YAMAGoya: Open Source Threat Hunting Tool using YARA and SIGMA
DAY 2
15:00-
15:40
近年、マルウェアアナリストやセキュリティ研究者は、YARAやSIGMAなどのシグネチャベースのフォーマットを積極的に活用し、脅威検知やハンティングに役立てている。しかし、既存のエンドポイントセキュリティツールでは、独自の検知エンジンを用いているため、YARAやSIGMAを直接活用できる製品が不足しているのが現状である。 さらに、カーネルレベルのドライバーによるエンドポイント保護は OS の安定性を損なうリスクをはらんでいる。そこで開発したのが、カーネルドライバーを必要とせず、ユーザーランドのみで動作する新たなThreat HuntingツールYAMAGoyaである。 YAMAGoyaはSIGMAシグネチャに対応し、ファイル・プロセス・レジストリ・ネットワーク通信などの多彩なイベントを監視する。YARAを用いたメモリスキャン機能も実装しており、より精度の高いマルウェア検知が可能である。GUIとコマンドラインの両方から操作できるため、セキュリティ運用チームから個人研究者まで幅広い利用シーンを想定している。 本セッションでは、YAMAGoyaがどのようにYARAやSIGMAシグネチャを使ってWindows上の脅威検知を実現しているのかの詳細を解説する。また、実際の攻撃シナリオを想定したデモを通じて、YAMAGoyaがどのように脅威を可視化し、検知・封じ込めを行うかを具体的に示す。世界中のセキュリティ研究コミュニティが公開する膨大なシグネチャをシームレスに利用できるこのツールによって、エンドポイントでの脅威対策の可能性が大きく広がると考えている。
-
Location :
-
Track 3(Room 3)
-
-
Category :
-
Bluebox
-
-
Share :
Speakers
-
Shusei Tomonaga
朝長 秀誠
朝長 秀誠は、JPCERT/CCのインシデントレスポンスグループのメンバーです。2012年12月より、マルウェア解析とフォレンジック調査に従事しています。特に、日本の重要産業に影響を及ぼす標的型攻撃の解析を主導しています。また、マルウェア解析と技術的知見に関するブログ記事(https://blogs.jpcert.or.jp/en/)も執筆しています。CODE BLUE、BsidesLV、Botconf、VB Conference、Hitcon、PHDays、PacSec、FIRST Conference、DEF CON、BlackHat USA Arsenalなどで講演を行っています。
-
Tomoya Kamei
亀井 智矢
亀井 智也は、JPCERT/CCのインシデントレスポンスチームのメンバーです。2023年6月より、マルウェア解析とフォレンジック調査に従事しています。