VirusTotalはYARA-X 1.11.0をリリースし、マルウェアアナリストや検知エンジニアにとって、ルール作成をより安全で予測可能にし、デバッグしやすくするためのエンジンレベルの改善を一連で提供しました。
このリリースの目玉は、本番環境に到達する前にルール内のロジックエラーを検出することを目的とした、新しい種類のハッシュ関数比較警告です。
RustベースでYARAを再実装したYARA-Xは、すでにVirusTotal, で大規模に本番運用されており、数万件のルールに対して数十億のファイルをスキャンしています。
バージョン1.11.0は、パーサーの厳格化、モジュール対応範囲の改善、いくつかのエッジケースにおけるパニックや解析バグの解消により、その「実戦で鍛えられた」軌道を引き続き強化しています。
このリリースにおける重要な変更点は、複数のハッシュ関数の結果が、それらのハッシュと一致し得ない文字列と比較された場合に新しい警告を出すことです。
これは、アナリストが誤ってハッシュ出力を無効または互換性のないリテラルと比較してしまい、ルールが静かに一度も発火しないというよくあるミスに対処するものです。明示的な警告を出すことで、YARA-Xはテストの早い段階でこれらの問題を作者が発見できるようになりました。
このリリースではさらに、グローバルルールが条件式で直接使用された場合の警告も導入され、大規模なルールベースにおいて、より明確で保守しやすいルールロジックを促進します。
複数のバグ修正により、ブール値の比較時のパニック、無効なUnicodeエスケープシーケンスの処理、パーサーの問題が解消され、またPythonモジュールがスキャン操作中にGILを取得しないようになったことで、並行スキャン構成における利点が得られます。
事前ビルド済みバイナリは、x86_64およびaarch64向けにWindows、Linux、macOSで利用可能であり、セキュリティチームが既存の検知、トリアージ、サンドボックス環境にYARA-X 1.11.0を容易に統合できるようになっています。
執筆時点では、YARA-X 1.11.0に特化して割り当てられたCVEはありません。このリリースの修正は、公開されたセキュリティ脆弱性というよりも、主に安定性と正確性に対処するものです。
翻訳元: https://cyberpress.org/yara-x-1-11-0-released/