Kaspersky Lab maakt gedistribueerde versie van malwarescanner YARA beschikbaar

malware

Het Global Research & Analysis Team (GReAT) van Kaspersky Lab lanceert een gedistribueerde variant van YARA, een open source tool die wordt gebruikt om onbekende varianten van malware op te sporen. De tool heet KLara en zoekt naar patronen en kan op basis van complexe criteria verdachte bestanden herkennen.

Dit meldt Kaspersky Lab in een blogpost op SecureList. YARA is een tool die oorspronkelijk is ontwikkeld door Victor Manuel Alvarez, een beveiligingsonderzoeker die werkzaam is bij VirusTotal. Kaspersky Lab geeft aan veel open source projecten te gebruiken voor R&D-doeleinden en met de gedistribueerde variant van YARA terug te willen geven aan de open source community.

'Traditionele maatregelen zijn niet langer effectief'

Traditionele beschermingsmaatregelen zijn volgens Kaspersky Lab in het hedendaagse complexe dreigingslandschap niet langer effectief. Het is volgens het team van groot belang moderne beveiligingssystemen uit te rollen, in combinatie met continue netwerkmonitoring en incident response om hardware en software effectief te kunnen beschermen. Maatregelen die gisteren echter effectief waren, garanderen vandaag niet hetzelfde niveau van zekerheid. Indicators of Compromise (IoC) kunnen helpen bekende malware of een actieve infectie op te sporen. Steeds vaker worden tools echter op maat ontwikkeld voor een specifiek doelwit, waardoor IoC's veel minder effectief zijn.

YARA biedt uitkomst. Wie de juiste detectieregels instelt kan volgens Kaspersky Lab met behulp van YARA onbekende malware, exploits en zero-days opsporen die op geen enkele andere wijze gevonden hadden kunnen worden. De regels kunnen worden toegepast op netwerken en op meerdere multiscannersystemen. Kaspersky Lab stelt dat een tool als YARA echter de beste resultaten oplevert indien deze wordt toegepast op een grote hoeveelheid data. Hiervoor is echter veel rekenkracht nodig.

Beschikbaar via webinterface

Met KLara maakt Kaspersky Lab nu een gedistribueerde variant van YARA beschikbaar. KLara is geschreven in Python en stelt onderzoekers in staat één of meerdere YARA regels toe te passen op een grotere verzameling samples. KLara kan worden beheerd via een webinterface, waar gebruikers nieuwe taken kunnen klaarzetten, de status van taken kunnen bekijken en scanresultaten kunnen inzien. Zodra scanresultaten beschikbaar zijn, worden onderzoekers hiervan via e-mail op de hoogte gesteld.

De broncode van KLara is door Kaspersky Lab vrijgegeven op GitHub onder een GNU General Public License v3.0. Meer informatie over de tool is hier te vinden.

Lees ook
Nieuwe versies FinSpy spionagesoftware in omloop

Nieuwe versies FinSpy spionagesoftware in omloop

Kaspersky-experts hebben nieuwe versies ontdekt van de geavanceerde kwaadaardige spionagetool FinSpy. Deze varianten werken op iOS en Android-apparatuur en zijn in staat activiteiten te volgen van zo goed als alle populaire berichtendiensten ondanks versleuteling. De nieuwe FinSpy versies wissen bovendien hun sporen beter uit dan vorige versies. Zo...

Mac-malware en webapplicatie-exploits winnen aan populariteit

Mac-malware en webapplicatie-exploits winnen aan populariteit

De dreiging van malware groeit, zo blijkt uit de nieuwste editie van het Internet Security Report van WatchGuard Technologies. De securityspecialist detecteerde in het eerste kwartaal van 2019 maar liefst 62 procent meer malware dan in het kwartaal daarvoor. Cybercriminelen maken gebruik van een breed scala aan aanvalstechnieken, waaronder schadelijke...

G DATA ziet explosieve toename van Emotet malware

G DATA ziet explosieve toename van Emotet malware

Eerste halfjaar van 2019 zijn meer varianten waargenomen dan in heel 2018  G DATA kondigt aan dat het een explosieve toename ziet van Emotet malware. De onderzoekers van G DATA SecurityLab namen het afgelopen halfjaar meer varianten van de malware waar dan in heel 2018. In het eerste halfjaar van 2019 zag G DATA SecurityLab maar liefst 33.000 varianten,...