思科公司的Talos智能與研究小組于本周一公布了一套新的開源框架，專門用于自動生成基于惡意軟件的反病毒簽名。

根據(jù)思科方面的描述，這款名為BASS的新型工具屬于一款自動化簽名合成器。該框架能夠根據(jù)以往的惡意軟件簽名組合創(chuàng)建新簽名，其主要目標在于改善資源利用率并簡化惡意軟件分析的工作流程。

Talos小組解釋稱，BASS的設計目標在于生成更多基于模式——而非基于哈希值的簽名，從而降低思科ClamAV開源反病毒引擎的資源占用量。該款工具亦有助于減少負責編寫基于模式之病毒簽名的分析師們的日常工作量。

這套由Python語言編寫而成的框架作為一套Docker容器集群存在，這種與容器技術相結(jié)合的作法保證其能夠輕松實現(xiàn)擴展，同時可利用Web服務與其它工具進行交互。

根據(jù)Talos小組的介紹，每天被添加至ClamAV數(shù)據(jù)庫當中的簽名成千上萬，而其中大多數(shù)屬于基于哈希值的簽名。哈希值類簽名的最大問題在于，相較于基于字節(jié)碼與模式的簽名相比，其僅可用于標識單一文件而非整體惡意軟件集群。另外，其還存在內(nèi)存占用量更大等其它一些弊端。

相比之下，基于模式的簽名較字節(jié)碼類簽名更易于維護，思科公司也正因為如此而更傾向于選擇模式類簽名機制。

此次公布的BASS框架從多種來源處收集惡意軟件集群，并利用ClamAV解包器對各個文件進行解包。一旦惡意軟件集群經(jīng)過過濾并確保文件內(nèi)容符合BASS所設定的輸入預期（即屬于便攜式可執(zhí)行文件），則BASS框架會利用IDA Pro或者其它反匯編程序?qū)ζ涠M制文件進行解析，進而搜索樣本當中可用于生成簽名的通用代碼。

目前BASS框架Alpha版本的源代碼已經(jīng)被發(fā)布在GitHub之上。思科公司的Talos小組將繼續(xù)對該工具進行維護，也歡迎一切有助于實現(xiàn)功能改進的反饋意見。

BASS地址：https://github.com/Cisco-Talos/bass