美國CISA開源Thorium惡意程式分析平臺

美國網路安全暨基礎架構管理署（CISA）上周宣布，開源自動化檔案分析平臺Thorium開放給政府及民間用於惡意程式和鑑識分析。

這項計畫是CISA和美國桑迪亞國家實驗室（Sandia National Laboratories）合作。Thorium為自動化檔案分析及資料生成的高擴充性分散式平臺，它允許分析團隊操作及整合任意商業、開源及自訂工具，自動化執行分析工作流程，支援軟體分析、數位鑑識和事件回應。

Thorium起於桑迪亞實驗室2017年自行開發的自動化惡意程式分析平臺專案，而在CISA的贊助下，啟動威脅逆向工程（Threat Focused Reverse Engineering）專案，旨在以拆解惡意程式支持打擊防禦。

Thorium的整合性平臺上，允許分析人員上傳程式檔案，以Docker映像檔及VM形式整合指令行工具、利用標籤和全文搜尋篩選結果，並嚴格以群組為基礎的核准規則來管理存取。

Thorium是利用Kubernetes和ScyllaDB以硬體擴充，具高度可擴充性，每個核准群組每小時能接受超過1000萬個檔案而仍然維持高速查詢效能。它還讓使用者定義事件觸發器和工具執行序列、以RESTful API控制平臺，並且集結輸出結果進一步分析，或是匯整進下游流程。

CISA鼓勵政府或民間企業資安團隊試用Thorium並提供回饋意見。目前Thorium內不包含任何工具，但CISA表示計畫過陣子會發布一些工具，包括來自業界捐贈的工具。