一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月18日、SigmaおよびYARAルールを活用したリアルタイムクライアント監視ツール「YAMAGoya」を公開したと「JPCERT/CC Eyes」で発表した。朝長秀誠氏が執筆している。
セキュリティ研究者やマルウェアアナリストは、SigmaやYARAなどのルールを積極的に作成し、公開しているが、既存のエンドポイントセキュリティツールでは独自の検知エンジンを用いているため、SigmaやYARAを直接活用できる製品が不足しており、この課題に対し、オープンソースのスレットハンティングツール「YAMAGoya」を公開したとのこと。「YAMAGoya」は、下記のGitHubレポジトリで公開している。
GitHub JPCERTCC/YAMAGoya
https://github.com/JPCERTCC/YAMAGoya
「YAMAGoya」は、ETW(Event Tracing for Windows)のイベント監視とメモリスキャンをあわせて脅威の検知を行えるように設計しており、下記の特徴がある。
・ユーザーランドのみで動作:カーネルドライバー不要で導入容易
・リアルタイム監視:ファイル/プロセス/レジストリ/DNS/ネットワーク/PowerShell/WMI等をETW経由でリアルタイム監視可能
・複数のルール形式をサポート:Sigmaおよび相関分析に活用できるオリジナルYAMLルールをサポート
・メモリスキャン:ファイルレスやパッキングされたマルウェアをYARAルールで検知
・GUI/CLIサポート:GUIからの使用だけではなくコマンドラインによる自動化なども可能
「JPCERT/CC Eyes」では、「YAMAGoya」の導入方法や使い方、FAQ等も紹介している。
