«Касперский» открыл код своего сверхбыстрого сканера вирусов

Безопасность Стратегия безопасности Новости поставщиков Интернет Веб-сервисы
мобильная версия
, Текст: Валерия Шмырова

«Лаборатория Касперского» разместила на GitHub исходный код сканера вирусов KLara, созданного на базе инструмента YARA. KLara представляет собой децентрализованную систему, способную проводить поиск в нескольких базах по нескольким правилам одновременно, что значительно экономит время.


KLara в открытом доступе

«Лаборатория Касперского» выложила в открытый доступ исходный код сканера KLara, который компания использует для более эффективного обнаружения вредоносного ПО. Инструмент доступен для скачивания на ресурсе GitHub, использовать его могут все желающие.

Как поясняет «Лаборатория», KLara особенно эффективна при работе с угрозами повышенной сложности, «бесфайловыми» троянцами, а также с кодом, переделанным индивидуально под жертву или замаскированным под легитимное ПО. Игорь Суменков, ведущий антивирусный эксперт «Лаборатории», отмечает, что подобные KLara инструменты очень актуальны при отражении долговременных целевых атак продвинутого уровня, которые могут продолжаться месяцами или годами.

YARA и KLara

KLara предназначена для поиска родственных образцов кода вредоносных программ. Как поясняет «Лаборатория», обнаружение таких образцов помогает проследить эволюцию вируса. Сравнение образцов и поиск совпадений обычно проводится по правилам YARA — известного инструмента для классификации вирусов, созданного разработчиком Виктором Альваресом (Victor Alvarez). В YARA поиск проходит с использованием уникальных характеристик и шаблонов.

KLara была создана, чтобы избавить исследователей безопасности от трудностей самостоятельной разработки и тестирования YARA. Главная трудность заключается в том, что для создания классификации вредоносного ПО нужно пропустить через YARA целую коллекцию образцов, а это отнимает много времени. Если же использовать вместо этого кастомизированную архитектуру, то можно добиться скорости сканирование порядка 10 ТБ за полчаса, как это и происходит в KLara.

kasper600.jpg
«Лаборатория Касперского» открыла исходный код своего сканера вирусов KLara

KLara представляет собой распределенную систему, благодаря чему поиск осуществляется сразу в нескольких базах, при этом применяется одновременно несколько правил. Это существенно ускоряет обнаружение вредоносных образцов, поясняет «Лаборатория», и позволяет просканировать большие коллекции вирусов достаточно быстро, что очень удобно, если коллекция находится не на компьютере исследователя, а «в поле».

В KLara реализована модель «диспетчер-рабочий», с одним диспетчером и несколькими рабочими. Диспетчер и рабочие написаны на Python, что позволяет развернуть инструмент в экосистемах Windows и UNIX.

Раскрытие кода в «Лаборатории Касперского»

Помимо KLara, летом 2017 г. «Лаборатория» выложила в открытый доступ еще один свой инструмент под названием BitScout, созданный ведущим антивирусным экспертом компании Виталием Камлюком в результате экспериментов с Live CD. BitScout предназначен для удаленного сбора цифровых «улик», которые оставляют после себя хакеры.

Напомним, что на фоне непрекращающихся проблем «Лаборатории» с властями США, которые подозревают ее в кибершпионаже, компания запускает программу открытости, подразумевающую полное раскрытие исходных кодов ее продуктов. В рамках проекта «Лаборатория» намерена открыть в разных точках планеты три центра прозрачности, в которых она станет решать различные вопросы в сфере кибербезопасности, осуществляя этот процесс совместно с клиентами, партнерами и госорганами. Первый центр появится в 2018 г., остальные — к 2020 г. Местами их расположения заявлены Азия, Европа и США.

В феврале 2018 г. в «Лаборатории» произошла утечка кода: бывший сотрудник выложил в публичный доступ часть программного кода, использующегося в продуктах компании, к которому он имел доступ в рамках своей работы. В компании уверяют, что этот код не является частью фирменного антивируса.