Kaspersky Lab maakt gedistribueerde versie van malwarescanner YARA beschikbaar
Het Global Research & Analysis Team (GReAT) van Kaspersky Lab lanceert een gedistribueerde variant van YARA, een open source tool die wordt gebruikt om onbekende varianten van malware op te sporen. De tool heet KLara en zoekt naar patronen en kan op basis van complexe criteria verdachte bestanden herkennen.
Dit meldt Kaspersky Lab in een blogpost op SecureList. YARA is een tool die oorspronkelijk is ontwikkeld door Victor Manuel Alvarez, een beveiligingsonderzoeker die werkzaam is bij VirusTotal. Kaspersky Lab geeft aan veel open source projecten te gebruiken voor R&D-doeleinden en met de gedistribueerde variant van YARA terug te willen geven aan de open source community.
'Traditionele maatregelen zijn niet langer effectief'
Traditionele beschermingsmaatregelen zijn volgens Kaspersky Lab in het hedendaagse complexe dreigingslandschap niet langer effectief. Het is volgens het team van groot belang moderne beveiligingssystemen uit te rollen, in combinatie met continue netwerkmonitoring en incident response om hardware en software effectief te kunnen beschermen. Maatregelen die gisteren echter effectief waren, garanderen vandaag niet hetzelfde niveau van zekerheid. Indicators of Compromise (IoC) kunnen helpen bekende malware of een actieve infectie op te sporen. Steeds vaker worden tools echter op maat ontwikkeld voor een specifiek doelwit, waardoor IoC's veel minder effectief zijn.
YARA biedt uitkomst. Wie de juiste detectieregels instelt kan volgens Kaspersky Lab met behulp van YARA onbekende malware, exploits en zero-days opsporen die op geen enkele andere wijze gevonden hadden kunnen worden. De regels kunnen worden toegepast op netwerken en op meerdere multiscannersystemen. Kaspersky Lab stelt dat een tool als YARA echter de beste resultaten oplevert indien deze wordt toegepast op een grote hoeveelheid data. Hiervoor is echter veel rekenkracht nodig.
Beschikbaar via webinterface
Met KLara maakt Kaspersky Lab nu een gedistribueerde variant van YARA beschikbaar. KLara is geschreven in Python en stelt onderzoekers in staat één of meerdere YARA regels toe te passen op een grotere verzameling samples. KLara kan worden beheerd via een webinterface, waar gebruikers nieuwe taken kunnen klaarzetten, de status van taken kunnen bekijken en scanresultaten kunnen inzien. Zodra scanresultaten beschikbaar zijn, worden onderzoekers hiervan via e-mail op de hoogte gesteld.
De broncode van KLara is door Kaspersky Lab vrijgegeven op GitHub onder een GNU General Public License v3.0. Meer informatie over de tool is hier te vinden.
Meer over
Lees ook
De grootste mobiele bedreigingen van 2021: mobiel bankieren en gaming
In 2021 zag Kaspersky een gestage afname van het aantal aanvallen op mobiele devices, terwijl cybercriminelen hun inspanningen bundelden om in plaats daarvan gevaarlijkere (en winstgevendere) bedreigingen te creëren. Nieuwe mobiele malware is steeds complexer geworden, met nieuwe manieren om de bank- en gaminggegevens van gebruikers te stelen, eve1
Proofpoint: TA2541 in vogelvlucht
TA2541 is een hardnekkige cybercriminele groep die verschillende remote access trojans (RAT's) verspreidt. De groep richt zich onder andere op de luchtvaart-, ruimtevaart-, transport- en defensiesector. Proofpoint heeft deze groep sinds 2017 gevolgd, en ontdekte dat de groep sindsdien dezelfde tactieken, technieken en procedures (TTP's) heeft gebr1
Ugg Boots 4 Sale: Een verhaal over Palestijnse spionage
Eind 2021 constateerde Proofpoint een complexe aanvalsketen die gericht was op regeringen in het Midden-Oosten, denktanks op het gebied van buitenlands beleid en een luchtvaartmaatschappij die aan de staat gelieerd was. In drie maanden tijd heeft Proofpoint drie subtiele variaties van deze aanvalsketen waargenomen. Proofpoint schrijft deze campagn1