O que são YARA Rules?

Nos dias de hoje, com o tanto de de ameaças virtuais que existem, apenas operar na camada backup e restauração não é mais suficiente. Em um ambiente vulnerável, ou que já passou por um incidente de ransomware, restaurar os dados sem ter certeza de que estão seguros e limpos pode ser um problema, e até mesmo causar uma reinfecção.

Neste post vou explicar o que são as regras YARA e como a Veeam usa esse mecanismo dentro do fluxo de Malware Detection e Secure Restore, e como você pode começar a usar isso no seu ambiente.

O que são as YARA rules, afinal?

O acrônimo YARA vem de Yet Another Recursive Acronym e ele é uma ferramenta open source criada para ajudar pesquisadores de segurança a identificar e classificar amostras de malware. Ao invés de depender só de assinaturas fechadas de um antivírus comercial, o YARA permite escrever regras próprias, baseadas em padrões como strings específicas, sequências de bytes, hashes, estruturas de arquivo ou combinações desses elementos entre si.

Na prática, uma regra YARA é como um pequeno programa. Você define variáveis que descrevem padrões encontrados em uma amostra maliciosa e, em seguida, uma condição que determina quando esse conjunto de padrões deve ser considerado uma detecção positiva. Isso torna o YARA extremamente flexível. Dessa forma é possível tentar localizar desde uma família específica de ransomware até simplesmente identificar tipos de arquivo ou scripts embutidos que fogem do padrão esperado no ambiente.

YARA rules dentro do ambiente Veeam

O suporte a YARA foi introduzido no Veeam Backup & Replication a partir da v12.1, dentro do conjunto de funcionalidades de Malware Detection. Com isso é possível utilizar em dois tipos de fluxos:

Scan Backup

Você pode configurar uma sessão de Scan Backup para rodar uma regra YARA em cima dos pontos de restauração já existentes no repositório. Com isso nós conseguimos encontrar não só o último restore point limpo antes de um incidente, ou simplesmente analisar o conteúdo em busca de informação específica, como por exemplo, dados sensíveis, padrões, muito usado em contexto de LGPD/GDPR e não necessariamente malware.

Secure Restore

Aqui as regras YARA entra durante o próprio processo de restauração. Com isso o Veeam monta os discos da máquina a partir do backup, executa o scan YARA sobre esse conteúdo montado e, dependendo do resultado, decide como proceder, de forma bem parecida com o que já acontece hoje nos scans de antivírus tradicionais dentro do Secure Restore.

Em ambos os casos, o Veeam cria um evento de detecção de malware e caso positivo ele marca o o ponto de restauração como infectado.

Exemplo Prático

Vou mostra aqui um exemplo onde eu utilizei uma regra YARA para identificar arquivos ISO:

Aqui podemos ver que o Veeam varreu e fez o scan em 3 pontos de restauração, sendo que os backups do dia 13 localizou um arquivo ISO e o backup do dia 12 não localizou, ou seja, considerou o backup limpo.

Além disso também é possível ver o log do scan:

Conclusão

É muito comum o dia a dia de operação, tratar o backup como a última linha de defesa, de fato é o que ele é, mas esquecer que essa última linha também pode estar comprometida com um malware que já estava presente no ambiente antes da cópia ser feita pode ser um ponto falho critico e que comprometa a restauração efetiva dos dados.

Por último devemos lembrar que as regras YARA no Veeam não substitui um antivírus, EDR ou qualquer outra camada de segurança presente no ambiente. Porém ele é mais uma camada, focada especificamente em garantir que aquilo que você vai restaurar realmente resolve o incidente, em vez de reintroduzi-lo.

Publicar comentário