Namun penganalisa memori lain untuk deteksi malware
Yama adalah sistem untuk menghasilkan pemindai yang dapat memeriksa malware tertentu selama respons insiden. Pemindai yang dihasilkan oleh Yama dirancang untuk menjelajahi memori Windows OS dan mendeteksi malware. Dengan meningkatnya prevalensi malware tanpa filless yang hanya menyebarkan dalam memori, Yama bertujuan untuk memfasilitasi respons cepat dalam penanganan insiden dengan mendeteksi malware tersebut.
Pemindai Yama beroperasi sebagai aplikasi Windows Usermode, menganalisis ruang memori proses yang berjalan dalam mode pengguna, memindai ruang memori dengan atribut mencurigakan menggunakan Yara, dan mengidentifikasi malware.
Pertama, Yama menganalisis setiap proses dan mengekstraksi informasi berikut:
Selanjutnya, Yama menentukan ruang memori yang akan diperiksa berdasarkan informasi yang dianalisis. Ini dilakukan untuk memilih hanya ruang memori yang diperlukan dan menghindari dampak kinerja dari mencari seluruh ruang memori.
Akhirnya, Yama memeriksa ruang memori yang ditargetkan menggunakan aturan Yara yang tertanam di bagian sumber daya biner.
Dengan menggabungkan aturan Yara yang tersedia di platform seperti GitHub, dimungkinkan untuk membuat pemindai memori yang dapat menyelidiki jejak kampanye serangan bertarget tertentu.
Misalnya, membangun pemindai Yama menggunakan aturan APT10 dari jpcertcc/jpcert-yara akan membuat alat yang cocok untuk ancaman berburu malware APT10.
JPCERTCC/JPCERT-YARA menawarkan banyak aturan Yara yang kompatibel dengan berbagai kampanye APT seperti APT10, APT29, BlackTech, dan Lazarus, serta aturan untuk berbagai jenis malware. Sangat disarankan untuk referensi.
Lihat wiki.
Proyek ini bergantung pada perangkat lunak sumber terbuka berikut untuk berfungsi dengan baik:
Kami ingin mengucapkan terima kasih kepada repositori GitHub yang menginspirasi dan memengaruhi proyek kami:
