Prazis - Fotolia
Kasperky ouvre son outil d’aide à la recherche de maliciels
Baptisé Klara, il est conçu pour faciliter la recherche d’échantillons liés entre eux à l’aide de règles de détection Yara appliquées à des requêtes exécutées de manière distribuée.
Kaspersky vient de verser à l’open source son outil de chasse aux menaces, développé en interne pour faciliter et industrialiser la création de règles Yara pour trouver des échantillons de maliciels liés entre eux, baptisé Klara.
Les règles Yara permettent de trouver et regrouper les échantillons sur la base de caractéristiques et de similitudes. Elles sont particulièrement utiles pour les maliciels sans fichier. Mais voilà, comme le souligneKaspersky dans un billet de blog, « créer des règles Yara de qualité et les tester peut être chronophage ». Et c’est là que doit intervenir Klara, « un système distribué capable d’exécuter des séries distribuées rapides de recherches Yara, impliquant des règles et des jeux d’échantillons multiples ». De qui permettre d’identifier plus rapidement les échantillons liés entre eux.
Sur GitHub, où a été déposéle code de Klara, Kaspersky explique que l’outil s’adresse notamment aux jeux d’échantillons de maliciels de plus de 1 To. Et là, selon lui, Klara permettrait d’analyser 10 To de fichiers en environ une demi-heure. L’outil, écrit en Python, présente une interface Web mais expose aussi une API permettre d’automatiser la soumission des requêtes Yara, d’en vérifier la progression, et d’en collecter les résultats. L’API n’est pas encore pleinement documentée.
L’utilité d’un outil tel que Klara apparaît évident au sein d’organisations spécialisées dans la recherche des menaces, le renseignement sur les menaces, voire dans certaines situations de réponse à incidents. Mais pour un éditeur comme Kaspersky, cela peut constituer un avantage concurrentiel. Dès lors il ne serait pas surprenant que l’éditeur dispose déjà, en interne, d’outils plus efficaces encore.
Dans son billet de blog, Kaspersky rappelle que Klara n’est pas le premier outil qu’il verse à l’open source. L’été dernier, il avait ainsi ouvert Bitscout, un outil dédié à la collecte à distance d’indices sur des systèmes compromis. Il permet à un intervenant local de construire un support de démarrage Linux grâce auquel les équipes d’investigation pourront se connecter en SSH à l’hôte étudié, via un lien VPN vers le serveur de l’expert local.