AppleがmacOSのウィルス定義データベース「XProtect」にYARAルールを追加したようです。詳細は以下から。
XProtectはAppleがmacOS/OS Xで採用しているウィルスやマルウェア, ブロックするFlashプラグインなどを記載したデータベースですが、昨日アップデートされたXProtectで新たにオープンソースのマルウェア検知ツール「YARA」のルールを追加したようです。
Interesting… Apple’s XProtect is using #YARA for some signatures. Check this: https://t.co/bHOi46WDxc
— Victor M. Alvarez (@plusvic) 2016年6月22日
Add Apple in section “Who’s using YARA”, since YARA rules are also used and provided in Apple’s recent XProtect (file: XProtect.yara).
Update README.md by sierkb · Pull Request #463 · VirusTotal/yara
YARAルールファイル
YARAルールはセキュリティ研究者向けに作成されたマルウェアの検出や分析のためのオープンソースのルールで、VirusTotalが中心となり開発が行われていますが、昨日のアップデートでこのYARAルールファイル「XProtect.yara」が以下のディレクトリに追加されており、中には99の検体ルールが確認されています。
/System/Library/CoreServices/XProtect.bundle/Contents/Resources/
VirusTotalでYARAの開発に携わっているVictor M. Alvarezさんは現在のところYARAのユーザーリストにApple Inc.を追加していませんが、XProtect v2080のアップデートが適用されたユーザーには同ファイルが追加されているようなので、興味のある方はチェックしてみてください。
Aha! nice discovery @sierkb 🙂
I’ve have the same file in my Mac OS X. It has 99 rules. I’m not including Apple in the list cause nobody from Apple has asked to be included. But it’s good to know.Update README.md by sierkb · Pull Request #463 · VirusTotal/yara
- Yara Rules Repository – Yara Rules
- VirusTotal/yara: The pattern matching swiss knife – GitHub
コメント