سیسکو ابزار متن باز تولید امضای بدافزار را منتشر کرد
گروه اطلاعات و تحقیقات سیسکو موسوم به تالوس در روز 29 خرداد عرضه ابزاری به نام BASS را منتشر کرد. BASS، یک چارچوب جدید متنباز است که به طور خودکار امضای بدافزارها را برای استفاده در ضدویروسها تولید می کند.
|
گروه اطلاعات و تحقیقات سیسکو موسوم به تالوس در روز 29 خرداد عرضه ابزاری به نام BASS را منتشر کرد. BASS، یک چارچوب جدید متنباز است که به طور خودکار امضای بدافزارها را برای استفاده در ضدویروسها تولید می کند.
|
از این ابزار که BASS نام دارد، به عنوان ابزاری خودکار برای تولید امضای بدافزار نام برده شده است. این چارچوب، برای بدافزارهای موجود در خوشه های در دسترس، امضا تولید میکند. هدف اصلی BASS این است که استفاده از منابع را بهبود داده و تحلیل بدافزار را آسان کند.
|
به گفته تالوس، BASS طوری طراحی شده که با استفاده از تولید امضای مبتنی بر الگو (و نه مبتنی بر هش) نحوه استفاده از منابع را در ClamAV بهبود دهد. ClamAV، موتور متنباز ضدویروس سیسکو است. BASS همچنین میتواند حجم کاری تحلیلگرانی که امضای الگومحور تولید میکنند را کاهش دهد.
|
این چارچوب مبتنی بر زبان پایتون، به صورت خوشهای از نگهدارندههای Docker پیادهسازی شده است. این باعث میشود که این ابزار به راحتی گسترش یابد و به سرویسهای وب کمک میکند با سایر ابزارها ارتباط برقرار کنند.
|
به گفته تالوس، هر روزه هزاران امضا به پایگاه داده ClamAV اضافه میشوند که خیلی از آنها هشمحور هستند. مشکل امضاهای هشمحور در مقایسه با امضاهای بایتکدمحور یا الگومحور این است که این امضاها برای شناسایی یک فایل کاربرد دارند، نه یک خوشه بدافزار کامل. این مساله معایب بسیاری دارد، از جمله مصرف حافظه بالاتر.
|
نگهداری امضاهای الگومحور در مقایسه با امضاهای بایتکدمحور آسانتر است و به همین دلیل سیسکو این نوع امضا را ترجیح می دهد.
|
چارچوب BASS، خوشه های بدافزار را از منابع مختلف میگیرد و هر فایل را با ابزارهای بازکننده ClamAV باز میکند. ابتدا فایلها فیلتر میشوند تا اطمینان حاصل شود که این فایلها از نوع مورد انتظار BASS هستند (فایل exe قابل حمل). سپس کد دودویی فایلها با ابزار IDA Pro یا سایر دیساسمبلرها، به کد اسمبلی تبدیل میشوند. در ادامه BASS به دنبال کدهای مشترکی میگردد که میتوانند برای تولید امضا به کار روند.
|
کد منبع نسخه آلفای BASS در GitHub قابل دسترسی است. تالوس مسئول نگهداری این ابزار خواهد بود، اما از هر بازخورد سازندهای در راستای بهبود عملکرد آن استقبال می کند.
|
|