A fost creat KLara, un scaner open source de detectare a amenințărilor avansate
Posted by
Detectarea mostrelor similare este o parte esențială din studiul amenințărilor, ajutând cercetătorii să detecteze amenințările cibernetice și să protejeze utilizatorii împotriva operațiunilor malware. Numeroși cercetători se bazează pe regulile YARA, care îi ajută să identifice programele malware înrudite, căutând anumite caracteristici sau tipare. Regulile YARA sunt utile mai ales pentru detectarea atacatorilor avansați și a operațiunilor care folosesc malware „invizibil” sau instrumente legitime sau în cazul acelora în care codul periculos este adaptat pentru anumite campanii sau chiar victime. Însă crearea de reguli YARA de calitate și testarea lor poate fi o activitate care necesită mult timp. Pentru a rezolva această problemă, cercetătorii Kaspersky Lab au creat KLara: un sistem distribuit care poate rula o serie de căutări YARA rapide, distribuite, care implică numeroase reguli și multiple colecții de mostre, inclusiv colecțiile private de malware ale cercetătorilor. Acest lucru permite ca mostrele înrudite să fie identificate mai repede și, implicit, utilizatorii să ajungă să fie protejați mai repede. Echipa a pus scanerul KLara pe domeniul open source, unde este disponibil pentru oricine dorește să îl folosească. „Detectarea amenințărilor cibernetice necesită instrumente și sisteme cu ajutorul cărora să poată „vâna” malware-ul în mod eficient – mai ales atunci când sunt urmărite campanii de amenințări avansate și persistente, timp de luni sau poate chiar ani de activitate”, spune Dan Demeter, security researcher la Kaspersky Lab și unul dintre creatorii KLara. „Am dezvoltat KLara pentru a ne ajuta să detectăm amenințările mai bine și mai repede, iar acum punem acest sistem la dispoziția comunității de securitate, pentru ca toată lumea să se poată bucura de avantajele lui.” Programul este disponibil pe contul oficial GitHub al Kaspersky Lab: https://github.com/KasperskyLab. Mai multe informații tehnice și API pot fi găsite pe Securelist. Acest program este făcut public sunt Licența v3.0 GNU General Public și disponibil fără garanție din partea producătorilor. Contul GitHub al Kaspersky Lab include și un alt instrument, creat și pus la dispoziție de cercetătorii Kaspersky Lab, în 2017. Denumit BitScout, a fost creat de Vitaly Kamluk, principal security researcher, și poate colecta de la distanță date importante, cum ar fi mostre de malware, fără risc de contaminare sau pierdere. 581