YAYA : comment l’EFF veut automatiser l’analyse des malwares

Clément Bohic,
Yaya YARA

L’EFF officialise YAYA, projet open source destiné à automatiser l’exploitation des règles YARA pour l’identification de malwares.

Top départ pour YAYA. L’EFF vient d’officialiser ce projet open source dont la première release remonte à fin juin.

Les outils que l'ONG compte actuellement à son catalogue visent essentiellement à sécuriser l'usage du web. Privacy Badger et HTTPS Everywhere en font partie. Ils sont disponibles sous la forme d'extensions pour les navigateurs.

Avec YAYA, pas d'extensions, mais une interface en ligne de commande. Et pour cause : le public n'est pas le même. L'EFF cible les équipes de sécurité, avec une promesse : automatiser l'exploitation des règles YARA*.

Ces dernières sont nées à l'initiative d'un chercheur de VirusTotal. On les utilise aujourd'hui principalement pour faciliter l'identification et la classification des malwares. Elles emploient une syntaxe proche de celle du langage C, avec deux éléments de base : des chaînes de caractères (description) et une logique booléenne (condition).

Silent Banker
Cette règle classera comme silent_banker tout fichier qui contient l'une des chaînes de caractères $a, $b ou $c.

La fonction principale de YAYA consiste à importer ces règles depuis des dépôts GitHub. L'outil - pour le moment disponible uniquement sur Linux - permet aussi d'ajouter des règles, d'en désactiver/supprimer et d'analyser des dossiers.

La roadmap du projet prévoit, entre autres :

  • l'ajout de règles à partir d'emplacements locaux ;
  • la possibilité de scanner des processus ;
  • des formats de sortie autres que JSON ;
  • l'exécution de règles rédigées avec la syntaxe VirusTotal ;
  • et la désactivation automatique de celles qui engendrent trop de faux positifs.

*  On traduit communément YAYA par « Yet Another Recursive Acronym » ou « Yet Another Ridiculous Acronym ». On évitera la confusion avec YaYaGenPE, projet d'algorithme pour la création automatique de règles YARA.