Business Solutions
Partners
Antivirus

Internet Security

Viajes

Nuestra historia
Zona de prensa
Quiénes Somos

Área Partners
Contacto
Abrimos un sistema para intercambiar muestras de malware entre socios de la industria AV. En la siguiente publicación, explicamos nuestra motivación, detalles técnicos y uso del sistema.
Motivación
Como proveedor de software antivirus, intercambiamos IOC y muestras de malware actuales con nuestros socios de la industria. Esta ha sido una práctica común entre los proveedores durante muchos años, pero no existe un estándar para esto y los enfoques utilizados para el proceso tienen inconvenientes específicos. Por ejemplo, algunos proveedores ofrecen malware nuevo en archivos zip.
Idea
Nuestra idea es proporcionar un sistema de intercambio estandarizado que cumpla con los siguientes criterios:
Creación de conjuntos de muestras
Por lo general, desea decidir qué muestras compartir con qué socio. Para eso, es útil poder asignar muestras individuales a conjuntos. Luego, un socio recibe una lista de muestras asignadas a su conjunto respectivo.
Uso
Nuestro sistema de intercambio de malware proporciona dos puntos finales.
Una solicitud GET contra el punto final de la lista con un encabezado de autenticación devuelve una lista de Json Web Tokens (JWT) , donde cada JWT contiene una muestra y metainformación al respecto. Un ejemplo de JWT de la lista se ve así:
El JWT consta de tres partes, separadas por un punto. La primera parte es un encabezado que contiene información sobre el algoritmo criptográfico utilizado en la última parte del JWT, que es una firma. La parte central es la carga útil codificada en base64 y se puede decodificar fácilmente.
El campo exp en el token es una fecha de vencimiento. Ya no se puede descargar una muestra después de que el token haya caducado. Para descargar la muestra, se requiere un nuevo token.
El usuario ahora puede filtrar las muestras según el hash y la metainformación proporcionada. Con base en esos criterios, el usuario puede decidir qué muestras le interesan. En el segundo paso, el usuario envía los tokens de las muestras que le interesan al segundo punto final, que valida la firma del token y la fecha de vencimiento. Si todo coincide, se está descargando la muestra.
Un ejemplo de solicitud de curl para descargar la lista de muestras disponibles se ve así:
Para obtener una muestra, envíe el JWT correspondiente:
Abrimos nuestro nuevo sistema de intercambio de malware bajo la licencia MIT en GitHub: Malware Exchange System
Continuaremos desarrollando el sistema en GitHub y esperamos que otros proveedores de antivirus o instituciones de seguridad adopten el sistema para que el intercambio de muestras de malware sea lo más fácil posible. Como próximos pasos, mejoraremos la documentación y brindaremos más información sobre la configuración del sistema.
No dude en contactarnos en GitHub si tiene preguntas sobre el sistema.
Enlace:https://www.gdatasoftware.com/blog/2020/10/36410-a-modern-sample-exchange-system Blog de G DATA