YAMA

Encore un autre analyseur de mémoire pour la détection de logiciels malveillants

YAMA est un système de génération de scanner qui peut inspecter des logiciels malveillants spécifiques pendant la réponse des incidents. Le scanner généré par YAMA est conçu pour explorer la mémoire de Windows OS et détecter les logiciels malveillants. Avec la prévalence croissante de logiciels malveillants sans fidèle qui se déploient uniquement en mémoire, YAMA vise à faciliter une réponse rapide dans la manipulation des incidents en détectant ces logiciels malveillants.

• Générer un scanner qui fonctionne comme un seul binaire
• Détecte les logiciels malveillants à l'aide des règles YARA et des informations mémoire
• Crée des binaires de détection de logiciels malveillants adaptés aux besoins IR de chaque utilisateur en écrivant des règles YARA personnalisées
• Sorties Résultats de la détection au format texte / JSON

Le scanner YAMA fonctionne comme une application Windows UserMode, analysant les espaces de mémoire des processus s'exécutant en mode utilisateur, scannant des espaces de mémoire avec des attributs suspects à l'aide de Yara et l'identification des logiciels malveillants.

Premièrement, Yama analyse chaque processus et extrait les informations suivantes:

• Processez les informations sur l'espace d'adresse
• Structure de processus PEB (Bloc de l'environnement de processus)
• Traiter la structure TEB (bloc d'environnement)
• Région de la pile de processus
• Traiter la région de tas
• Informations sur le thread de processus
• Informations de mappage de fichiers pour chaque espace d'adressage virtuel
• Informations de signature des fichiers mappés

Ensuite, YAMA détermine les espaces de mémoire à inspecter en fonction des informations analysées. Ceci est fait pour sélectionner uniquement les espaces de mémoire nécessaires et éviter les impacts des performances de la recherche de l'espace mémoire entier.

Enfin, YAMA inspecte les espaces de mémoire ciblés à l'aide de règles YARA intégrées dans la section des ressources du binaire.

En combinant les règles YARA disponibles sur des plates-formes comme GitHub, il est possible de créer un scanner de mémoire qui peut enquêter sur des traces de campagnes d'attaque ciblées spécifiques.

Par exemple, la construction d'un scanner YAMA en utilisant la règle APT10 de JPCERTCC / JPCERT-YARA créerait un outil adapté à la menace de chasse au malveillance APT10.

JPCERTCC / JPCERT-YARA propose de nombreuses règles YARA compatibles avec diverses campagnes APT telles que Apt10, APT29, BlackTech et Lazarus, ainsi que des règles pour différents types de logiciels malveillants. Il est fortement recommandé pour référence.

Reportez-vous au wiki.

Ce projet repose sur le logiciel open source suivant pour fonctionner correctement:

• Virustotal / Yara - Github
• gabime / spdlog - github
• nlohmann / json - github
• p-ranav / argparse - github

Nous tenons à remercier ces référentiels GitHub qui ont inspiré et influencé notre projet:

• Volatilityfoundation / Volatility3 - Github
• Forrest-Orr / Moneta - Github