KLara, il tool creato internamente da Kaspersky Lab per accelerare la ricerca di campioni di malware, è diventato un sistema open source, disponibile per tutti. KLara è uno scanner per malware distribuito e rule-based in grado di eseguire più regole su più database contemporaneamente, che permette ai ricercatori di individuare le minacce avanzate in modo più efficace.
Rilevare campioni di malware correlati, infatti, è una parte fondamentale della ricerca sulle minacce informatiche: aiuta i ricercatori a monitorare le cyberminacce nel tempo e a proteggere gli utenti da ogni aspetto di un’operazione dannosa.
Molti ricercatori si affidano alle regole YARA, che consentono di identificare i malware correlati cercando caratteristiche o modelli specifici.
Le regole YARA sono particolarmente utili quando si monitorano i gruppi criminali e le campagne avanzate, che coinvolgono malware “fileless” o tool legittimi o quelli in cui il codice dannoso viene adattato a singole campagne o addirittura alle vittime. Tuttavia, la creazione di regole YARA di qualità e il loro collaudo possono richiedere molto tempo.
È per risolvere questo problema i ricercatori di Kaspersky Lab hanno creato KLara: un sistema distribuito in grado di eseguire una serie rapida e ripartita di ricerche YARA, mettendo in atto più regole e più raccolte di campioni, incluse le raccolte private di malware dei ricercatori.
Questo metodo permette di identificare in modo più veloce i campioni correlati, consentendo una protezione più rapida degli utenti. Il team ha reso KLara un tool “open source”, disponibile per tutti.
“Rilevare le minacce informatiche richiede strumenti e sistemi in grado di ricercare efficacemente malware, in particolare quando si tracciano campagne nocive mirate e avanzate in mesi o addirittura anni di attività. Abbiamo creato KLara per aiutarci a individuare le minacce in modo migliore e più veloce; ora vogliamo condividerlo con il resto della community di cybersicurezza in modo che tutti possano godere dei benefici del nostro tool”, ha dichiarato Dan Demeter, Security Researcher di Kaspersky Lab e uno dei creatori di KLara.
Il software è disponibile su GitHub.
I dettagli tecnici e le API possono essere trovati su Securelist.
Il software è open-source sotto GNU General Public License v3.0 e disponibile senza alcuna garanzia da parte degli sviluppatori.
L’account GitHub di Kaspersky Lab include anche un altro tool, creato e condiviso dai ricercatori di Kaspersky Lab nel 2017. Il suo nome è BitScout, un tool creato dal ricercatorr nel campo della sicurezza Vitaly Kamluk, che può raccogliere da remoto dati forensi essenziali come campioni di malware senza rischi di contaminazione o di perdita.
