YAMA

マルウェア検出のためのさらに別のメモリアナライザー

Yamaは、インシデント応答中に特定のマルウェアを検査できるスキャナーを生成するためのシステムです。 YAMAによって生成されたスキャナーは、Windows OSのメモリを探索し、マルウェアを検出するように設計されています。メモリにのみ展開するファイヤーレスマルウェアの有病率が高まっているため、ヤマはそのようなマルウェアを検出して、インシデント処理の迅速な対応を促進することを目指しています。

• 単一のバイナリとして動作するスキャナーを生成します
• Yaraルールとメモリ情報を使用してマルウェアを検出します
• カスタムヤラルールを書くことにより、各ユーザーのIRニーズに合わせて調整されたマルウェア検出バイナリを作成します
• 出力検出の結果、テキスト/JSON形式が表示されます

Yama Scannerは、Windows Usermodeアプリケーションとして動作し、ユーザーモードで実行されているプロセスのメモリスペースを分析し、Yaraを使用した不審な属性でメモリスペースをスキャンし、マルウェアを識別します。

まず、ヤマは各プロセスを分析し、次の情報を抽出します。

• アドレス空間情報を処理します
• プロセスPEB（プロセス環境ブロック）構造
• プロセスTEB（スレッド環境ブロック）構造
• プロセススタック領域
• ヒープ領域を処理します
• スレッド情報を処理します
• 各仮想アドレススペースのファイルマッピング情報
• マッピングされたファイルの署名情報

次に、ヤマは、分析された情報に基づいて検査されるメモリスペースを決定します。これは、必要なメモリスペースのみを選択し、メモリスペース全体を検索することでパフォーマンスの影響を回避するために行われます。

最後に、ヤマは、バイナリのリソースセクションに埋め込まれたヤラルールを使用して、ターゲットメモリスペースを検査します。

GitHubなどのプラットフォームで利用可能なYaraルールを組み合わせることにより、特定のターゲット攻撃キャンペーンの痕跡を調査できるメモリスキャナーを作成することができます。

たとえば、JPCERTCC/JPCERT-YARAのAPT10ルールを使用してヤマスキャナーを構築すると、APT10マルウェアの脅威に適したツールが作成されます。

JPCERTCC/JPCERT-YARAは、APT10、APT29、BlackTech、LazarusなどのさまざまなAPTキャンペーンと、さまざまなタイプのマルウェアのルールと互換性のある多数のYaraルールを提供しています。参照には強くお勧めします。

wikiを参照してください。

このプロジェクトは、適切に機能するために、次のオープンソースソフトウェアに依存しています。

• Virustotal/Yara -Github
• gabime/spdlog -github
• nlohmann/json -github
• p -ranav/argparse -github

私たちのプロジェクトに影響を与えて影響を与えたこれらのGitHubリポジトリに感謝したいと思います。

• VolatilityFoundation/Volatility3 -Github
• Forrest -orr/Moneta -github