Kaspersky Lab javno objavil kodo naprednega orodja KLara za zaznavanje zlonamerne programske opreme

Varnostni raziskovalci družbe Kaspersky Lab so javno objavili kodo orodja KLara. S tem je programska oprema, ki so jo v podjetju primarno zasnovali za hitrejše iskanje povezanih vzorcev zlonamerne programske opreme, postala dostopna vsem. Gre za porazdeljen bralnik zlonamerne programske opreme, ki temelji na pravilih in je zmožen ta številna pravila ob istem času poslati skozi več podatkovnih baz. S tem raziskovalcem omogoča, da bolj učinkovito iščejo napredne grožnje.

Ključen del raziskovanja groženj je zaznavanje povezanih vzorcev zlonamerne programske opreme. Zaznavanje vzorcev namreč raziskovalcem pomaga slediti spletnim grožnjam skozi čas in zaščiti uporabnika pred celotnim obsegom zlonamernih dejavnosti. Številni raziskovalci se pri svojem delu zanašajo na pravila YARA, s katerimi identificirajo povezano zlonamerno programsko opremo tako, da iščejo specifične lastnosti ali vzorce.

Pravila YARA so še posebej uporabna, ko sledimo naprednim napadalcem in operacijam. Te vključujejo poseben tip zlonamerne programske opreme, ki je shranjena v pomnilniku računalnika (angl. fileless malware), zakonita orodja ali zlonamerno kodo, ki je prilagojena posameznim kampanjam ali celo posameznim žrtvam. A ustvarjanje kakovostnih pravil YARA in njihovo testiranje je lahko dolgotrajen postopek.

KLara napredno zazna zlonamerno programsko opremo

Za reševanje tega problema so raziskovalci družbe Kaspersky Lab ustvarili orodje KLara. Gre za porazdeljen sistem, ki lahko hitro in porazdeljeno raziskuje pravila YARA. V proces so vključena številna pravila in številne zbirke vzorcev, vključno z lastno zbirko zlonamerne programske opreme raziskovalcev. To omogoča, da se povezani vzorci hitreje identificirajo, kar pomeni hitrejša zagotovitev zaščite uporabnikov. Z objavo na spletu je orodje KLara postalo odprtokodni program, do katerega je ekipa raziskovalcev omogočila prosto dostopnost.

»Zaznava spletnih groženj zahteva orodja in sisteme, ki lahko učinkovito zaznajo zlonamerno programsko opremo. Še posebej, ko gre za zaznavanje naprednih zlonamernih kampanj skozi več mesecev ali celo let njihove dejavnosti. Orodje KLara smo ustvarili, da nam pomaga učinkoviteje in hitreje prepoznati grožnje. Da lahko vsi koristimo prednosti orodja KLara, pa ga sedaj delimo še z drugimi člani varnostne skupnosti,« je povedal Dan Demeter, varnostni raziskovalec pri družbi Kaspersky Lab in eden od ustvarjalcev orodja KLara.

Programska oprema orodja KLara je dostopna preko uradnega računa GitHub družbe Kaspersky Lab: https://github.com/KasperskyLab

Več tehničnih in drugih podrobnostih o orodju KLara lahko najdete na spletni povezavi Securelist. Odprtokodna programska oprema ima licenco za programiranje GNU General Public License v3.0 in je dostopna brez garancije razvijalcev.

Račun družbe Kaspersky Lab GitHub vključuje tudi orodje BitScout, ki so ga ustvarjalci družbe Kaspersky Lab objavili leta 2017.