Saltar al contenido

Yomi, un avanzado detector de malware online

Yomi, un avanzado detector de malware online

Hoy toca hablar de un servicio web de lo más útil para los investigadores de ciberseguridad que trabajand sobre el terreno, por ejemplo en un SOC o equipo de respuesta ante incidentes, así como aquellos que gestionan soluciones antimalware corporativas. Se trata de Yomi: the Malware Hunter.

Se trata de un servicio de análisis de malware con multi-análisis, que ofrece diferentes perspectivas del comportamiento y composición del mismo: análisis mediante firmas, análisis heurístico/comportamiento, análisis estático y dinámico y análisis de red.

Anteriormente os hablé de estas 4 plataformas de análisis de malware online que también emplean el concepto sandbox o caja de arena para ofrecer disección del comportamiento del malware.

Hace aproximadamente un año que nació el servicio, que casi de forma inmediata fue incorporado a la iniciativa MultiSandbox en la que ya participaban Virustotal (con sus propias sandboxes) y otros grandes de la industria.

Yomi:The Malware Hunter y su sandbox

Yomi implementa un enfoque multianálisis capaz de explotar tanto análisis dinámico como estático de código, proporcionando análisis bajo demanda para cada tipo de archivo.

  • Cada análisis se combina en una vista de puntuación agregada que combina los elementos más importantes para consultarlos de un vistazo.
  • La sección de análisis estático incluye análisis de documentos y extracción de código de macro, imports, dependencias y cadenas de confianza.
  • El motor de análisis de comportamiento está preparado para reconocer acciones sospechosas que el malware pueda realizar de forma oculta, ofreciendo una vista clara sobre las actividades de movimiento lateral, Comando y control y exfiltración llevadas a cabo en la red, incluyendo canales cifrados.
  • Yomi The Malware Hunter review
  • Yomi The Malware Hunter review 2
  • Yomi The Malware Hunter review 2
  • Yomi The Malware Hunter review 4

Para empezar a trabajar en threat hunting o análisis de malware visitaremos su web yomi.yoroi.company, tras lo que podemos arrastrar al icono marcado nuestra muestra o bien pulsarlo para cargarla con el explorador de archivos.

Características interesantes

Lo primero de todo que conviene destacar es que se integra perfectamente con Virustotal y por tanto tenemos las fortalezas de los dos servicios de análisis forense de malware.

Yomi es capaz de encontrar comandos “ofuscados” con Powershell, por ejemplo, algo que Virustotal carece.

yomi-malware-analisis-informe

En el apartado Adittional information podemos revisar además los mutexes (Mutual Exclusions) usados por la muestra. Esto es algo interesante para quienes diseccionan el malware.

Y finalmente algo que también me parece muy de agradecer, Yomi: The Malware Hunter se integra con los patrones definidos por el framework Mitre ATT&CK, en su pestaña correspondiente. De esta forma nos permite conocer al vuelo qué partes se han empleado en el ataque en cuestión.

yomi-malware-analisis-informe-4

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

2 comentarios sobre “Yomi, un avanzado detector de malware online Deja un comentario

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: