سیسکو ابزار متن‌باز برای تولید امضاء بدافزار منتشر کرد

کمیته رکن چهارم – گروه اطلاعاتی و تحقیقاتی سیسکو تالوس، روز دوشنبه از انتشار یک چارچوب متن‌باز جدید خبر داد که برای تولید خودکار امضاهای مورد استفاده در محصولات ضدبدافزاری طراحی شده است. این ابزار با نام BASS، به عنوان یک ترکیب‌کننده‌ی امضای خودکار توصیف شده است. هدف اصلی این ابزار بهبود استفاده از منابع و آسان‌تر نمودن تجزیه و تحلیل بدافزارها است.

به گزارش کمیته رکن چهارم،محققان امنیتی تالوس می‌گویند ابزار BASS برای کاهش استفاده از منابع موتور ضدبدافزار متن‌باز ClamAV سیسکو، با تولید امضاهای مبتنی بر الگو به‌جای امضاهای مبتنی بر درهم‌سازی، طراحی شده است. این ابزار همچنین می‌تواند به کاهش حجم کار تحلیل‌گرانِ بدافزار که امضاهای مبتنی بر الگو را تولید می‌کنند، کمک کند.

این چارچوب مبتنی بر پایتون، در قالب خوشه‌ای از کانتینرهای داکر اجرا می‌شود که آن را به‌راحتی مقیاس‌‌پذیر نموده و با استفاده از سرویس‌های وب می‌تواند با سایر ابزارها نیز تعامل کند. به‌گفته‌ی محققان امنیتی هر روز هزاران امضاء به پایگاه داده محصول ClamAV اضافه می‌شود و بسیاری از آن‌ها مبتنی بر درهم‌سازی هستند. مشکل امضاهای مبتنی بر درهم‌سازی در مقایسه با امضاهای مبتنی بر بایت‌کد و الگو، استفاده از یک امضاء برای شناسایی یک پرونده به‌جای خوشه‌ای از بدافزارها است. این موضوع چند ایراد دارد که می‌توان مسئله‌ی ردِ حافظه‌ی بزرگ‌تر را نام برد.

نگهداری امضاهای مبتنی بر الگو نسبت به امضاهای بایت‌کد آسان‌تر است که به همین دلیل سیسکو این نوع امضاء را ترجیح می‌دهد. چارچوب BASS خوشه‌ای از بدافزارها را از منابع مختلف گرفته و هر پرونده را با استفاده از ClamAV  از حالت بسته‌بندی‌شده خارج می‌کند. کد منبع مربوط به نسخه آلفای BASS در گیت‌هاب موجود است. سیسکو تالوس از این ابزار نگهداری خواهد کرد اما این شرکت از ارائه‌ی هرگونه بازخوردی برای بهبود عملکرد آن استقبال می‌کند.

منبع:

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد.


Type The Red Captcha Characters Below.