Hoy toca hablar de un servicio web de lo más útil para los investigadores de ciberseguridad que trabajan sobre el terreno, por ejemplo en un SOC o equipo de respuesta ante incidentes, así como aquellos que gestionan soluciones antimalware corporativas. Se trata de Yomi: the Malware Hunter.
Se trata de un servicio de análisis de malware con multi-análisis, que ofrece diferentes perspectivas del comportamiento y composición del mismo: análisis mediante firmas, análisis heurístico/comportamiento, análisis estático y dinámico y análisis de red.
Hace aproximadamente un año que nació el servicio, que casi de forma inmediata fue incorporado a la iniciativa MultiSandbox en la que ya participaban Virustotal (con sus propias sandboxes) y otros grandes de la industria.

Yomi:The Malware Hunter y su sandbox

Yomi implementa un enfoque multianálisis capaz de explotar tanto análisis dinámico como estático de código, proporcionando análisis bajo demanda para cada tipo de archivo.

  • Cada análisis se combina en una vista de puntuación agregada que combina los elementos más importantes para consultarlos de un vistazo.
  • La sección de análisis estático incluye análisis de documentos y extracción de código de macro, imports, dependencias y cadenas de confianza.
  • El motor de análisis de comportamiento está preparado para reconocer acciones sospechosas que el malware pueda realizar de forma oculta, ofreciendo una vista clara sobre las actividades de movimiento lateral, Comando y control y exfiltración llevadas a cabo en la red, incluyendo canales cifrados.

Para empezar a trabajar en threat hunting o análisis de malware visitaremos su web yomi.yoroi.company, tras lo que podemos arrastrar al icono marcado nuestra muestra o bien pulsarlo para cargarla con el explorador de archivos.

Características interesantes

Lo primero de todo que conviene destacar es que se integra perfectamente con Virustotal y por tanto tenemos las fortalezas de los dos servicios de análisis forense de malware.
Yomi es capaz de encontrar comandos “ofuscados” con Powershell, por ejemplo, algo que Virustotal carece.
yomi-malware-analisis-informe
En el apartado Adittional information podemos revisar además los mutexes (Mutual Exclusions) usados por la muestra. Esto es algo interesante para quienes diseccionan el malware.
yomi-malware-analisis-informe-3
yomi-malware-analisis-informe-2
Y finalmente algo que también me parece muy de agradecer, Yomi: The Malware Hunter se integra con los patrones definidos por el framework Mitre ATT&CK, en su pestaña correspondiente. De esta forma nos permite conocer al vuelo qué partes se han empleado en el ataque en cuestión.

Fuente noticia: protegermipc.net
Fuente foto: freepik.es