Apple、macOSのウィルス定義データベース「XProtect」にオープンソースのYARAルールファイルを追加。

スポンサーリンク

 AppleがmacOSのウィルス定義データベース「XProtect」にYARAルールを追加したようです。詳細は以下から。

XProtect-Update-Hero

 XProtectはAppleがmacOS/OS Xで採用しているウィルスやマルウェア, ブロックするFlashプラグインなどを記載したデータベースですが、昨日アップデートされたXProtectで新たにオープンソースのマルウェア検知ツール「YARA」のルールを追加したようです。

Add Apple in section “Who’s using YARA”, since YARA rules are also used and provided in Apple’s recent XProtect (file: XProtect.yara).

Update README.md by sierkb · Pull Request #463 · VirusTotal/yara

YARAルールファイル

 YARAルールはセキュリティ研究者向けに作成されたマルウェアの検出や分析のためのオープンソースのルールで、VirusTotalが中心となり開発が行われていますが、昨日のアップデートでこのYARAルールファイル「XProtect.yara」が以下のディレクトリに追加されており、中には99の検体ルールが確認されています。

XProtect-yara-file

/System/Library/CoreServices/XProtect.bundle/Contents/Resources/

 VirusTotalでYARAの開発に携わっているVictor M. Alvarezさんは現在のところYARAのユーザーリストにApple Inc.を追加していませんが、XProtect v2080のアップデートが適用されたユーザーには同ファイルが追加されているようなので、興味のある方はチェックしてみてください。

XProtect-yara-rules-file

Aha! nice discovery @sierkb 🙂
I’ve have the same file in my Mac OS X. It has 99 rules. I’m not including Apple in the list cause nobody from Apple has asked to be included. But it’s good to know.

Update README.md by sierkb · Pull Request #463 · VirusTotal/yara