야마 예의 맬웨어 탐지를위한 또 다른 메모리 분석기 -JPCert/CC Eyes |JPCert 조정 센터 공식 블로그 관련 IOC 2개 발견
공격이 난독화되면 파일 자체로 악의적 의도가 있는지 확인하기가 어려워지고, 이를 해결하기 위해 샌드박스, AI를 사용한 맬웨어 탐지 방법과 EDR 등이 일반화되고 있습니다. 그러나 바이러스 백신 소프트웨어로는 감지할 수 없는 맬웨어가 실제로 존재하기 때문에, JPCert/CC는 Yama라는 도구를 만들고 발표했습니다. Yama는 자체적으로 생성된 Yara 규칙을 사용하여 메모리 스캔을 할 수 있어 난독화된 맬웨어 및 파일리스 공격에 효과적입니다.
JpCERT
YAMA-Yet Another Memory Analyzer for malware detection - JPCERT/CC Eyes | JPCERT Coordination Center official Blog
When the attack is obfuscated, it is difficult to check whether the file itself is malicious, and to solve this problem, the sandbox and the malware detection method and EDR using AI are commonplace.However, since there is a malware that cannot be detected by viral vaccine software, JPCERT/CC created and announced a tool called YAMA.YAMA can use its own YARA rules to scan memory, which is effective for obtaining obfuscated malware and fileless attacks.
https://blogs.jpcert.or.jp/en/2023/08/yama.html