YAMA

恶意软件检测的另一个内存分析仪

YAMA是一个生成扫描仪的系统，可以在事件响应期间检查特定的恶意软件。 YAMA生成的扫描仪旨在探索Windows OS的内存并检测恶意软件。随着仅部署在内存中的无申请恶意软件的越来越多的患病率，YAMA旨在通过检测此类恶意软件来促进事件处理时的快速响应。

• 生成作为单个二进制的扫描仪
• 使用Yara规则和内存信息检测恶意软件
• 通过编写自定义Yara规则，创建针对每个用户IR需求量身定制的恶意软件检测二进制文件
• 输出检测导致文本/JSON格式

YAMA扫描仪可作为Windows Usermode应用程序运行，分析以用户模式运行的进程的内存空间，使用YARA可疑属性扫描存储空间，并识别恶意软件。

首先，YAMA分析每个过程并提取以下信息：

• 过程地址空间信息
• 过程卵布（过程环境块）结构
• 过程TEB（线程环境块）结构
• 过程堆栈区域
• 过程堆区域
• 过程线程信息
• 每个虚拟地址空间的文件映射信息
• 映射文件的签名信息

接下来，YAMA根据分析信息确定要检查的内存空间。这样做是为了选择必要的内存空间，并避免搜索整个内存空间而产生性能影响。

最后，YAMA使用二进制资源部分中嵌入的Yara规则检查了目标内存空间。

通过将Yara规则结合在GitHub等平台上，可以创建一个可以研究特定目标攻击活动的痕迹的内存扫描仪。

例如，使用JPCERTCC/JPCERT-YARA的APT10规则构建YAMA扫描仪，将创建适合威胁狩猎APT10恶意软件的工具。

JPCERTCC/JPCERT-YARA提供了许多与APT10，APT29，BlackTech和Lazarus等各种APT广告系列兼容的Yara规则，以及针对不同类型的恶意软件的规则。强烈建议参考。

请参阅Wiki。

该项目依靠以下开源软件正常运行：

• virustotal/yara -github
• gabime/spdlog -github
• Nlohmann/Json -Github
• p -ranav/argparse -github

我们要感谢这些启发和影响我们项目的GitHub存储库：

• 挥发性控制/波动率3 -GitHub
• Forrest -orr/Moneta -github