YAMAGoya (YARAとSigmaを用いたマルウェア検知および防御運用のための「Yet Another Memory Analyzer」)は、Event Tracing for Windows(ETW) を活用してリアルタイムのシステムイベントを取得するC#アプリケーションです。YAML形式で記述された検知ルール(カスタム相関ロジック用)を適用し、標準化された脅威検知のためにSigma ルールの解析にも対応しています。さらに、YARA を用いたインメモリスキャンをサポートし、ファイルレスまたはステルス型マルウェアを検知できます。
本ツールは完全にユーザーランドで動作し、カーネルモードへの依存を避けることで、コミュニティベースのシグネチャとの統合を容易にします。
機能
-
ユーザーランドのみ
カーネルドライバは不要で、OSへのリスクを最小限に抑え、導入も簡単です。 -
リアルタイム監視
ETWを利用して、ファイルI/O、プロセスの作成/終了、レジストリイベント、DNSクエリ、ネットワークトラフィック、PowerShellスクリプトなどを監視します。 -
複数形式の検知ルール
- YAML: 正規表現やその他のマッチングロジックを用いて、複数のイベント種別を相関させることができます。
- Sigma: コミュニティ主導の脅威検知のために、Sigmaルールを解析して適用します。
-
YARAによるメモリスキャン
YARAルールを用いてシステムメモリをスキャンし、ファイルレスまたはステルス型マルウェアを検知します。 -
GUI / CLI インターフェース
コマンドラインで実行するか、GUIを起動できます。
GUIの使用方法
- 引数なしで
YAMAGoya.exeを実行(または実行ファイルをダブルクリック)してGUIを起動します。 - GUIは、主に4つのタブからなる使いやすいインターフェースを提供します。
メインタブ
- セッションステータス表示: 現在のETWセッションの状態を色分けされたインジケータで表示します
- ルールフォルダ選択: 検知ルールを含むフォルダを参照して選択します
- 検知の開始/停止: 監視運用を開始・終了するための大きなボタン
アラート監視タブ
- リアルタイムアラート表示: タイムスタンプ付きでセキュリティアラートをライブ監視します
- 色分けされたアラート: 検知された脅威は赤で強調表示され、すぐに注意を促します
- ログファイルへのアクセス: 現在のログファイルを開くためのクイックアクセス
設定タブ
高度な検知オプションを設定します:
- プロセス強制終了モード: 検知された悪性プロセスを自動的に終了します
- ルール形式の選択:
- Sigmaルールを使用(標準化された脅威検知)
- カスタムYAMLルールを使用(カスタム相関ロジック)
- YARAメモリスキャン: 設定可能な間隔(既定: 1時間)でメモリスキャンを有効化します
- ログ設定:
- イベントログ: アラートをWindowsイベントログに保存
- テキストログ: アラートをカスタムディレクトリパスでテキストファイルに保存
- カスタムETWセッション名: ETWセッション名を設定します(既定: YAMAGoya)
ダウンロード
翻訳元: https://meterpreter.org/yamagoya-the-ultimate-open-source-shield-for-memory-and-system-defense/
ソース: meterpreter.org
