Threat Hunting mit Yara und Thor
149,00 €*
Lieferzeit Sofort lieferbar
Im Webinar lernen Sie die Funktionsweise von Yara und Thor kennen und erfahren, wie Sie die für eigene Ermittlungen nutzen und anpassen können. Dazu nutzen Sie die kostenlose Version Thor Lite, die mit über 2000 Open-Source-Yara-Regeln ausgeliefert wird. Wir zeigen, wie man sogenannte Indicators of Compromise (IOCs) und Yara-Regeln schreibt und gezielt einsetzt.
- Bedrohungen jenseits von Viren
- Thor und seine Funktionsweise
- Yara und IOCs
- Scans mit eigenen Signaturen
- Scanläufe sinnvoll auswerten
Jenseits von Viren und Würmern gibt es zahllose Bedrohungen, die zwar keine Infektion darstellen, aber dennoch für die vollständige Betrachtung des Endsystems relevant sind. Spuren von Hacking wie die Ausgabedateien von Hacktools, manipulierte Konfigurationsdateien, Web Shells oder verdächtig große Link-Dateien.
Lernen Sie, diese Bedrohungen gezielt mit Thor und Yara aufzuspüren. Beide sind in Desinfec’t enthalten, lassen sich aber natürlich auch einzeln nutzen.
Thor ist ein Scanner, der mit Hilfe zahlreicher Regeln diese Grauzone beleuchtet. Er nutzt dazu das offene Signaturformat Yara und erweitert dieses mit nützlichen Metavariablen, die sich via Regeln nutzen lassen. So können Regeln für die Beziehung zwischen Inhalt und Name, Erweiterung oder Ablageort geschrieben werden. Eine ausführbare Datei im Fonts-Ordner? Ein RAR-Archiv mit ".txt"-Dateiendung? Eine UPX-gepackte Datei im Windows-Ordner? Thor nutzt solche Regeln, um verdächtige Aktivität sichtbar zu machen und Angreifer zu enttarnen, die sich "unter dem Radar bewegen".
Referent:
Florian Roth, Head of Research, Nextron Systems
Länge: ca. 90 Minuten