Cisco выпустила генератор вредоносных сигнатур с открытым исходным кодом

Олег Иванов 21 Июня 2017 - 09:49

...

Cisco выпустила генератор вредоносных сигнатур с открытым исходным кодом

Исследовательская группа Cisco Talos объявила в понедельник о доступности новой платформы с открытым исходным кодом, предназначенной для автоматической генерации антивирусных сигнатур от вредоносных программ.

Инструмент под названием BASS представляет собой автоматизированный синтезатор сигнатур. Следовательно, эта система создает сигнатуры для вредоносных программ, а ее основными задачами являются оптимизация использования ресурсов и упрощение анализа вредоносов.

Авторы утверждают, что BASS предназначен для снижения использования ресурсов антивирусного ядра ClamAV с открытым исходным кодом Cisco, создавая больше сигнатур на основе шаблонов вместо хэш-сигнатур. Этот инструмент также может помочь снизить нагрузку на аналитиков, которые пишут шаблоны.

В сущности, эта основанная на Python инфраструктура реализована как множество контейнеров Docker, что делает ее легко масштабируемой и позволяет веб-службам взаимодействовать с другими инструментами.

По словам Talos, тысячи сигнатур добавляются в базу данных ClamAV каждый день, и многие из них основаны на хэше. Проблема с сигнатурами, основанными на хэше, по сравнению с сигнатурами на основе шаблонов, заключается в том, что такие хэш-сигнатуры используется для идентификации одного вредоносного файла, а не множества. Такой подход имеет несколько недостатков, включая больший объем памяти.

Шаблонные сигнатуры легче поддерживать, поэтому Cisco предпочитает работать именно с таким типом.

BASS берет множество вредоносных программ из разных источников, и каждый файл распаковывается с использованием распаковщиков ClamAV. После того, как кластер вредоносных программ фильтруется, чтобы гарантировать соответствие файлов входным данным BASS (например, Portable Executable files), двоичные файлы разбираются с использованием IDA Pro или другого дизассемблера, и инструмент ищет общие куски кода, которые могут использоваться для создания сигнатур.

Исходный код альфа-версии BASS доступен на GitHub. Cisco Talos будет развивать этот инструмент, но компания приветствует любую обратную связь для улучшения его функционала.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 23 Мая 2022 - 17:41

Эксплойты Бэкдоры Уязвимости программ Домашние пользователи Корпорации

Фейковый PoC устанавливает на машину ИБ-экспертов Cobalt Strike Beacon

На GitHub обнаружены два вредоносных файла, выдаваемых за PoC-эксплойты. Авторы находки из Cyble полагают, что это задел под очередную киберкампанию, мишенью которой являются участники ИБ-сообщества.

На хакерских форумах тоже обсуждают эти PoC к уязвимостям CVE-2022-26809 и CVE-2022-24500, которые Microsoft пропатчила в прошлом месяце. Как оказалось, оба репозитория GitHub принадлежат одному и тому же разработчику.

Проведенный в Cyble анализ показал, что расшаренные PoC на самом деле представляют собой вредоносный Net-банарник, упакованный с помощью ConfuserEX — обфускатора с открытым исходным кодом для приложений .Net. Зловред не содержит заявленного кода, но поддерживает эту легенду, выводя с помощью функции Sleep() поддельные сообщения, говорящие о попытке выполнения эксплойта.

Усыпив бдительность жертвы, вредонос запускает скрытую PowerShell-команду для доставки с удаленного сервера основной полезной нагрузки — маячка Cobalt Strike.

Этот бэкдор можно впоследствии использовать для загрузки дополнительных файлов в рамках атаки и для ее развития путем горизонтального перемещения по сети.

Похожая вредоносная кампания была зафиксирована полтора года назад. Злоумышленники вступали в контакт с баг-хантерами, пытаясь с помощью замаскированного IE-эксплойта 0-day и бэкдора добраться до информации об актуальных уязвимостях.

Cisco выпустила генератор вредоносных сигнатур с открытым исходным кодом

Читайте также