安全团队有一个使用开源YARA规则来寻找恶意软件的新工具。YARAify可以使用公共YARA规则扫描文件，整合由德国弗劳恩霍夫研究所运营的Malpedia的公共和非公共YARA规则，并使用开放和商业ClamAV签名进行扫描。研究人员可以设置搜索规则以匹配YARA规则和ClamAV签名，并通过API将YARAify链接到其他工具。

YARAify由Abuse.ch的安全研究人员开发，该项目来自瑞士伯尔尼应用科学大学网络安全与工程研究所(ICE)。

根据创始人Roman Hüssy的说法，YARA规则功能强大但难以处理。

例如，规则分布在平台和git存储库中，没有简单的方法可以共享它们。YARA规则也没有单一、一致的命名约定，导致规则处理重复和困难。

Hüssy添加了独特的身份yarahub_uuid和YARAhub来帮助研究人员共享规则。

规则作者还可以在YARAhub上设置TLP分类，以允许其他人使用YARA规则来寻找威胁，而无需查看规则本身。

“YARA是一个用于模式匹配的开源工具，”Hüssy说。“它允许任何人，通常是安全研究人员或安全软件供应商，编写自己的规则来检测恶意或可疑文件等[问题]。

“我们决定向公众推出YARAify平台，以允许任何人以结构化的方式与社区分享他们的YARA规则，并使用这些规则来寻找在Abuse.ch世界中看到的可疑和恶意文件。”

Hüssy希望YARAify成为安全研究人员共享YARA规则的默认平台。他说，到目前为止，反应非常积极。

安全供应商越来越多地在他们自己的应用程序中支持YARA规则，并且YARA规则被SOC广泛用于威胁搜寻和威胁情报。

例如，数据保护和弹性供应商Rubrik已在其工具中内置了对YARA规则的支持，以帮助IT团队进行事件遏制和威胁追踪，尤其是防止公司再次感染其系统以防止备份受损。

“在谈论YARA时，区分YARA工具和YARA规则很重要，”Rubrik的现场首席信息安全官James Blake说。

“YARA规则是对YARA工具在给定文件进行分析时创建的恶意软件的描述。YARA规则在开源和商业预防和检测控制、其他标准（如用于威胁情报交换的STIX）以及威胁情报平台中的采用，现在已经超越了YARA工具。”

由于研究人员专注于特定的恶意软件菌株，YARA规则可用于在威胁搜寻期间“让网络扩大，然后逐渐完善”。但是YARA 规则非常强大，因为它们不仅可以描述可执行文件的内容，还可以描述其行为。这有助于研究人员跟踪恶意软件家族，即使它们正在适应。

“YARA规则在成熟的SOC和成熟的服务提供商组织中广泛使用，以改进检测并防止更简化的基于哈希的检测产生的一些噪音，”咨询公司Bridewell托管安全服务主管Martin Riley说。

Bridewell使用YARA规则来识别趋势并对某些恶意软件进行逆向映射工程。

“YARA规则本质上替换了文件的哈希值，攻击者很容易操纵这些值，”Riley说。

“YARA规则为网络中的恶意对象提供了更高保真度和更有价值的检测机制。” 他建议，YARAify为研究人员提供了一种替代工具，例如Google的VirusTotal。