YARA Rules / YARA Kuralları, siber güvenlik araştırmacılarının zararlı yazılım ailelerini (örneğin belirli bir Infostealer türünü) tanımlamak ve sınıflandırmak için kullandığı metin tabanlı kurallardır. Bu kurallar, bir dosyanın içeriğindeki belirli metin dizilerini (strings), bayt dizilimlerini veya karakteristik özelliklerini arayarak bir nevi "dijital parmak izi" tespiti yapar.
Siber saldırganlar sürekli kod değiştirse de, yazdıkları yazılımların içinde genellikle değişmeyen karakteristik izler bırakırlar. YARA Rules / YARA Kuralları, bu izleri takip ederek bir Infostealer yazılımını saniyeler içinde teşhis etmemizi sağlayan bir "tespit motoru"dur. Güvenlik dünyasında YARA, zararlı yazılım analistleri için vazgeçilmez bir standarttır.
Bir YARA kuralı, yazılımın "DNA"sını tarayan üç ana bölümden oluşur:
Infostealer'lar genellikle birbirlerinin kodlarını kopyalarlar. YARA sayesinde, bir yazılımın adı değişse bile (Örn: RedLine'dan kopyalanmış yeni bir varyant), kodun içindeki yapısal benzerlikler sayesinde saldırı daha başlamadan durdurulabilir. Dark Radar gibi platformlar, en güncel YARA kurallarını kullanarak sistemlerinizde derinlemesine tarama yapar ve gizlenmiş tehditleri açığa çıkarır.
Modern zafiyet analizlerinde, sadece bilinen dosya isimlerine bakılmaz. Sistemdeki tüm dosyalar kurumsal YARA kütüphaneleriyle taranır. Bu süreç, klasik antivirüslerin "imza" tabanlı kontrollerini aşan sofistike bilgi hırsızlarını bulmak için en etkili yöntemdir.
Özetle; YARA Kuralları, siber dünyada bir "eşkal belirleme" sistemidir. Bu kurallar sayesinde, saldırgan ne kadar gizlenirse gizlensin, kodundaki karakteristik izler onu ele verir.
