Yara란? virus total에서 제작한 악성코드의 패턴을 이용하여 악성 파일을 분류하는데 사용되는 도구

IOC란?

Indicator Of Compromise의 약자로, 침해지표를 의미

위협 활동을 특정할 수 있는 데이터로,

• 악성파일의 Hash
• 악성 행위 수행 이후 남는 시스템 로그
• 악성 파일을 배포한 IP 혹은 도메인 주소
• 피해 PC 자료가 업로드 된 IP 혹은 도메인 주소
• 기타 해당 위협 활동을 특정할 수 있는 다양한 증거 데이터 (아티팩트)

IOC 기반 탐지란?

IOC 정보를 기반으로 악성 프로그램을 탐지하는 기법

Yara Rule 작성시 참고하면 좋은 사이트

yara전반

https://yara.readthedocs.io/en/latest/

yara ruel 작성 실 사례

https://github.com/Yara-Rules/rules