思科公司發布BASS開源惡意軟體簽名生成器

E安全6月23日訊，思科公司的Talos智能與研究小組於本周一公布了一套新的開源框架，專門用於自動生成基於惡意軟體的反病毒簽名。

根據思科方面的描述，這款名為BASS的新型工具屬於一款自動化簽名合成器。該框架能夠根據以往的惡意軟體簽名組合創建新簽名，其主要目標在於改善資源利用率並簡化惡意軟體分析的工作流程。

Talos小組解釋稱，BASS的設計目標在於生成更多基於模式——而非基於哈希值的簽名，從而降低思科ClamAV開源反病毒引擎的資源佔用量。該款工具亦有助於減少負責編寫基於模式之病毒簽名的分析師們的日常工作量。

這套由Python語言編寫而成的框架作為一套Docker容器集群存在，這種與容器技術相結合的作法保證其能夠輕鬆實現擴展，同時可利用Web服務與其它工具進行交互。

根據Talos小組的介紹，每天被添加至ClamAV資料庫當中的簽名成千上萬，而其中大多數屬於基於哈希值的簽名。哈希值類簽名的最大問題在於，相較於基於位元組碼與模式的簽名相比，其僅可用於標識單一文件而非整體惡意軟體集群。另外，其還存在內存佔用量更大等其它一些弊端。

相比之下，基於模式的簽名較位元組碼類簽名更易於維護，思科公司也正因為如此而更傾向於選擇模式類簽名機制。

此次公布的BASS框架從多種來源處收集惡意軟體集群，並利用ClamAV解包器對各個文件進行解包。一旦惡意軟體集群經過過濾並確保文件內容符合BASS所設定的輸入預期（即屬於攜帶型可執行文件），則BASS框架會利用IDA
Pro或者其它反彙編程序對其二進位文件進行解析，進而搜索樣本當中可用於生成簽名的通用代碼。

目前BASS框架Alpha版本的源代碼已經被發布在GitHub之上。思科公司的Talos小組將繼續對該工具進行維護，也歡迎一切有助於實現功能改進的反饋意見。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！