Rilevare campioni di malware correlati è una parte fondamentale della ricerca sulle minacce informatiche: aiuta i ricercatori a monitorare le cyberminacce nel tempo e a proteggere gli utenti da ogni aspetto di un’operazione dannosa. Molti ricercatori si affidano alle regole YARA, che consentono di identificare i malware correlati cercando caratteristiche o modelli specifici. Le regole YARA sono particolarmente utili quando si monitorano i gruppi criminali e le campagne avanzate, che coinvolgono malware “fileless” o tool legittimi o quelli in cui il codice dannoso viene adattato a singole campagne o addirittura alle vittime. Tuttavia, la creazione di regole YARA di qualità e il loro collaudo possono richiedere molto tempo.
Per risolvere questo problema, i ricercatori di Kaspersky Lab hanno creato KLara: un sistema distribuito in grado di eseguire una serie rapida e ripartita di ricerche YARA, mettendo in atto più regole e più raccolte di campioni, incluse le raccolte private di malware dei ricercatori. Questo metodo permette di identificare in modo più veloce i campioni correlati, consentendo una protezione più rapida degli utenti. Il team ha reso KLara un tool “open source”, disponibile per tutti.
“Rilevare le minacce informatiche richiede strumenti e sistemi in grado di ricercare efficacemente malware, in particolare quando si tracciano campagne nocive mirate e avanzate in mesi o addirittura anni di attività. Abbiamo creato KLara per aiutarci a individuare le minacce in modo migliore e più veloce; ora vogliamo condividerlo con il resto della community di cybersicurezza in modo che tutti possano godere dei benefici del nostro tool”, ha dichiarato Dan Demeter, Security Researcher di Kaspersky Lab e uno dei creatori di KLara.
Il software è disponibile dall’account GitHub ufficiale di Kaspersky Lab: https://github.com/KasperskyLab
Ulteriori dettagli tecnici e API possono essere trovati su Securelist. Il software è open-source sotto GNU General Public License v3.0 e disponibile senza alcuna garanzia da parte degli sviluppatori. L’account GitHub di Kaspersky Lab include anche un altro tool, creato e condiviso dai ricercatori di Kaspersky Lab nel 2017. Il suo nome è BitScout, un tool creato da uno dei più importanti ricercatori nel campo della sicurezza, Vitaly Kamluk, che può raccogliere da remoto dati forensi essenziali come campioni di malware senza rischi di contaminazione o di perdita.
