ameaças
Os pesquisadores de segurança da Kaspersky Lab disponibilizaram o KLara, ferramenta criada internamente para acelerar a pesquisa de amostras de malware relacionadas, em um domínio de software livre. O KLara é um verificador de malware distribuído baseado em regras capaz de executar simultaneamente várias outras em diferentes bancos de dados, possibilitando uma busca mais eficaz de ameaças avançadas.
A detecção de amostras de malware relacionadas é uma parte fundamental da pesquisa de malware, pois ajuda os pesquisadores a rastrear ameaças cibernéticas ao longo do tempo e proteger os usuários de operações mal-intencionadas. Muitos pesquisadores utilizam as regras YARA para identificar malware relacionados por meio da análise de características ou padrões específicos.
As regras YARA são especialmente úteis ao rastrear agentes de ameaças avançadas e operações que envolvem malware ‘sem arquivos’, ferramentas legítimas ou aquelas em que o código malicioso foi adaptado para campanhas ou até vítimas específicas. No entanto, pode ser demorado criar e testar regras bem-elaboradas.
Para lidar com essa questão, os pesquisadores da Kaspersky Lab criaram o KLara: um sistema distribuído capaz de executar rapidamente uma série distribuída de pesquisas da YARA, envolvendo várias regras e diferentes coleções de amostras, inclusive as dos pesquisadores. Assim, as amostras relacionadas podem ser identificadas mais rapidamente, proporcionando proteção imediata para os usuários.
“A detecção de ameaças virtuais requer ferramentas e sistemas capazes de buscar o malware com eficiência, especialmente ao rastrear campanhas de ameaças direcionadas avançadas durante meses ou até anos de atividade. Nós desenvolvemos o KLara para nos ajudar a buscar ameaças de forma mais rápida e assertiva, e queremos compartilhar esse recurso com toda a comunidade de segurança para que todos possam tirar proveito da ferramenta”, diz Dan Demeter, pesquisador de segurança da Kaspersky Lab e um dos criadores do KLara.
Outros detalhes técnicos estão disponíveis no Securelist. O software de código aberto é disponibilizado sob a GNU General Public License v3.0 e sem qualquer garantia dos desenvolvedores.
Dicas