Los investigadores de seguridad de Kaspersky Lab han colocado a KLara, una herramienta creada internamente para acelerar la búsqueda de muestras de malware relacionadas, en un dominio de fuente abierta para que todos la utilicen. KLara es un buscador de malware distribuido y basado en reglas que puede ejecutar, al mismo tiempo, múltiples reglas en diferentes bases de datos, lo que permite a los investigadores detectar amenazas avanzadas en una forma más eficaz.
La detección de muestras de malware relacionadas es una parte clave de la investigación de amenazas, pues ayuda a los analistas a rastrear ciberamenazas a lo largo del tiempo y protege a los usuarios contra el alcance total de una operación maliciosa. Muchos investigadores se basan en las reglas YARA, que ayudan a identificar malware relacionado mediante la búsqueda de características o patrones específicos.
Las reglas YARA son especialmente útiles al rastrear agentes de amenazas avanzadas, así como operaciones donde intervienen malware ‘sin archivos’ o herramientas legítimas, o aquellas en las que el código malicioso se adapta a campañas individuales o incluso a las víctimas. Sin embargo, crear reglas YARA de calidad y probarlas puede ser una operación que consume bastante tiempo.
Para abordar este problema, los investigadores de Kaspersky Lab crearon KLara: un sistema distribuido que puede ejecutar una serie de búsquedas YARA en simultáneo, mediante varias reglas y recopilaciones de muestras, incluso compilaciones privadas de malware de los investigadores. Esto permite que las muestras relacionadas se identifiquen más rápidamente, lo que resulta en una protección más eficaz para los usuarios. Ahora, el equipo ha pasado KLara a un dominio de fuente abierta, donde todos la pueden utilizar.
«La detección de amenazas cibernéticas requiere de herramientas y sistemas que puedan buscar malware con eficacia, especialmente cuando se rastrean campañas avanzadas de amenazas dirigidas durante meses o incluso años de actividad. Creamos KLara para que nos ayude a buscar amenazas de una manera mejor y más rápida, y ahora nos gustaría compartirla con el resto de la comunidad de seguridad para que todos puedan disfrutar de los beneficios de esta herramienta», comenta Dan Demeter, investigador de seguridad en Kaspersky Lab y uno de los creadores de KLara.
El software está disponible en la cuenta oficial GitHub de Kaspersky Lab:
https://github.com/KasperskyLab
Se pueden encontrar más detalles técnicos y de API en nuestro blog: Securelist.
El software es de fuente abierta bajo la Licencia Pública General GNU v3.0 y está disponible sin garantía por parte de los desarrolladores.
La cuenta GitHub de Kaspersky Lab también incluye otra herramienta, creada y compartida por los investigadores de Kaspersky Lab en 2017. Esa herramienta, de nombre BitScout, fue creada por Vitaly Kamluk, investigador principal de seguridad para Kaspersky Lab, y puede recopilar a distancia datos forenses vitales como las muestras de malware sin riesgo de contaminación o pérdida. Se puede encontrar más información sobre BitScout aquí.