YARA-työkalun sopivuus Malware Analysis opintojakson osaksi
Peltomaa, Petri (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025112129028
https://urn.fi/URN:NBN:fi:amk-2025112129028
Tiivistelmä
Opinnäytetyön toimeksiantajana toimi Jyväskylän ammattikorkeakoulun IT-instituutti. Työn tavoitteena oli kehittää ja testata YARA-työkalun käyttöön perustuva oppimisympäristö osaksi tulevaa Malware Analysis opintojaksoa. Tarkoituksena oli arvioida YARA-työkalun soveltuvuutta haittaohjelmien analysointiin opetuskontekstissa sekä vertailla kolmea erilaista asennusmallia: opiskelijakohtaista, keskitettyä ja hybridimallia. Haittaohjelmien analysointi on keskeinen osa kyberturvallisuutta, ja YARA tarjoaa keinon sääntöihin perustuvaan tunnistukseen ja luokitteluun.
Työ toteutettiin tutkimuksellisena kehittämistyönä laadullisia ja vertailevia tutkimusmenetelmiä hyödyntäen. Testausympäristö rakennettiin Oracle VirtualBox virtualisointiohjelmistolla Windows 10 käyttöjärjestelmään, johon asennettiin FLARE-VM-työkalupaketti. YARA-sääntöjä luotiin ja testattiin analysoimalla haittaohjelmaa, joka oli peräisin Jyväskylän ammattikorkeakoulun Reverse Engineering opintojakson harjoituksesta. Työssä tarkasteltiin myös tehokkaan YARA-säännön ominaisuuksia ja sääntöjen vaikutusta analyysin tarkkuuteen.
Tulosten perusteella havaittiin, että hybridimalli tarjoaa tasapainoisen ratkaisun opetuksellisten tavoitteiden ja teknisen hallittavuuden välillä. YARA osoittautui pedagogisesti hyödylliseksi työkaluksi, joka tukee opiskelijoiden käytännön osaamista ja syventää ymmärrystä haittaohjelmien toiminnasta. Työn lopputuloksena syntyi .ova-muotoinen tiedosto, joka mahdollistaa ympäristön helpon käyttöönoton tulevilla opintojaksoilla. The need for practical tools in malware analysis has increased alongside the growth of cybersecurity threats. YARA, an open source tool used for identifying and classifying malware, has offered a rule based approach to detecting specific characteristics in malicious software. The suitability of YARA for educational use was evaluated by developing a virtual learning environment intended for a higher education course in malware analysis. The aim was to assess the pedagogical value of YARA and determine the most appropriate deployment model for classroom use.
A virtual environment was implemented using Oracle VirtualBox with Windows 10 as the guest operating system. The FLARE-VM analysis toolkit was installed to support malware research, and YARA was included as part of the package. The tool was tested by analyzing a sample malware file obtained from a practical lab exercise. YARA rules were created based on the sample’s observed behavior and structural characteristics. Three different deployment models were considered: an individual installation model for each student, a centralized model managed by the instructor, and a hybrid model combining elements of both.
The testing process revealed that YARA supports deep learning of malware behavior through hands on experimentation. The hybrid deployment model was found to offer the best balance between technical manageability and educational benefits. It allowed for both independent rule testing by students and centralized assessment by instructors. As a result of the development process, a pre configured .ova file was produced to enable consistent and efficient setup across future course instances.
Based on the results, YARA was deemed to be an effective and adaptable tool for malware analysis education. The implementation approach was shown to be scalable and technically feasible within the academic environment, supporting both learning outcomes and operational efficiency.
Työ toteutettiin tutkimuksellisena kehittämistyönä laadullisia ja vertailevia tutkimusmenetelmiä hyödyntäen. Testausympäristö rakennettiin Oracle VirtualBox virtualisointiohjelmistolla Windows 10 käyttöjärjestelmään, johon asennettiin FLARE-VM-työkalupaketti. YARA-sääntöjä luotiin ja testattiin analysoimalla haittaohjelmaa, joka oli peräisin Jyväskylän ammattikorkeakoulun Reverse Engineering opintojakson harjoituksesta. Työssä tarkasteltiin myös tehokkaan YARA-säännön ominaisuuksia ja sääntöjen vaikutusta analyysin tarkkuuteen.
Tulosten perusteella havaittiin, että hybridimalli tarjoaa tasapainoisen ratkaisun opetuksellisten tavoitteiden ja teknisen hallittavuuden välillä. YARA osoittautui pedagogisesti hyödylliseksi työkaluksi, joka tukee opiskelijoiden käytännön osaamista ja syventää ymmärrystä haittaohjelmien toiminnasta. Työn lopputuloksena syntyi .ova-muotoinen tiedosto, joka mahdollistaa ympäristön helpon käyttöönoton tulevilla opintojaksoilla.
A virtual environment was implemented using Oracle VirtualBox with Windows 10 as the guest operating system. The FLARE-VM analysis toolkit was installed to support malware research, and YARA was included as part of the package. The tool was tested by analyzing a sample malware file obtained from a practical lab exercise. YARA rules were created based on the sample’s observed behavior and structural characteristics. Three different deployment models were considered: an individual installation model for each student, a centralized model managed by the instructor, and a hybrid model combining elements of both.
The testing process revealed that YARA supports deep learning of malware behavior through hands on experimentation. The hybrid deployment model was found to offer the best balance between technical manageability and educational benefits. It allowed for both independent rule testing by students and centralized assessment by instructors. As a result of the development process, a pre configured .ova file was produced to enable consistent and efficient setup across future course instances.
Based on the results, YARA was deemed to be an effective and adaptable tool for malware analysis education. The implementation approach was shown to be scalable and technically feasible within the academic environment, supporting both learning outcomes and operational efficiency.