YAMA

惡意軟件檢測的另一個內存分析儀

YAMA是一個生成掃描儀的系統，可以在事件響應期間檢查特定的惡意軟件。 YAMA生成的掃描儀旨在探索Windows OS的內存並檢測惡意軟件。隨著僅部署在內存中的無申請惡意軟件的越來越多的患病率，YAMA旨在通過檢測此類惡意軟件來促進事件處理時的快速響應。

• 生成作為單個二進制的掃描儀
• 使用Yara規則和內存信息檢測惡意軟件
• 通過編寫自定義Yara規則，創建針對每個用戶IR需求量身定制的惡意軟件檢測二進製文件
• 輸出檢測導致文本/JSON格式

YAMA掃描儀可作為Windows Usermode應用程序運行，分析以用戶模式運行的進程的內存空間，使用YARA可疑屬性掃描存儲空間，並識別惡意軟件。

首先，YAMA分析每個過程並提取以下信息：

• 過程地址空間信息
• 過程卵布（過程環境塊）結構
• 過程TEB（線程環境塊）結構
• 過程堆棧區域
• 過程堆區域
• 過程線程信息
• 每個虛擬地址空間的文件映射信息
• 映射文件的簽名信息

接下來，YAMA根據分析信息確定要檢查的內存空間。這樣做是為了選擇必要的內存空間，並避免搜索整個內存空間而產生性能影響。

最後，YAMA使用二進制資源部分中嵌入的Yara規則檢查了目標內存空間。

通過將Yara規則結合在GitHub等平台上，可以創建一個可以研究特定目標攻擊活動的痕蹟的內存掃描儀。

例如，使用JPCERTCC/JPCERT-YARA的APT10規則構建YAMA掃描儀，將創建適合威脅狩獵APT10惡意軟件的工具。

JPCERTCC/JPCERT-YARA提供了許多與APT10，APT29，BlackTech和Lazarus等各種APT廣告系列兼容的Yara規則，以及針對不同類型的惡意軟件的規則。強烈建議參考。

請參閱Wiki。

該項目依靠以下開源軟件正常運行：

• virustotal/yara -github
• gabime/spdlog -github
• Nlohmann/Json -Github
• p -ranav/argparse -github

我們要感謝這些啟發和影響我們項目的GitHub存儲庫：

• 揮發性控制/波動率3 -GitHub
• Forrest -orr/Moneta -github