کمیته رکن چهارم – گروه اطلاعاتی و تحقیقاتی سیسکو تالوس، روز دوشنبه از انتشار یک چارچوب متنباز جدید خبر داد که برای تولید خودکار امضاهای مورد استفاده در محصولات ضدبدافزاری طراحی شده است. این ابزار با نام BASS، به عنوان یک ترکیبکنندهی امضای خودکار توصیف شده است. هدف اصلی این ابزار بهبود استفاده از منابع و آسانتر نمودن تجزیه و تحلیل بدافزارها است.
به گزارش کمیته رکن چهارم،محققان امنیتی تالوس میگویند ابزار BASS برای کاهش استفاده از منابع موتور ضدبدافزار متنباز ClamAV سیسکو، با تولید امضاهای مبتنی بر الگو بهجای امضاهای مبتنی بر درهمسازی، طراحی شده است. این ابزار همچنین میتواند به کاهش حجم کار تحلیلگرانِ بدافزار که امضاهای مبتنی بر الگو را تولید میکنند، کمک کند.
این چارچوب مبتنی بر پایتون، در قالب خوشهای از کانتینرهای داکر اجرا میشود که آن را بهراحتی مقیاسپذیر نموده و با استفاده از سرویسهای وب میتواند با سایر ابزارها نیز تعامل کند. بهگفتهی محققان امنیتی هر روز هزاران امضاء به پایگاه داده محصول ClamAV اضافه میشود و بسیاری از آنها مبتنی بر درهمسازی هستند. مشکل امضاهای مبتنی بر درهمسازی در مقایسه با امضاهای مبتنی بر بایتکد و الگو، استفاده از یک امضاء برای شناسایی یک پرونده بهجای خوشهای از بدافزارها است. این موضوع چند ایراد دارد که میتوان مسئلهی ردِ حافظهی بزرگتر را نام برد.
نگهداری امضاهای مبتنی بر الگو نسبت به امضاهای بایتکد آسانتر است که به همین دلیل سیسکو این نوع امضاء را ترجیح میدهد. چارچوب BASS خوشهای از بدافزارها را از منابع مختلف گرفته و هر پرونده را با استفاده از ClamAV از حالت بستهبندیشده خارج میکند. کد منبع مربوط به نسخه آلفای BASS در گیتهاب موجود است. سیسکو تالوس از این ابزار نگهداری خواهد کرد اما این شرکت از ارائهی هرگونه بازخوردی برای بهبود عملکرد آن استقبال میکند.
منبع:
