YARA는 악성코드 샘플에 포함된 패턴을 이용해 특성과 행위를 기준으로 악성파일을 분류하는데 사용되는 툴이다. 비교적 간단한 문법의 YARA 룰을 작성하는 것만으로 악성코드 샘플이 특정 기능을 하는지, 명시된 조건이 포함되어 있는지 여부를 확인할 수 있어 악성코드 연구자들 사이에서 널리 쓰이고 있다.

 
HNS는 ‘YARA를 이용한 악성코드 시그니처 확인 방법’에 대한 분석 보고서를 발표하고 악성코드 샘플의 기능 분석을 좀더 쉽고 빠르게 하기 위한 YARA 툴을 소개하고 이를 사용하는 방법과 실제 사용 예를 들고 있다.
 
YARA는 멀티플랫폼에서 리눅스, 맥, 윈도우 시스템에 모두 사용할 수 있으며 설치 및 사용방법으로는 YARA 소스코드를 직접 컴파일 하는 방식, YARA 실행파일 실행방식, YARA-python 확장기능을 이용한 python 방식이 있다고 보고서는 밝히고 있다.
 
한편 보고서는 “기본적인 프로그래밍만 가능하다면 쉽게 작성할 수 있는 YARA 룰은 비교적 간단한 문법이지만 정규 표현식과 여러 조건문을 지원해 매우 효율적으로 악성코드의 시그니처를 확인할 수 있다”며 “하지만 YARA는 주어진 패턴을 기반으로 판별 및 분류하는 툴이기 때문에 검사하고자 하는 파일이나 프로세스가 바로 어떤 행위를 하는지는 알기 어렵다”고 밝히고 있다.
 
보다 자세한 사항은 HNS 블로그(blog.hacknsecurity.com)나 데일리시큐 자료실을 통해 다운로드 할 수 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com