Mais um analisador de memória para detecção de malware
Yama é um sistema para gerar scanner que pode inspecionar malware específico durante a resposta a incidentes. O scanner gerado por Yama foi projetado para explorar a memória do sistema operacional Windows e detectar malware. Com a crescente prevalência de malware sem arquivo que implanta apenas na memória, Yama pretende facilitar a resposta rápida no manuseio de incidentes, detectando esse malware.
O Yama Scanner opera como um aplicativo Windows Usermode, analisando os espaços de memória dos processos em execução no modo de usuário, digitalizando espaços de memória com atributos suspeitos usando YARA e identificando malware.
Primeiro, Yama analisa cada processo e extrai as seguintes informações:
Em seguida, Yama determina os espaços de memória a serem inspecionados com base nas informações analisadas. Isso é feito para selecionar apenas os espaços de memória necessários e evitar impactos no desempenho da pesquisa de todo o espaço de memória.
Finalmente, Yama inspeciona os espaços de memória direcionados usando regras YARA incorporadas na seção de recursos do binário.
Ao combinar regras YARA disponíveis em plataformas como o Github, é possível criar um scanner de memória que possa investigar traços de campanhas de ataque direcionadas específicas.
Por exemplo, a construção de um scanner YAMA usando a regra APT10 do JPCERTCC/JPCERT-YARA criaria uma ferramenta adequada para malware APT10 de caça de ameaças.
O JPCERTCC/JPCERT-YARA oferece inúmeras regras YARA compatíveis com várias campanhas APT, como APT10, APT29, BlackTech e Lazarus, além de regras para diferentes tipos de malware. É altamente recomendado para referência.
Consulte o wiki.
Este projeto depende do seguinte software de código aberto para funcionar corretamente:
Gostaríamos de agradecer a esses repositórios do GitHub que inspiraram e influenciaram nosso projeto:
