思科公司發布BASS開源惡意軟體簽名生成器
E安全6月23日訊,思科公司的Talos智能與研究小組於本周一公布了一套新的開源框架,專門用於自動生成基於惡意軟體的反病毒簽名。
根據思科方面的描述,這款名為BASS的新型工具屬於一款自動化簽名合成器。該框架能夠根據以往的惡意軟體簽名組合創建新簽名,其主要目標在於改善資源利用率並簡化惡意軟體分析的工作流程。
Talos小組解釋稱,BASS的設計目標在於生成更多基於模式——而非基於哈希值的簽名,從而降低思科ClamAV開源反病毒引擎的資源佔用量。該款工具亦有助於減少負責編寫基於模式之病毒簽名的分析師們的日常工作量。
這套由Python語言編寫而成的框架作為一套Docker容器集群存在,這種與容器技術相結合的作法保證其能夠輕鬆實現擴展,同時可利用Web服務與其它工具進行交互。
根據Talos小組的介紹,每天被添加至ClamAV資料庫當中的簽名成千上萬,而其中大多數屬於基於哈希值的簽名。哈希值類簽名的最大問題在於,相較於基於位元組碼與模式的簽名相比,其僅可用於標識單一文件而非整體惡意軟體集群。另外,其還存在內存佔用量更大等其它一些弊端。
相比之下,基於模式的簽名較位元組碼類簽名更易於維護,思科公司也正因為如此而更傾向於選擇模式類簽名機制。
此次公布的BASS框架從多種來源處收集惡意軟體集群,並利用ClamAV解包器對各個文件進行解包。一旦惡意軟體集群經過過濾並確保文件內容符合BASS所設定的輸入預期(即屬於攜帶型可執行文件),則BASS框架會利用IDA
Pro或者其它反彙編程序對其二進位文件進行解析,進而搜索樣本當中可用於生成簽名的通用代碼。
目前BASS框架Alpha版本的源代碼已經被發布在GitHub之上。思科公司的Talos小組將繼續對該工具進行維護,也歡迎一切有助於實現功能改進的反饋意見。
E安全註:本文系E安全獨家編譯報道,轉載請聯繫授權,並保留出處與鏈接,不得刪減內容。
@E安全,最專業的前沿網路安全媒體和產業服務平台,每日提供優質全球網路安全資訊與深度思考。
※總價60億的網路安全合同!雷神繼續支持DHS的愛因斯坦項目
※國家安全:99%以上的DHS網路安全撥款未用到實處
※總價68億的網路安全合同!雷神繼續支持DHS的愛因斯坦項目
TAG:E安全 |
※硬碟大佬也玩CPU!西部數據公布RISC-V自研架構SweRV及開源指令集模擬器
※IBM宣布正式開源POWER處理器ISA
※超越 BERT 和 GPT,微軟亞洲研究院開源新模型 MASS
※超越 BERT和GPT,微軟亞洲研究院開源新模型 MASS!
※IBM將收購開源雲軟體公司Red Hat
※ARM 授權費用太貴 科技巨頭欲轉向開源架構 RISC-V
※ARM 授權費用太貴 科技巨頭投奔開源架構 RISC V
※阿里達摩院公布自研語音識別模型DFSMN並宣布開源
※Hadoop完成合併成全球第二大開源軟體公司
※IBM 收購 Linux 開源軟體公司紅帽,完成該公司史上最貴交易
※Rokid發布AI操作系統YodaOS 宣布代碼開源
※Rokid 發布 AI 操作系統 YodaOS 宣布代碼開源
※LG宣布開源webOS
※ARM 授權費用太貴,科技巨頭欲轉向開源架構 RISC-V
※Arm建網站怒懟RISC-V被打臉,開源處理器架構已對Arm產生巨大威脅
※OASIS啟動開放項目計劃以整合開源與標準開發流程
※NSA 官方開源反彙編工具 GHIDRA
※AT&T、Verizon等發布「開源5G虛擬無線網」技術規範
※AWS等雲服務商威脅開源軟體的生存:共用條款終止開源濫用現象
※開源RISC-V架構正在改變IoT處理器的遊戲規則