ایتنا - لابراتوار کسپرسکی سورس کد اسکنر YARA را به عنوان راهی مناسب برای امنیت اطلاعات منتشر ساخته است.
YARA در ابتدا توسط Victor Alvarez یکی از مهندسین نرمافزار VirusTotal توسعه یافت. YARA ابزاری است که به محققان اجازه میدهد تا تهدیدات را بر اساس قوانینی که برپایه ی الگوهای متنی یا باینری از پیش تعریف شده است را آنالیز و شناسایی کنند.
به گزارش کسپرسکی آنلاین، لابراتوار کسپرسکی نسخه ابزار YARA را با نام Klara توسعه داده است، Klara برنامه مبتنی بر پایتون و متکی به یک معماری توزیع یافته است که به محققان امکان اسکن مجموعهای از نمونه های مخرب یا همان بدافزارها را می دهد.
به منظور جستجوی تهدیدات بالقوه ما به مقدار قابل توجهی از منابع نیاز داریم که چنین منابع یا سورس هایی اغلب توسط سیستم های ابری فراهم می گردند. با استفاده از معماری توزیع یافته Klara، محققان قادر خواهند بود که به طور کاملا موثری یک یا چندین نمونه از قانون YARA را بر روی مجموعه ای از داده های عظیم خود اسکن کنند. کسپرسکی مدعی شده است که این ابزار قادر است حجم 10 ترابایت از فایل ها را تنها در 30دقیقه اسکن کند.
کسپرسکی می گوید: " این پروژه با استفاده از مدل dispatcher/worker با معماری متداول یک dispatcher و چندین workers عمل میکند. Worker و dispatcher ایجنت هایی هستند که در پایتون نوشته میشوند. از آنجا که فاکتورهای worker در پایتون نوشته می شوند، آنها قادرند در هر اکوسیستمی قابل تطبیقی از جمله ویندوز یا یونیکس استقرار یابند. چنین منطقی در مورد اسکنر YARA که توسط Klara استفاده می شود، نیز وجود دارد: این ابزار قادر است بر روی هر دو بستر کامپایل (جمع آوری) گردد.
Klara قادر است یک رابط کاربری مبتنی بر وب را فراهم کند که کاربران می توانند توسط آن عملیات های خود را وارد، وضعیت های خود را بررسی و نتایج آن ها را مشاهده کنند. نتایج همچنین می تواند به یک آدرس ایمیل مشخص شده ارسال گردد.
این ابزار همچنین یک API فراهم می کند که می تواند برای ارائه عملیات جدید، نتایج و جزئیات آنها و در عین حال می تواند برای بازیابی فایل های هش شده با MD5 مورد استفاده قرار گیرد.
لابراتوار کسپرسکی در بسیاری از تحقیقات خود با تکیه بر قانون YARA پیش رفته است، یکی از موارد قابل ذکر در مورد تیم هکری breach در سال 2015 بود. کمپانی امنیتی کسپرسکی یک قانون YARA را بر اساس اطلاعاتی که از نشت فایل های تیم هکری بدست آمد و چند ماه بعد از آن به آسیب پذیری روز صفر Silverlight منجر شد، نوشت.
سورس کد Klara در حال حاضر در GitHub تحت مجوز عمومی v3.0 قابل دسترس است. لابراتوار کسپرسکی هرگونه همکاری برای این پروژه را مقدم می شمارد. این اولین بار نیست که لابراتوار کسپرسکی سورس کد یکی از ابزارهای داخلی خود را قابل دسترس قرار داده است. سال گذشته سورس کد Bitscout، ابزار مختصر و قابل تنظیمی که برای عملیات های پی جویی دیجیتالی از راه دور مورد استفاده قرار می گرفت، منتشر گشت.