Nelle repository di GitHub del CISA (Cybersecurity and Infrastructure Security Agency) è spuntato un progetto open-source che non è passato inosservato. Stiamo parlando di un vero e proprio toolkit e coltellino svizzero per malware analysis, incident response e analisi forense, disponibile per tutti ed installabile su Kubernetes.

Thorium, questo il suo nome, è presentato con le promesse di fornire un ambiente di analisi altamente scalabile sia di file che di repository, un’interfaccia grafica, delle API REST e molto altro. Un punto di forza del progetto è quello di essere estendibile ed utilizzabile in combinazione con gli strumenti più importanti nell’ambito cyber-defense, grazie alla sua forte modularità.

L’approccio Kubernetes, inoltre, garantisce una scalabilità elevatissima, potenzialmente mettendo le basi per utilizzare questo strumento in organizzazioni estese e farlo diventare lo stato dell’arte della difesa. Nelle repository sono già disponibili le installazioni di questo strumento sia su istanze Kubernetes multi-nodo che su istanze a singolo nodo utilizzando ad esempio Minikube.

Di seguito riportiamo l’interfaccia grafica del nuovo tool, in cui possiamo vedere la possibilità di fare upload di file, agganciare Docker containers, creare pipeline per progetti più organizzati ed attaccare tool open source come exiftool per l’analisi forense.

Come riporta anche Bleeping Computer, Jermaine Roebuck, il direttore associato del CISA responsabile del Threat Hunting, in merito al rilascio del progetto dice:

By publicly sharing this platform, we empower the broader cybersecurity community to orchestrate the use of advanced tools for malware and forensic analysis

Condividendo pubblicamente questa piattaforma, consentiamo alla più ampia comunità della sicurezza informatica di coordinare l’uso di strumenti avanzati per l’analisi forense e del malware

E aggiunge:

Scalable analysis of binaries as well as other digital artifacts further enables cybersecurity analysts to understand and address vulnerabilities in benign software

L’analisi scalabile dei file binari e di altri artefatti digitali consente inoltre agli analisti di sicurezza informatica di comprendere e affrontare le vulnerabilità presenti nei software benigni

Recentemente, il CISA ha infatti registrato un forte incremento nella condivisione di tool aperti al pubblico e di tool privati per contrastare minacce come malware o attacchi più complessi. Vediamo infatti che recentemente è stato rilasciato anche un tool utile per l’incident response e l’informatica forense e l’anno scorso è stato rilasciato Malware Next-Gen, un portale privato in cui è possibile sottomettere all’analisi dei “sample” di malware che saranno poi analizzati dai tecnici specializzati.

Insomma, c’è sempre più interesse all’analisi di malware e fenomeni legati al mondo offensive degli attacchi, non solo dal CISA, ma da tutto il panorama cyber. Infatti se da una parte sono sempre di più i servizi MaaS (Malware-as-a-service), sono anche sempre più presenti tool e portali per combattere questo trend. Prendiamo esempi come Any.RUN o Triage, delle sandbox per eseguire ed analizzare malware real time, oppure Malware Bazar, un portale aperto a tutti in cui è possibile caricare e scaricare “sample” di malware di tutti i tipi e categorie.

Negli ultimi tempi (per fortuna) stiamo assistendo a una crescita della collaborazione e alla diffusione di strumenti sempre più avanzati, ormai indispensabili per fronteggiare minacce informatiche sempre più complesse e promuovere un approccio condiviso e proattivo alla sicurezza, in un contesto dove persino acquistare malware è diventato facile come fare due click.