קספרסקי מעמידה לרשות הציבור כלי לציד איומים

חוקרי קספרסקי (Kaspersky Lab) העמידו לרשות הציבור כלי לציד איומים.

הכלי, KLara, ניתן תחת רשיון קוד פתוח. את הכלי יצרו בחברה כדי להאיץ את החיפוש אחר דוגמיות של נוזקות. KLara הוא סורק קוד זדוני, מבוזר ומבוסס חוקים, המסוגל להריץ במקביל כמה חוקים לרוחב כמה בסיסי נתונים. בכך הוא מאפשר לחוקרים לצוד איומים מתקדמים ביעילות גבוהה יותר.

זיהוי דוגמיות של קוד זדוני הוא חלק חשוב בחקר איומים. הוא מסייע לחוקרים לעקוב אחר איומי סייבר לאורך זמן ולהגן על משתמשים מפני טווח רחב של פעילות זדונית.

חוקרים רבים מסתמכים על חוקי YARA, המסייעים להם לזהות קוד זדוני מסוים, באמצעות חיפוש אחר מאפיינים או תבניות מסוימות. חוקי YARA שימושיים במיוחד כאשר עוקבים אחר גורם של איומים מתקדמים, אחר פעילות הכוללת קוד זדוני "נטול קבצים", לצורך זיהוי של שימוש בכלים לגיטימיים – או במקרים בהם קוד זדוני עבר התאמה לקמפיין מסוים, או אפילו לקורבן ספציפי. עם זאת, יצירה של חוקי YARA איכותיים ובחינה שלהם עלולה לגזול זמן רב.

לא נדבקים ולא מתים

כדי להתמודד עם הבעיה הזו, חוקרי קספרסקי יצרו את KLara: מערכת מבוזרת אשר יכולה להריץ חיפושים מהירים ומבוזרים, על פי סדרה של חוקי YARA – הכוללים כמה חוקים וכמה דוגמיות –  כולל אוספי קוד זדוני פרטיים של החוקר. הדבר מאפשר לזהות דוגמיות רלוונטיות במהירות גדולה יותר, ולספק למשתמשים הגנה מהירה יותר.

דן דמיטר, חוקר אבטחה בענקית אבטחת המידע הרוסית ואחד מיוצרי Klara, אמר כי "זיהוי של איומי סייבר דורש כלים ומערכות המסוגלים לצוד קוד זדוני ביעילות – במיוחד כאשר עוקבים אחר קמפיינים של איומים מתקדמים וממוקדים לאורך חודשים, או אפילו שנים".

לדבריו, "יצרנו את  Klara כדי לסייע לנו לצוד איומים טוב יותר ומהר יותר, וכעת אנו מעוניינים לשתף את הכלי עם יתר קהילת האבטחה, כך שכולם יוכלו ליהנות מיתרונותיה".

לקספרסקי יש כלי נוסף, שנוצר ושותף ב-2017. הכלי, BitScout,  נוצר על ידי חוקר האבטחה הראשי ויטאלי קמלוק, והוא מסוגל לאסוף מרחוק נתוני פורנזיקה, כגון דוגמיות קוד זדוני, בלא סיכון להדבקה, או אובדן.