卡巴斯基實驗室將內部使用來加速搜尋惡意軟體樣本的工具Klara,放到GitHub上開源供所有人使用。Klara是一個高效率的惡意軟體掃描程式,其分散式的架構可以同時對多資料庫進行多規則掃描,讓研究人員快速搜索進階威脅。

偵測相關惡意軟體的樣本為資安研究的關鍵部分,同時也有助於幫資訊安全人員追蹤網路威脅,而許多資訊安全人員仰賴YARA規則來偵測威脅。YARA規則是一個基於文字檔案或是二元樣板來描述惡意軟體的方法,這些規則可以能是字串或是布林表達式。

卡巴斯基實驗室表示,為了有效的搜索惡意軟體需要大量的樣本,而研究人員針對收集來的惡意軟體集,進行YARA規則的掃瞄,並在某些情況下調整YARA規則,但不幸的是,整個過程需要大量的時間資源。卡巴斯基實驗室指出,Klara專門用來掃描大於1TB的樣本資料,並在合理的時間獲得結果,使用Klara掃描10TB的檔案大概只需要30分鐘。

而Klara是一個用Python撰寫的分散式系統,能讓研究人員以單個或是多個YARA規則,同時對惡意軟體樣本進行掃描,並且在掃描結束時,以電子郵件或是Web介面通知研究人員。卡巴斯基實驗室認為,Klara工具的特點除了擁有現代化的網路介面,讓研究人員執行射後不理的任務外,其功能強大的API,可以自動化提交YARA規則的掃描工作,自動化的檢查狀態並總結成果。


Advertisement

更多 iThome相關內容