Пишем YARA правила
Yara — это и инструмент, и формат представления индикаторов компрометации (IOC), предназначенный для идентификации и классификации вредоносных программ. Он был создан Виктором Альварезом (Victor M. Alvarez) из VirusTotal для организации и распространения информации среди аналитиков.
Далее показан пример файла Yara для Linux-руткита Umbreon:

Документ разделен на три части.
— Раздел «мета» содержит информацию об IOC, такую как имя автора, время создания или ссылка на подробную документацию.
— Раздел «строк» содержит три строки — одну в шестнадцатеричном формате и две в формате ASCII, которые идентифицируют руткит.
— В разделе «условий» к исследуемым файлам применяется фильтр, чтобы найти соответствующие особым критериям. В этом примере сначала производится поиск по заголовку файла, который соответствует формату ELF (uint32(0) == 0x464c457f), а затем поиск общедоступного выходного файла (uint8(16) == 0x0003) типа ELF. Если для обоих условий найдены соответствия, Yara станет искать строки, указанные ранее. Если все они будут присутствовать в файле, то это будет расцениваться как обнаружение руткита.
Консольный инструмент Yara способен сканировать целые системы на наличие файлов, которые соответствуют сигнатурам вредоносных файлов, применив команду:
yara -r rulefile.yar /path/to/scan
Проект правил Yara собирает IOC, выявленные аналитиками безопасности во время расследований, и делает их широкодоступными. Yara сосредоточен на файловых IOC [1].
см. Notebook на Python с примерами Yara-правил.
см. документация на рус. и англ.
Про связь с ClamAV см. Hunting with YARA rules and ClamAV и тут.
Про написание сигнатур тут и тут.
Источники литературы:
— «Безопасный DevOps. Эффективная эксплуатация систем» (2020)
— Васильева И.Н. Расследование инцидентов информационной безопасности : учебное пособие / И.Н. Васильева. — СПб. : Изд-во СПбГЭУ, 2019. — 113 с. [PDF]