Skip to main content

YAMA: otro analizador de memoria para la detección de malware – JPCERT/CC Eyes

mayo 25, 2024


A medida que los ataques se vuelven cada vez más sin archivos y el malware se vuelve más ofuscado, se vuelve más difícil determinar si existe una intención maliciosa en un archivo en sí. Por esta razón, los métodos de detección de malware que utilizan entornos aislados e inteligencia artificial, así como tecnologías que detectan comportamientos sospechosos después de una infección de malware, como EDR, ahora se han vuelto comunes. Aun así, el malware que el software antivirus no puede detectar se encuentra a menudo durante las respuestas a incidentes reales. Cuando se encuentra este tipo de malware desconocido, se requiere un análisis exhaustivo para encontrar el mismo tipo de malware que puede estar escondido en la red. Sin embargo, dado que el software antivirus no puede detectarlo, es necesario analizar cada dispositivo manualmente uno por uno.
Para resolver este problema, JPCERT/CC ha creado y lanzado una herramienta llamada YAMA con el fin de apoyar la detección de malware. YAMA puede realizar análisis de memoria utilizando reglas YARA creadas por él mismo y, por lo tanto, la herramienta es eficaz contra malware ofuscado y ataques sin archivos. YAMA está disponible en el siguiente repositorio de GitHub. Por favor sientete libre de usarlo.

GitHub JPCERTCC/YAMA: https://github.com/JPCERTCC/YAMA

La siguiente sección de este artículo presenta el concepto de YAMA y explica cómo utilizarlo.

Concepto

YAMA tiene las siguientes características:

  • Realiza escaneos YARA en la memoria de una máquina con Windows en ejecución
  • Se pueden crear reglas YARA personalizadas para adaptar la detección de malware a las necesidades de cada usuario.
  • No se requiere instalación de herramientas (el archivo de mensajes de eventos debe instalarse durante la ejecución para exportar registros al registro de eventos)
  • Los resultados de la detección se pueden exportar en formato texto/JSON.

Es posible escanear archivos con reglas YARA o escanear procesos individuales con la versión actual NIÑOS. Sin embargo, con las herramientas actuales no es posible analizar toda la memoria viva para encontrar malware desconocido. YAMA permite analizar toda la memoria viva, lo que es eficaz contra malware ofuscado y ataques sin archivos. Además, dado que no se requiere instalación para utilizar la herramienta, es fácil implementarla en varias máquinas para su análisis.

Cómo utilizar

A continuación se muestran las instrucciones sobre cómo utilizar YAMA. Para obtener más información, lea la Wiki.
https://github.com/JPCERTCC/YAMA/wiki

Creación de un escáner YAMA personalizado

Primero, debe crear el escáner YAMA personalizado que incluya una regla YARA personalizada. Es fácil porque todo el trabajo se completa en GitHub. El repositorio GitHub de YAMA contiene acciones de GitHub que compilan el escáner YAMA. Por lo tanto, puede crear su propio escáner YAMA simplemente enviando sus reglas YARA personalizadas a su propio repositorio después de bifurcar o clonar el repositorio de YAMA. Los siguientes son los pasos para crear un escáner YAMA personalizado.

Paso 1. Tenedor Repositorio YAMA de GitHub
Paso 2. Permitir que se ejecuten las acciones de GitHub
Paso 3. Personalice las reglas de YARA del siguiente archivo y confírmelas

rsrc/ioc/rule.yara

Paso 4. Descargue el escáner YAMA integrado

Para obtener más información, mire el siguiente vídeo.

Detección de malware mediante el escáner YAMA

Una vez que haya descargado el escáner YAMA, estará listo para realizar el análisis real. Dado que el escáner YAMA es un binario único, puede utilizar fácilmente su escáner YAMA simplemente copiándolo en la máquina para analizarlo. A continuación se muestran las opciones que se pueden especificar al ejecutar el escáner YAMA.

Yet Another Memory Analyzer for malware detection.
Usage: yama.exe [-h] [--version] [--pid VAR] [--all] [--output VAR] [--json] [--evtx] [--uninstall] [--suppress] [--quiet]
Optional arguments:
-h, --help shows help message and exits
-V, --version prints version information and exits
-p, --pid PID to scan (required if not using --all)
-a, --all Scan all processes (required if not using --pid)
-o, --output Specify output directory [default: "./"]
-j, --json Export json report to the output directory
-e, --evtx Install YAMA EventLog manifest.
-u, --uninstall Uninstall YAMA EventLog manifest. (only do uninstall operaiton)
-s, --suppress Suppress warning logs
-q, --quiet Suppress all console outputs
-v, --verbose Increase verbosity.(-v: info, -vv: debug, -vvv: trace)

Para escanear todos los procesos, utilice el --all opción de la siguiente manera. Tenga en cuenta que los procesos que se ejecutan con el privilegio de administrador no se pueden analizar a menos que el escáner se esté ejecutando con el privilegio. Para escanear todos los procesos, ejecute el escáner YAMA con privilegios administrativos.

> Yama.exe --all

Si desea administrar centralmente los registros de texto en tiempo de ejecución en un servidor de archivos, también puede especificar un servidor de archivos como destino de los registros, como se muestra a continuación. (De forma predeterminada, los archivos de registro se crean en el directorio actual).

> Yama.exe --all --output \\fileserver\log_folder

Además, si desea que el registro se registre en el Registro de eventos, especifique el --evtx opción. El registro se registrará en el registro de la aplicación. El contenido de cada ID de evento es el siguiente. Tenga en cuenta que esta opción instala el archivo de mensajes de eventos (%SystemRoot%\System32\Yama.Events.dll), que se puede eliminar con el --uninstall opción.

  • ID de evento 10: YAMA ha comenzado.
  • ID de evento 11: YAMA se detuvo.
  • ID de evento 20: Sin detección.
  • ID de evento 40: se detectó malware.

Mire el siguiente vídeo de demostración para la detección de malware con el escáner YAMA.

Para concluir

Creo que limpiar el malware de una red en caso de un incidente de seguridad es una tarea interminable con la que luchan todos los que responden a incidentes, y espero que YAMA le ayude con este arduo trabajo.
Las solicitudes de extracción y las solicitudes para esta herramienta son bienvenidas.

Expresiones de gratitud

Nos gustaría agradecer a Tomoaki Tani por su cooperación en el desarrollo de esta herramienta.

Shusei Tomonaga
(Traducido por Takumi Nakano)



Source link

Translate »