思科发布开源恶意软件特征生成器 能自动生成恶意软件特征

思科Talos情报和研究小组周一宣布推出一款开源框架,用以自动生成恶意软件的病毒特征。这款名为BASS的工具据称能够自动合成特征。框架可针对已记录集群中的恶意软件创建特征,主要目的是提高资源利用率,简化恶意软件分析。

Talos表示,BASS生成的特征多基于模式而非哈希,这样可降低对思科的开源抗病毒引擎ClamAV的资源占用,并且减轻了负责手动生成模式特征的分析师的工作负担。本框架基于Python,以Docker容器集群的形式实现,易于扩展,利用Web服务与其他工具交互。

Talos介绍,ClamAV数据库每天新增数千条特征,这些特征多基于哈希。与基于字节码和模式的特征相比,这种特征仅可识别单个文件,而不能识别整个恶意软件集群,因而会产生多个问题,包括占用更多内存空间。

与基于字节码的特征相比,基于模式的特征更易于维护,这也是思科倾向于采用这种特征的原因。

BASS框架中的恶意软件集群来源广泛,每个文件均用ClamAV解包程序解包。对恶意软件集群进行过滤以保证文件匹配BASS的期望输入(如可移植可执行(PE)文件),然后使用IDA Pro或其他反汇编程序对二进制文件进行反汇编,最后工具查找样本中的通用代码以便生成特征。

开源恶意软件特征生成器BASS

BASS的Alpha版源代码可从GitHub网站获取。工具由思科Talos维护,但公司欢迎外界反馈以优化工具功能。

使用下面的链接下载官方源代码。我们建议在生产系统上运行 clamav 稳定版本。在 "备用版本" 部分中查找 Win32、macos x、linux 和 bsd 签名。

https://www.clamav.net/downloads

发表评论