Еще один анализатор памяти для обнаружения вредоносных программ
Яма - это система для генерации сканера, которая может проверять конкретное вредоносное ПО во время ответа на инцидент. Сканер, сгенерированный Yama, предназначен для изучения памяти ОС Windows и обнаружения вредоносного ПО. С увеличением распространенности безливых вредоносных программ, которые развертываются только в памяти, Яма стремится облегчить быстрый отклик при обработке инцидентов путем обнаружения таких вредоносных программ.
Yama Scanner работает как приложение Windows Usermode, анализируя пространства памяти процессов, работающих в пользовательском режиме, сканируя пространства памяти с подозрительными атрибутами с использованием YARA и идентифицируя вредоносные программы.
Во -первых, Yama анализирует каждый процесс и извлекает следующую информацию:
Далее Яма определяет, что пространства памяти будут осматриваться на основе проанализированной информации. Это сделано, чтобы выбрать только необходимые места для памяти и избежать воздействия на производительность от поиска всего пространства памяти.
Наконец, Яма осматривает целевые пространства памяти, используя правила Yara, встроенные в раздел ресурсов двоина.
Объединив правила Yara, доступные на таких платформах, как GitHub, можно создать сканер памяти, который может исследовать следы конкретных целевых кампаний атаки.
Например, построение сканера Yama с использованием правила APT10 от JPCertcc/Jpcert-Yara создаст инструмент, подходящий для вредоносных программ APT10.
JPCERTCC/JPCERT-YARA предлагает многочисленные правила YARA, совместимые с различными APT, такими как APT10, APT29, BlackTech и Lazarus, а также правила для различных типов вредоносных программ. Настоятельно рекомендуется для справки.
См. Вики.
Этот проект полагается на следующее программное обеспечение с открытым исходным кодом для правильной работы:
Мы хотели бы поблагодарить эти репозитории GitHub, которые вдохновили и повлияли на наш проект:
