YAMA

Ein weiterer Speicheranalysator zur Erkennung von Malware

YAMA ist ein System zum Generieren von Scanner, das bestimmte Malware während der Vorfallreaktion inspizieren kann. Der von Yama generierte Scanner wurde entwickelt, um den Speicher von Windows -Betriebssystemen zu untersuchen und Malware zu erkennen. Mit der zunehmenden Prävalenz von fillosen Malware, die nur im Speicher bereitstellt, möchte YAMA eine schnelle Reaktion bei der Behandlung von Vorfällen durch Erkennung solcher Malware ermöglichen.

• Generieren Sie einen Scanner, der als einzelner Binärer fungiert
• Erkennt Malware unter Verwendung von YARA -Regeln und Speicherinformationen
• Erstellt Binärdateien für Malware -Erkennung, die auf die IR -Anforderungen jedes Benutzers zugeschnitten sind, indem Sie benutzerdefinierte YARA -Regeln schreiben
• Die Ausgabe der Erkennung führt zum Text/JSON -Format

Der YAMA -Scanner arbeitet als Windows Usmode -Anwendung und analysiert die Speicherräume von Prozessen im Benutzermodus, Scannen von Speicherräumen mit verdächtigen Attributen mit Yara und identifizierende Malware.

Zunächst analysiert YAMA jeden Prozess und extrahiert die folgenden Informationen:

• Verfahrensadressspace -Informationen
• Process Peb (Process Environment Block) Struktur
• Verarbeiten Sie die TEB -Struktur (Thread Environment Block)
• Prozessstapelregion
• Prozesshaufenregion
• Threadinformationen verarbeiten
• Dateizuordnungsinformationen für jeden virtuellen Adressraum
• Signaturinformationen der zugeordneten Dateien

Als nächstes bestimmt Yama die Speicherräume, die auf der Grundlage der analysierten Informationen inspiziert werden sollen. Dies wird durchgeführt, um nur die erforderlichen Speicherräume auszuwählen und die Auswirkungen auf die Leistung des gesamten Speicherraums zu vermeiden.

Schließlich inspiziert Yama die gezielten Speicherräume mit Yara -Regeln, die in den Ressourcenabschnitt der Binary eingebettet sind.

Durch die Kombination von YARA -Regeln, die auf Plattformen wie GitHub verfügbar sind, ist es möglich, einen Speicherscanner zu erstellen, der Spuren spezifischer gezielter Angriffskampagnen untersuchen kann.

Beispielsweise würde der Erstellen eines Yama-Scanners mit der APT10-Regel von JPCERTCC/JPCERT-YARA ein Tool erstellen, das für die Bedrohungsjagd APT10 Malware geeignet ist.

JPCERTCC/JPCERT-YARA bietet zahlreiche Yara-Regeln, die mit verschiedenen APT-Kampagnen wie APT10, APT29, BlackTech und Lazarus sowie Regeln für verschiedene Arten von Malware kompatibel sind. Es wird als Referenz sehr empfohlen.

Beziehen Sie sich auf das Wiki.

Dieses Projekt basiert auf der folgenden Open-Source-Software, um ordnungsgemäß zu funktionieren:

• Virustotal/yara - Github
• gabime/spdlog - github
• Nlohmann/JSON - GitHub
• p -ranav/argParse - GitHub

Wir möchten uns bei diesen Github -Repositories bedanken, die unser Projekt inspiriert und beeinflusst haben:

• VolatilityFoundation/Volatility3 - GitHub
• Forrest -Reir/Moneta - GitHub