YAMA

Otro analizador de memoria más para la detección de malware

Yama es un sistema para generar escáner que puede inspeccionar malware específico durante la respuesta a los incidentes. El escáner generado por Yama está diseñado para explorar la memoria del sistema operativo Windows y detectar malware. Con la creciente prevalencia de malware sin archivo que se despliega solo en la memoria, Yama tiene como objetivo facilitar la respuesta rápida en el manejo de incidentes mediante la detección de dicho malware.

• Generar escáner que funcione como un solo binario
• Detecta malware utilizando reglas de Yara e información de memoria
• Crea binarios de detección de malware diseñados para las necesidades IR de cada usuario escribiendo reglas de Yara personalizadas
• Resultados de detección de salidas en formato de texto/JSON

Yama Scanner opera como una aplicación Windows Usermode, analizando los espacios de memoria de los procesos que se ejecutan en modo de usuario, escaneando espacios de memoria con atributos sospechosos que usan Yara e identificando malware.

Primero, Yama analiza cada proceso y extrae la siguiente información:

• Información del espacio de las direcciones de proceso
• Estructura de procesos PEB (bloque de entorno de proceso)
• Proceso de estructura TEB (Bloque de entorno de subprocesos)
• Región de pila de procesos
• Región del montón de procesos
• Información del hilo de procesar
• Información de asignación de archivos para cada espacio de direcciones virtuales
• Información de firma de los archivos asignados

A continuación, Yama determina que los espacios de memoria se inspeccionarán en función de la información analizada. Esto se hace para seleccionar solo los espacios de memoria necesarios y evitar que los impactos de rendimiento busquen todo el espacio de memoria.

Finalmente, Yama inspecciona los espacios de memoria específicos que utilizan las reglas de Yara integradas en la sección de recursos del binario.

Al combinar las reglas de Yara disponibles en plataformas como GitHub, es posible crear un escáner de memoria que pueda investigar trazas de campañas de ataque específicas específicas.

Por ejemplo, construir un escáner Yama utilizando la regla APT10 de JPCERTCC/JPCERT-YARA crearía una herramienta adecuada para la caza de amenazas APT10 de malware.

JPCERTCC/JPCERT-YARA ofrece numerosas reglas de Yara compatibles con varias campañas APT como APT10, APT29, BlackTech y Lázaro, así como reglas para diferentes tipos de malware. Es muy recomendable para referencia.

Consulte el wiki.

Este proyecto se basa en el siguiente software de código abierto para funcionar correctamente:

• Virustotal/Yara - Github
• gabime/spdlog - github
• nlohmann/json - github
• p -ranav/argparse - github

Nos gustaría agradecer a estos repositorios de GitHub que inspiraron e influyeron en nuestro proyecto:

• VolatilityFoundation/Volatility3 - Github
• Forrest -corr/Moneta - Github