انتشار سورس کد اسکنر Yara




۱۹ام فروردین ۱۳۹۷ مطالب آپی

انتشار سورس کد اسکنر Yara

YARA در ابتدا توسط Victor Alvarez یکی از مهندسین نرم‌افزار VirusTotal توسعه یافت. YARA ابزاری است که به محققان اجازه می‌دهد تا تهدیدات را بر اساس قوانینی که برپایه ی الگوهای متنی یا باینری از پیش تعریف شده است را آنالیز و شناسایی کنند.

به گزارش کسپرسکی آنلاین، لابراتوار کسپرسکی نسخه ابزار YARA را با نام Klara توسعه داده است، Klara  برنامه مبتنی بر پایتون و متکی به یک معماری توزیع یافته است که به محققان امکان اسکن مجموعه‌ای از نمونه های مخرب یا همان بدافزارها را می دهد.

به منظور جستجوی تهدیدات بالقوه ما به مقدار قابل توجهی از منابع نیاز داریم که چنین منابع یا سورس هایی اغلب توسط سیستم های ابری فراهم می گردند. با استفاده از معماری توزیع یافته Klara، محققان قادر خواهند بود که به طور کاملا موثری یک یا چندین نمونه از قانون YARA را بر روی مجموعه ای از داده های عظیم خود اسکن کنند. کسپرسکی مدعی شده است که این ابزار قادر است حجم ۱۰ ترابایت از فایل ها را تنها در ۳۰دقیقه اسکن کند.

کسپرسکی می گوید: ” این پروژه با استفاده از مدل dispatcher/worker با معماری متداول یک dispatcher و چندین  workers عمل می‌کند. Worker و dispatcher ایجنت هایی هستند که در پایتون نوشته می‌شوند. از آنجا که فاکتورهای worker در پایتون نوشته می شوند، آنها قادرند در هر اکوسیستمی قابل تطبیقی از جمله ویندوز یا یونیکس استقرار یابند. چنین منطقی در مورد اسکنر YARA که توسط Klara  استفاده می شود، نیز وجود دارد: این ابزار قادر است بر روی هر دو بستر کامپایل (جمع آوری) گردد.

Klara قادر است یک رابط کاربری مبتنی بر وب را فراهم کند که کاربران می توانند توسط آن عملیات های خود را وارد، وضعیت های خود را بررسی و نتایج آن ها را مشاهده کنند. نتایج همچنین می تواند به یک آدرس ایمیل مشخص شده ارسال گردد.

این ابزار همچنین یک API فراهم می کند که می تواند برای ارائه عملیات جدید، نتایج و جزئیات آنها و در عین حال می تواند برای بازیابی فایل های هش شده  با MD5 مورد استفاده قرار گیرد.

لابراتوار کسپرسکی در بسیاری از تحقیقات خود با تکیه بر  قانون YARA پیش رفته است، یکی از موارد قابل ذکر در مورد تیم هکری  breach در سال ۲۰۱۵ بود. کمپانی امنیتی کسپرسکی یک قانون YARA را بر اساس اطلاعاتی که از نشت فایل های تیم هکری بدست آمد و چند ماه بعد از آن به آسیب پذیری روز صفر  Silverlight  منجر شد، نوشت. 

سورس کد Klara در حال حاضر در GitHub تحت مجوز عمومی v3.0 قابل دسترس است. لابراتوار کسپرسکی هرگونه همکاری برای این پروژه را مقدم می شمارد. این اولین بار نیست که لابراتوار کسپرسکی سورس کد یکی از ابزارهای داخلی خود را قابل دسترس قرار داده است. سال گذشته سورس کد Bitscout، ابزار مختصر و قابل تنظیمی که برای عملیات های پی جویی دیجیتالی از راه دور مورد استفاده قرار می گرفت، منتشر گشت.

 


مطالب پیشنهادی