Η Αυστραλιανή Signals Directorate (ASD) κυκλοφόρησε το Azul, μια πλατφόρμα ανάλυσης κακόβουλου λογισμικού που έχει δημιουργηθεί για reverse engineers και ελέγχους συμβάντων. Είναι η πρώτη δημόσια έκδοση του εργαλείου, το οποίο βρίσκεται πλέον στην έκδοση 9.0.0.
Το ASD είναι η υπηρεσία πληροφοριών της Αυστραλίας, η οποία λειτουργεί υπό το Υπουργείο Άμυνας. Το Αυστραλιανό Κέντρο Κυβερνοασφάλειας (ACSC από το Australian Cyber Security Centre) χειρίζεται τις εθνικές οδηγίες κυβερνοασφάλειας και την αντιμετώπιση συμβάντων.
Λάβετε υπόψη ότι το Azul δεν είναι εργαλείο διαλογής και δεν προσδιορίζει εάν ένα αρχείο είναι κακόβουλο. Τα δείγματα θα πρέπει πρώτα να επισημαίνονται χρησιμοποιώντας ένα εργαλείο όπως το AssemblyLine του Καναδικού Κέντρου Κυβερνοασφάλειας πριν τροφοδοτηθούν στο Azul.
Η πλατφόρμα έχει κατασκευαστεί χρησιμοποιώντας Python, Golang και TypeScript. Εκτελείται σε Kubernetes μέσω Helm chart templates, χρησιμοποιεί Apache Kafka για event queuing και αποθηκεύει δείγματα σε ένα χώρο αποθήκευσης συμβατό με S3.
Η παρακολούθηση και η ειδοποίηση υποστηρίζονται μέσω των Prometheus, Loki και Grafana. Το Azul διαθέτει επίσης ένα web interface, ένα HTTP REST API και έναν headless client για ενσωμάτωση με εξωτερικά συστήματα.
Υποστηρίζει YARA rules, Snort signatures και το Maco framework για την εξαγωγή ρυθμίσεων του κακόβουλου λογισμικού. Η πρόσβαση σε δείγματα κακόβουλου λογισμικού ελέγχεται μέσω του OpenID Connect.
Το Azul έχει τρία κύρια στοιχεία.
Το αποθετήριο κακόβουλου λογισμικού για να αποθηκεύει δείγματα με μεταδεδομένα προέλευσης, συμπεριλαμβανομένων ονομάτων κεντρικών υπολογιστών, ονομάτων αρχείων, λεπτομερειών δικτύου και χρονικών σημάνσεων. Έχει σχεδιαστεί για να διατηρεί τα πάντα επ’ αόριστον, υπό την προϋπόθεση ότι παρέχεται άφθονος χώρος αποθήκευσης.
Η μηχανή ανάλυσης επιτρέπει στις ομάδες να μετατρέψουν το reverse engineering σε επαναχρησιμοποιήσιμα πρόσθετα που τρέχουν αυτόματα. Όταν ένα πρόσθετο ενημερώνεται, μπορεί να τρέξει ξανά, και μπορούν να αναδείξουν νέα ευρήματα από προηγούμενα περιστατικά.
Η σουίτα ομαδοποίησης χρησιμοποιεί το OpenSearch για να βρει μοτίβα σε δείγματα, βοηθώντας τους αναλυτές να εντοπίσουν κοινόχρηστες υποδομές, μοτίβα ανάπτυξης και ομοιότητες συμπεριφοράς. Επίσης, αντλεί δεδομένα από αναφορές του κλάδου για να ενισχύσει αυτά τα ευρήματα.
Ο πηγαίος κώδικας για το Azul μπορεί να βρεθεί στο GitHub, με άδεια χρήσης από το MIT.
Το αποθετήριο περιλαμβάνει ένα αρχείο README για να ξεκινήσετε. Η πλήρης τεκμηρίωση που καλύπτει την εγκατάσταση και τους οδηγούς προγραμματιστών φιλοξενείται στην επίσημη πύλη εγγράφων του Azul.
Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω … γιατί καμιά φορά κρύβονται οι συντάκτες.
