Connect with us

מתקפות סייבר

כלי לציד איומים שפיתחו במעבדת קספרסקי עובר לקוד פתוח

פורסם

ב-

חוקרי אבטחת המידע של מעבדת קספרסקי מעמידים לרשות הציבור, תחת רישיון קוד פתוח, את Klara, כלי שיצרו בתוך החברה כדי להאיץ את החיפוש אחר דוגמיות קוד זדוני. Klara הוא סורק קוד זדוני, מבוזר ומבוסס חוקים, המסוגל להריץ במקביל מספר חוקים לרוחב מספר בסיסי נתונים. בכך הוא מאפשר לחוקרים לצוד איומים מתקדמים ביעילות גבוהה יותר.

זיהוי דוגמיות של קוד זדוני הוא חלק חשוב בחקר איומים. הוא מסייע לחוקרים לעקוב אחר איומי סייבר לאורך זמן ולהגן על משתמשים בפני טווח רחב של פעילות זדונית. חוקרים רבים מסתמכים על חוקי YARA, המסייעים להם לזהות קוד זדוני מסוים באמצעות חיפוש אחר מאפיינים או תבניות מסוימות.

חוקי YARA שימושיים במיוחד כאשר עוקבים אחר גורם של איומים מתקדמים, אחר פעילות הכוללת קוד זדוני "נטול קבצים", לצורך זיהוי של שימוש בכלים לגיטימיים, או במקרים בהם קוד זדוני עבר התאמה לקמפיין מסוים או אפילו לקורבן ספציפי. עם זאת, יצירה של חוקי YARA איכותיים ובחינה שלהם עלולה לגזול זמן רב.

כדי להתמודד עם הבעיה הזו, חוקרי מעבדת קספרסקי יצרו את Klara: מערכת מבוזרת אשר יכולה להריץ חיפושים מהירים ומבוזרים על פי סדרה של חוקי YARA – הכוללים מספר חוקים ומספר דוגמיות –  כולל אוספי קוד זדוני פרטיים של החוקר. הדבר מאפשר לזהות דוגמיות רלוונטיות במהירות גדולה יותר, ולספק למשתמשים הגנה מהירה יותר.

"זיהוי של איומי סייבר דורש כלים ומערכות המסוגלים לצוד קוד זדוני ביעילות – במיוחד כאשר עוקבים אחר קמפיינים של איומים מתקדמים וממוקדים לאורך חודשים או אפילו שנים. יצרנו את Klara כדי לסייע לנו לצוד איומים טוב יותר ומהר יותר, וכעת אנו מעוניינים לשתף את הכלי עם יתר קהילת האבטחה, כך שכולם יוכלו ליהנות מיתרונותיה", אמר דן דמיטר, חוקר אבטחה במעבדת קספרסקי ואחד מיוצרי Klara.

Advertisement

התוכנה זמינה כאן מחשבון ה-GitHub הרשמי של מעבדת קספרסקי. מידע טכני נוסף ופרטי API ניתן למצוא ב- Securelist. התוכנה מופצת תחת רישיון קוד פתוח GNU General Public License v3.0 וזמינה ללא אחריות מהמפתחים.

חשבון ה- GitHub של מעבדת קספרסקי כולל כלי נוסף, שנוצר ושותף על ידי חוקרי מעבדת קספרסקי ב-2017. הכלי שנקרא BitScout נוצר על ידי חוקר האבטחה הראשי ויטאלי קמלוק, והוא מסוגל לאסוף מרחוק נתוני פורנזיקה, כגון דוגמיות קוד זדוני, ללא סיכון להדבקה או אובדן. מידע נוסף אודות BitScout ניתן למצוא כאן.

Continue Reading