گروه اطلاعات و تحقیقات سیسکو موسوم به تالوس در روز 29 خرداد عرضه ابزاری به نام BASS را منتشر کرد. BASS، یک چارچوب جدید متن­باز است که به طور خودکار امضای بدافزارها را برای استفاده در ضدویروس­ها تولید می­ کند.

از این ابزار که BASS نام دارد، به عنوان ابزاری خودکار برای تولید امضای بدافزار نام برده شده است. این چارچوب، برای بدافزارهای موجود در خوشه­ های در دسترس، امضا تولید می­کند. هدف اصلی BASS این است که استفاده از منابع را بهبود داده و تحلیل بدافزار را آسان کند.

به گفته تالوس، BASS طوری طراحی شده که با استفاده از تولید امضای مبتنی بر الگو (و نه مبتنی بر هش) نحوه استفاده از منابع را در ClamAV بهبود دهد. ClamAV، موتور متن­باز ضدویروس سیسکو است. BASS همچنین می­تواند حجم کاری تحلیلگرانی که امضای الگومحور تولید می­کنند را کاهش دهد.

این چارچوب مبتنی بر زبان پایتون، به صورت خوشه­ای از نگهدارنده­های Docker پیاده­سازی شده است. این باعث می­شود که این ابزار به راحتی گسترش یابد و به سرویس­های وب کمک می­کند با سایر ابزارها ارتباط برقرار کنند.

به گفته تالوس، هر روزه هزاران امضا به پایگاه داده ClamAV اضافه می­شوند که خیلی از آن­ها هش­محور هستند. مشکل امضاهای هش­محور در مقایسه با امضاهای بایت­کدمحور یا الگومحور این است که این امضاها برای شناسایی یک فایل کاربرد دارند، نه یک خوشه بدافزار کامل. این مساله معایب بسیاری دارد، از جمله مصرف حافظه بالاتر.

نگهداری امضاهای الگومحور در مقایسه با امضاهای بایت­کدمحور آسانتر است و به همین دلیل سیسکو این نوع امضا را ترجیح می ­دهد.

چارچوب BASS، خوشه­ های بدافزار را از منابع مختلف می­گیرد و هر فایل را با ابزارهای بازکننده ClamAV باز می­کند. ابتدا فایل­ها فیلتر می­شوند تا اطمینان حاصل شود که این فایل­ها از نوع مورد انتظار BASS هستند (فایل exe قابل حمل). سپس کد دودویی فایل­ها با ابزار IDA Pro یا سایر دیس­اسمبلرها، به کد اسمبلی تبدیل می­شوند. در ادامه BASS به دنبال کدهای مشترکی می­گردد که می­توانند برای تولید امضا به کار روند.

کد منبع نسخه آلفای BASS در GitHub قابل دسترسی است. تالوس مسئول نگهداری این ابزار خواهد بود، اما از هر بازخورد سازنده­ای در راستای بهبود عملکرد آن استقبال می­ کند.

منبع