# OPNsense YARA Integration: Musterbasierte Malware-Jagd

TL;DR / Management Summary Während Suricata (Artikel 589) auf Netzwerkprotokolle spezialisiert ist, dient YARA der Identifizierung von Malware basierend auf Text- oder Binärmustern. In OPNsense wird YARA primär innerhalb des Suricata IDS/IPS oder in Kombination mit dem ClamAV Plugin genutzt. Ein Senior Admin nutzt YARA-Regeln, um spezifische Dateiinhalte (z.B. Exploit-Payloads in PDF-Dateien) bereits beim Transfer über das Gateway zu erkennen und zu blockieren.

# 1. Einführung & Funktionsweise

Die Pattern-Matching Engine.

YARA ist das “Swiss Army Knife” für Malware-Forscher. Eine Regel beschreibt Strings (Text oder Hex) und eine logische Bedingung.

• Wirkung: OPNsense scannt Dateitransfers (HTTP, SMTP, FTP) gegen diese Regelsätze.
• Vorteil: Erkennt auch neue (“0-Day”) Malware, wenn sie bekannte Code-Fragmente bereits existierender Trojaner nutzt.

# 2. Einrichtung in OPNsense

Vom Code zum Schutz.

# Schritt 1: Plugin installieren

YARA ist oft Teil des IDS-Pakets oder von os-clamav. Installieren Sie das ClamAV-Plugin, da es YARA-Signaturen für den Dateiscan nutzt.

# Schritt 2: Regelsätze abonnieren

Unter Services -> Intrusion Detection -> Download finden Sie Regeln, die intern YARA nutzen (z.B. ET Open Malware-Regeln).

# 3. Deep Dive: Eigene YARA-Regeln erstellen

Maßgeschneiderte Abwehr.

Wenn Sie wissen, dass Ihre Firma Ziel einer spezifischen Phishing-Kampagne ist, können Sie eigene Regeln schreiben.

# Beispiel: Erkennung eines bösartigen PowerShell-Skripts

rule Suspicious_PowerShell_Download {
    strings:
        $s1 = "IEX" nocase
        $s2 = "DownloadString" nocase
        $s3 = "New-Object" nocase
    condition:
        all of them and filesize < 10KB
}

• Aktion: Diese Regel kann in den Scanner geladen werden, um den Download solcher Skripte via Web-Proxy (Artikel 591) zu verhindern.

# 4. Day-2 Operations: ClamAV & YARA

Dateibasierter Schutz.

Das Plugin os-clamav nutzt YARA-Regeln zur Laufzeit.

• Setup: Aktivieren Sie den ClamAV Dienst.
• Scan: Konfigurieren Sie den Web-Proxy so, dass Downloads erst an ClamAV übergeben werden (ICAP Protokoll).
• Ergebnis: Jede heruntergeladene Datei wird gegen Millionen von AV-Signaturen und YARA-Mustern geprüft.

# 5. Troubleshooting & “War Stories”

Wenn das Muster zu unscharf ist.

# Top 3 Fehlerbilder

1. Symptom: Massive CPU-Last nach Hinzufügen einer Custom YARA-Regel.

   • Ursache: Die Regel ist zu generisch (z.B. Suche nach dem Wort “The”) und verursacht Millionen von Matches.
   • Lösung: Nutzen Sie spezifischere Hex-Strings oder kombinieren Sie mehrere Bedingungen.

2. Symptom: Malware wird nicht erkannt.

   • Ursache: Die Datei ist verschlüsselt (HTTPS ohne Interception) oder komprimiert (ZIP mit Passwort).
   • Lösung: SSL-Interception (Artikel 591) ist zwingend nötig, damit YARA den Inhalt sehen kann.

3. Symptom: “Signature database out of date”.

   • Fix: Prüfen Sie den Dienst freshclam. Er muss Zugriff auf die ClamAV-Server im Internet haben.

# “War Story”: Der “Makro”-Jäger

Ein Kunde erhielt ständig Word-Dokumente mit bösartigen Makros via Email. Der Standard-Spamfilter erkannte sie nicht. Die Lösung: Wir schrieben eine einfache YARA-Regel, die nach dem Hex-Muster von VBA-Makros in OLE-Dokumenten suchte und diese Dateien am Gateway blockierte. Ergebnis: Die Infektionsrate sank auf Null, da keine einzige .doc Datei mit aktivem Makro-Code mehr das interne Mail-Postfach erreichte. Lehre: YARA erlaubt es Ihnen, Richtlinien durchzusetzen, die weit über “Virus oder kein Virus” hinausgehen.

# 6. Monitoring & Alerting

Jagderfolge im Dashboard.

# IDS Alerts

Überwachen Sie Services -> Intrusion Detection -> Alerts.

• Suchen Sie nach dem Label YARA.
• KPI: Trefferrate von Custom-Regeln vs. Standard-Signaturen.

# 7. Fazit & Empfehlung

YARA ist das Werkzeug für den fortgeschrittenen Security-Admin.

• Empfehlung: Nutzen Sie fertige Regelsätze von Projekten wie YARA-Rules (GitHub).
• Wichtig: Verwenden Sie YARA nur in Kombination mit einem Web-Proxy oder Mail-Gateway, da nur dort der vollständige Datei-Kontext für den Scanner vorliegt.

# Anhang: Cheatsheet

# Referenzen

• YARA Documentation - Read the Docs
• Awesome YARA (Curated list of rules)
• OPNsense ClamAV Plugin Guide