Cisco выпустила генератор вредоносных сигнатур с открытым исходным кодом

Олег Иванов 21 Июня 2017 - 09:49

...

Cisco выпустила генератор вредоносных сигнатур с открытым исходным кодом

Исследовательская группа Cisco Talos объявила в понедельник о доступности новой платформы с открытым исходным кодом, предназначенной для автоматической генерации антивирусных сигнатур от вредоносных программ.

Инструмент под названием BASS представляет собой автоматизированный синтезатор сигнатур. Следовательно, эта система создает сигнатуры для вредоносных программ, а ее основными задачами являются оптимизация использования ресурсов и упрощение анализа вредоносов.

Авторы утверждают, что BASS предназначен для снижения использования ресурсов антивирусного ядра ClamAV с открытым исходным кодом Cisco, создавая больше сигнатур на основе шаблонов вместо хэш-сигнатур. Этот инструмент также может помочь снизить нагрузку на аналитиков, которые пишут шаблоны.

В сущности, эта основанная на Python инфраструктура реализована как множество контейнеров Docker, что делает ее легко масштабируемой и позволяет веб-службам взаимодействовать с другими инструментами.

По словам Talos, тысячи сигнатур добавляются в базу данных ClamAV каждый день, и многие из них основаны на хэше. Проблема с сигнатурами, основанными на хэше, по сравнению с сигнатурами на основе шаблонов, заключается в том, что такие хэш-сигнатуры используется для идентификации одного вредоносного файла, а не множества. Такой подход имеет несколько недостатков, включая больший объем памяти.

Шаблонные сигнатуры легче поддерживать, поэтому Cisco предпочитает работать именно с таким типом.

BASS берет множество вредоносных программ из разных источников, и каждый файл распаковывается с использованием распаковщиков ClamAV. После того, как кластер вредоносных программ фильтруется, чтобы гарантировать соответствие файлов входным данным BASS (например, Portable Executable files), двоичные файлы разбираются с использованием IDA Pro или другого дизассемблера, и инструмент ищет общие куски кода, которые могут использоваться для создания сигнатур.

Исходный код альфа-версии BASS доступен на GitHub. Cisco Talos будет развивать этот инструмент, но компания приветствует любую обратную связь для улучшения его функционала.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 27 Ноября 2025 - 19:47

Несанкционированный доступ Взлом сайтов Информационные войны Домашние пользователи Государство

В Польше задержали россиянина по делу о взломе ИТ-систем компаний

В Польше задержали гражданина России по подозрению во взломе ИТ-инфраструктуры польских предприятий. Как сообщает Центральное бюро по борьбе с киберпреступностью, операция прошла 16 ноября в Кракове по поручению окружной прокуратуры.

По данным следствия, мужчина незаконно пересёк польскую границу ещё в 2022 году, а спустя год получил статус беженца.

Правоохранители считают, что он мог получить несанкционированный доступ к системе интернет-магазина, вмешиваться в базы данных и менять их структуру.

Эти действия, по версии прокуратуры, могли поставить под угрозу работу компаний и безопасность клиентов.

Суд отправил задержанного под трёхмесячный арест. Сейчас проверяется его возможная связь с другими кибератаками — как на территории Польши, так и в странах Европейского союза.

Напомним, на днях Мещанский суд Москвы заключил под стражу 21-летнего предпринимателя из Томска Тимура Килина, обвиняемого по статье о госизмене. Как следует из данных судебной картотеки, решение принято по ходатайству следствия, а защита пока не оспорила меру пресечения.

Суд не раскрывает никаких деталей дела: материалы полностью засекречены, как и содержание заседаний, что стандартно для процессов по ст. 275 УК РФ.