image

Opensource Razorback spot zero-day exploits

woensdag 28 juli 2010, 13:25 door Redactie, 0 reacties

De makers van het populaire IPS Snort hebben een nieuw opensource project aangekondigd dat zero-day exploits en malware moet herkennen. Razorback, zoals het door Sourcefire ontwikkelde framework heet, beschikt over een "defense routing system", dat bepaalde types verkeer monitort, zoals HTTP, web of SMTP-gebaseerde e-mail. De data kan vervolgens naar elk willekeurige analyse-systeem worden doorgestuurd. Razorback is zowel op servers als gateways te gebruiken, bijvoorbeeld achter de virusscanner.

Volgens Sourcefire weet Razorback welke bestanden binnen een bedrijf de interesse hebben, zoals PDF. Door Razorback gemonitorde PDF-bestanden kunnen worden doorgestuurd naar een ander analyse-systeem dat ze kan analyseren op zero-day lekken of mogelijke exploitcode.

Het routeringssysteem is niet per definitie in real-time en nog niet ontworpen om verdachte data te blokkeren. Het onderliggende idee van het project is het opzetten van meerdere manieren om tegelijkertijd gemirrorde data naar de ingestelde security points voor analyse, output en feedback naar Razorback door te sturen. Door Razorback ondersteunde tools zouden na de analyse kunnen bepalen of het bestand geblokkeerd moet worden. Op dit moment werkt Razorback onder andere met Snort, ClamAV en Postfix.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.