BASS 向けの更新プログラム
執筆者:Jonas Zaddach
、Mariano Graziano
Cisco Talos は、新しいマルウェア群からの保護能力の高速化を目的とした BASS オープンソース フレームワークに一連の改善を加えました。Talos に関連する BASS,(「バース」と発音)は、以前に生成されたマルウェア クラスタに属するサンプルからウイルス対策シグネチャを自動生成するためのフレームワークです。ハッシュベースの署名ではなく、パターンベースの署名を生成することで、ClamAV の実行に必要なリソースの量を低減します。パターンベースの署名を作成するアナリストにとっては、作業が軽減される効果もあります。フレームワークは Docker により容易に拡張可能で、開発者およびシステム管理者が分散アプリケーションの構築、発送、および実行をラップトップ、データセンター VM、クラウドで実行できるオープン プラットフォームです。
このプロジェクトではコミュニティから素晴らしいフィードバックを受けました。これは BASS のフレームワークにいくつかの改善を加えるきっかけとなりました。自動署名の生成に興味をもたれていることは明らかです。BASS はこの 10 ヶ月間に世界中の 22 名の研究者にフォークされています。主なモチベーションは、毎日収集される圧倒的な数のサンプルで、その割合の多くは悪意のあるポータブル実行可能 (PE) ファイルです。これらの新しいマルウェア群に対して迅速かつ効果的なカバレッジを提供するため、常に競争があります。
BASS の最初のリリースは非常に実験的で、すべてのアルファ ソフトウェア同様に改善の余地がありました。私達はフレームワークに取り組んできました。コミットされた変更と BASS の新機能を以下に取り上げます。BASS の詳細な分析については、私達のトークのビデオと Recon セキュリティ会議のプレゼンテーション 、および Talos のブログ をご覧ください。
BASS 向けの変更の最初のセットでは、検出プロセスに関与するプログラムが正しく更新されているか確認します。BASS は、インタラクティブな逆アセンブラー IDA Pro に基づいています。IDA Pro を支える Hex-Rays は、逆アセンブラの新しいバージョンを定期的にリリースしています。2017 年 9 月の IDA 7.0 発売は意義深いものでした。IDA は今ではネイティブ 64 ビット アプリケーションだからです。BASS の最初のパブリック リリースは IDA 6.95 に基づいており、新しいリリースでは Docker コンテナにインスールされている IDA 7.0 を正式にサポートします。Binexport は BASS の別の主要コンポーネントです。Binexport は IDA Pro のプラグインで、IDA から BinDiff および BinNavi に必要な情報のエクスポートに不可欠です。IDA 7.0 での大規模な変更を受けて、binexport の著者はその更新をサポートしている binexport 10 をリリースしました。BASS は、IDA Pro 7.0 でDocker での作業環境に binexport10 を統合します。このコンテナは、IDA7 ディレクトリ下にあります。
分析および自動署名の生成に関して、次の変更がプッシュされています。
- 基本ブロックが 10 未満の関数をフィルタリング
- IDA により自動的に認識される関数をフィルタリング (例えば FLIRT など)
- 関数ホワイトリスト サポート
- 関数重量計算を担当する強化されたコード
- アンチデバッグと興味深い API を含む機能への加重
- Msvcrt 関数が含まれる関数の軽減
- クライアントは指定されたクラスタに最適な署名を見つけることが可能
- ELF による 86_64 バイナリの実験的サポート
これらすべての改善は BASS が日常的に使用されている内部で広くテストされており、これは多くの他のマイナーなバグ修正にもつながっています。
BASS は、依存するソフトウェア更新プログラムの変更をサポートするよう常に更新していきます。膨大な数のサンプルを持つクラスタを処理するため向上したフレームワークのパフォーマンス、引き続き改良されます。ライブラリ関数を除外する最適なソリューションを引き続き研究していきます。当面は、funcdb コンテナで実装されている当社の現在のソリューションを調査およびテストすることができます。
コードは Github より利用可能です。https://github.com/Cisco-Talos/BASS
本稿は 2018年4月19日に Talos Group
Tags:
