blog.virustotal.com/2024/05/yara-is-dead-long-live-yara-x.html
- https://github.com/VirusTotal/yara-x
- https://docs.virustotal.com/docs/what-is-yara
- https://virustotal.github.io/yara-x/blog/yara-x-as-a-file-inspection-tool/
- https://virustotal.github.io/yara-x/docs/intro/using-the-cli/#dump
Deja una respuesta