新闻快讯
< >

思科公司发布BASS开源恶意软件签名生成器

E安全6月23日讯,思科公司的Talos智能与研究小组于本周一公布了一套新的开源框架,专门用于自动生成基于恶意软件的反病毒签名。

思科公司发布BASS开源恶意软件签名生成器-E安全根据思科方面的描述,这款名为BASS的新型工具属于一款自动化签名合成器。该框架能够根据以往的恶意软件签名组合创建新签名,其主要目标在于改善资源利用率并简化恶意软件分析的工作流程。

Talos小组解释称,BASS的设计目标在于生成更多基于模式——而非基于哈希值的签名,从而降低思科ClamAV开源反病毒引擎的资源占用量。该款工具亦有助于减少负责编写基于模式之病毒签名的分析师们的日常工作量。

这套由Python语言编写而成的框架作为一套Docker容器集群存在,这种与容器技术相结合的作法保证其能够轻松实现扩展,同时可利用Web服务与其它工具进行交互。

根据Talos小组的介绍,每天被添加至ClamAV数据库当中的签名成千上万,而其中大多数属于基于哈希值的签名。哈希值类签名的最大问题在于,相较于基于字节码与模式的签名相比,其仅可用于标识单一文件而非整体恶意软件集群。另外,其还存在内存占用量更大等其它一些弊端。

相比之下,基于模式的签名较字节码类签名更易于维护,思科公司也正因为如此而更倾向于选择模式类签名机制。

此次公布的BASS框架从多种来源处收集恶意软件集群,并利用ClamAV解包器对各个文件进行解包。一旦恶意软件集群经过过滤并确保文件内容符合BASS所设定的输入预期(即属于便携式可执行文件),则BASS框架会利用IDA Pro或者其它反汇编程序对其二进制文件进行解析,进而搜索样本当中可用于生成签名的通用代码。

目前BASS框架Alpha版本的源代码已经被发布在GitHub之上。思科公司的Talos小组将继续对该工具进行维护,也欢迎一切有助于实现功能改进的反馈意见。

BASS地址:https://github.com/Cisco-Talos/bass

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。