หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด

ยม

อีกตัววิเคราะห์หน่วยความจำสำหรับการตรวจจับมัลแวร์

แนวคิด

YAMA เป็นระบบสำหรับการสร้างเครื่องสแกนที่สามารถตรวจสอบมัลแวร์ที่เฉพาะเจาะจงในระหว่างการตอบสนองของเหตุการณ์ เครื่องสแกนที่สร้างโดย Yama ได้รับการออกแบบมาเพื่อสำรวจหน่วยความจำของ Windows OS และตรวจจับมัลแวร์ ด้วยความชุกที่เพิ่มขึ้นของมัลแวร์ที่ไร้เดียงสาที่ปรับใช้ในหน่วยความจำเท่านั้นย่ามุ่งมั่นที่จะอำนวยความสะดวกในการตอบสนองอย่างรวดเร็วในการจัดการเหตุการณ์โดยการตรวจจับมัลแวร์ดังกล่าว

คุณสมบัติ

  • สร้างสแกนเนอร์ที่ทำงานเป็นไบนารีเดียว
  • ตรวจจับมัลแวร์โดยใช้กฎของ Yara และข้อมูลหน่วยความจำ
  • สร้างไบรท์การตรวจจับมัลแวร์ที่เหมาะสำหรับความต้องการ IR ของผู้ใช้แต่ละคนโดยการเขียนกฎ YARA ที่กำหนดเอง
  • ผลลัพธ์การตรวจจับผลลัพธ์ในรูปแบบข้อความ/JSON

สแกนเนอร์ทำงานอย่างไร

YAMA Scanner ทำงานเป็นแอปพลิเคชัน Windows USERMODE วิเคราะห์ช่องว่างหน่วยความจำของกระบวนการที่ทำงานในโหมดผู้ใช้การสแกนพื้นที่หน่วยความจำด้วยคุณลักษณะที่น่าสงสัยโดยใช้ YARA และระบุมัลแวร์

ขั้นแรกให้ยามาวิเคราะห์แต่ละกระบวนการและแยกข้อมูลต่อไปนี้:

  • ประมวลผลข้อมูลพื้นที่
  • โครงสร้าง PROCE PEB (กระบวนการสภาพแวดล้อมกระบวนการ)
  • โครงสร้าง TEB (โครงสร้างสภาพแวดล้อมของเธรด)
  • กระบวนการสแต็คกระบวนการ
  • ประมวลผลภูมิภาคกอง
  • ประมวลผลข้อมูลเธรด
  • ข้อมูลการแมปไฟล์สำหรับพื้นที่ที่อยู่เสมือนจริงแต่ละแห่ง
  • ข้อมูลลายเซ็นของไฟล์ที่แมป

ถัดไปยามากำหนดพื้นที่หน่วยความจำที่จะตรวจสอบตามข้อมูลที่วิเคราะห์ สิ่งนี้ทำเพื่อเลือกเฉพาะพื้นที่หน่วยความจำที่จำเป็นและหลีกเลี่ยงผลกระทบด้านประสิทธิภาพจากการค้นหาพื้นที่หน่วยความจำทั้งหมด

ในที่สุดยามาตรวจสอบพื้นที่หน่วยความจำเป้าหมายโดยใช้กฎของ YARA ที่ฝังอยู่ในส่วนทรัพยากรของไบนารี

ใช้เคส

ด้วยการรวมกฎของ YARA ที่มีอยู่บนแพลตฟอร์มเช่น GitHub เป็นไปได้ที่จะสร้างเครื่องสแกนหน่วยความจำที่สามารถตรวจสอบร่องรอยของแคมเปญการโจมตีเป้าหมายเฉพาะ

ตัวอย่างเช่นการสร้างเครื่องสแกนยามาโดยใช้กฎ APT10 จาก JPCERTCC/JPCERT-YARA จะสร้างเครื่องมือที่เหมาะสมสำหรับภัยคุกคามการล่ามัลแวร์ APT10

JPCERTCC/JPCERT-YARA เสนอกฎของ YARA จำนวนมากที่เข้ากันได้กับแคมเปญ APT ต่างๆเช่น APT10, APT29, Blacktech และ Lazarus รวมถึงกฎสำหรับมัลแวร์ประเภทต่างๆ ขอแนะนำอย่างยิ่งสำหรับการอ้างอิง

วิธีสร้างสแกนเนอร์ยามาที่กำหนดเองของคุณ

อ้างถึงวิกิ

การพึ่งพาอาศัยกัน

โครงการนี้ขึ้นอยู่กับซอฟต์แวร์โอเพนซอร์ซต่อไปนี้เพื่อให้ทำงานได้อย่างถูกต้อง:

  • Virustotal/Yara - GitHub
  • Gabime/spdlog - GitHub
  • Nlohmann/Json - GitHub
  • P -Ranav/Argparse - GitHub

กิตติกรรมประกาศและแรงบันดาลใจ

เราขอขอบคุณที่เก็บ GitHub เหล่านี้ที่เป็นแรงบันดาลใจและมีอิทธิพลต่อโครงการของเรา:

  • ความผันผวน/ความผันผวน 3 - GitHub
  • forrest -orr/moneta - github
ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด