YAMA

맬웨어 감지를위한 또 다른 메모리 분석기

야마는 사고 응답 중에 특정 맬웨어를 검사 할 수있는 스캐너를 생성하는 시스템입니다. Yama가 생성 한 스캐너는 Windows OS의 메모리를 탐색하고 맬웨어를 감지하도록 설계되었습니다. 메모리에만 배포되는 파일리스 맬웨어의 유병률이 높아짐에 따라 Yama는 이러한 맬웨어를 감지하여 사고 처리에 대한 빠른 응답을 용이하게하는 것을 목표로합니다.

• 단일 바이너리로 작동하는 스캐너를 생성하십시오
• Yara 규칙 및 메모리 정보를 사용하여 맬웨어를 감지합니다
• 맞춤형 야라 규칙을 작성하여 각 사용자의 IR 요구에 맞게 조정 된 맬웨어 감지 바이너리 생성
• 출력 감지는 텍스트/JSON 형식으로 결과를 얻습니다

야마 스캐너는 Wind

먼저 Yama는 각 프로세스를 분석하고 다음 정보를 추출합니다.

• 프로세스 주소 공간 정보
• 프로세스 PEB (프로세스 환경 블록) 구조
• 프로세스 TEB (스레드 환경 블록) 구조
• 프로세스 스택 영역
• 프로세스 힙 영역
• 프로세스 스레드 정보
• 각 가상 주소 공간에 대한 파일 매핑 정보
• 매핑 된 파일의 서명 정보

다음으로 Yama는 분석 된 정보를 기반으로 검사 할 메모리 공간을 결정합니다. 이것은 필요한 메모리 공간 만 선택하고 전체 메모리 공간을 검색하여 성능 영향을 피하기 위해 수행됩니다.

마지막으로 Yama는 이진의 자원 섹션에 내장 된 Yara 규칙을 사용하여 대상 메모리 공간을 검사합니다.

GitHub와 같은 플랫폼에서 사용할 수있는 Yara 규칙을 결합하면 특정 대상 공격 캠페인의 흔적을 조사 할 수있는 메모리 스캐너를 만들 수 있습니다.

예를 들어, JPCERTCC/JPCERT-YARA에서 APT10 규칙을 사용하여 YAMA 스캐너를 구축하면 APT10 맬웨어 위협에 적합한 도구가 생성됩니다.

JPCERTCC/JPCERT-YARA는 APT10, APT29, Blacktech 및 Lazarus와 같은 다양한 APT 캠페인과 다양한 유형의 맬웨어 규칙과 호환되는 수많은 Yara 규칙을 제공합니다. 참조에 적극 권장됩니다.

위키를 참조하십시오.

이 프로젝트는 다음과 같은 오픈 소스 소프트웨어에 의존하여 올바르게 작동합니다.

• virustotal/yara -github
• Gabime/Spdlog -Github
• nlohmann/json -github
• P -RANAV/ARGPARSE -GITHUB

우리는 프로젝트에 영감을주고 영향을 준이 Github 리포지토리에 감사의 말씀을 전합니다.

• 휘발성 결합/변동성 3 -github
• Forrest -Orr/Moneta -Github