Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

ClamAV

Come Potenziare la Threat Intelligence con Soluzioni Antimalware Open Source

Andrea Cavallini : 2 Maggio 2024 07:51

La Threat Intelligence ha molteplici campi di applicazione, a partire dal controllo delle infrastrutture tramite processi di automazione fino all’incremento della sicurezza relativa al perimetro delle applicazioni e delle soluzioni informatiche in generale.

Una delle applicazioni più comuni di questo concetto sono gli strumenti antimalware, per i quali le soluzioni antivirus enterprise sono preferibili rispetto a quelle open source per due aspetti principali: le soluzioni enterprise sono coperte dal supporto ufficiale del produttore in caso di qualsiasi tipo di problema (anche se questo non è sempre vero a causa dei diversi tipi di abbonamento acquistabili) e il sistema di signatures enterprise è più preciso e aggiornato rispetto a quello delle fonti open source (nel prezzo dell’abbonamento sono ovviamente comprese le definizioni).

Cosa possiamo fare per fortificare e fare crescere le tecnologie open source da questo punto di vista?


Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Ho analizzato una delle soluzioni antivirus open source più comuni, ClamAV: questo antimalware è distribuibile su Linux, Windows e Mac e utilizza il proprio sistema di firme e definizioni.

E’ tutto qua? No, perché anche il processo di caricamento delle firme è open source ed è possibile creare database di definizioni antimalware da fonti personalizzate.

In questo flusso, la threat intelligence può aiutarci a ricevere IOC dai feed open source, centralizzando le informazioni in una soluzione applicativa come MISP , una piattaforma open source per la raccolta, l’archiviazione, la distribuzione e la condivisione di IOC (indicatori di compromissione).

Utilizzando il suo sistema API di query, possiamo estrarre dal MISP gli IOC che includono attributi di tipo SHA256 o MD5 (cioè quelli relativi a file integrity), considerando il loro campo valore. Seguendo la documentazione ufficiale di ClamAV, andiamo successivamente a creare un gruppo di file HSB (hash-based signatures) con all’interno l’elenco dei valori SHA256/MD5 estratti secondo uno specifico formato, ad esempio:

7311356d9420f387813a720981688e78:*:AgentTesla:73

Dove:

  • 7311356d9420f387813a720981688e78 è l’hash evidenziato nello screenshot precedente
  • * è l’indicatore che indica al motore antivirus di non verificare la dimensione del file analizzato
  • AgentTesla è la descrizione del malware relativo all’hash che verrà segnalato in caso di match
  • 73 è il livello funzionale minimo obbligatorio per utilizzare i caratteri wildcard nelle firme

Una volta creato ogni file HSB, questi saranno uniti in uno o più archivi comuni tramite la suite di comandi sigtool, al fine di generare uno o più file CUD (ClamAV Unsigned Database), importabili successivamente nella directory principale delle firme di ClamAV e utilizzabili per le scansioni future.

Il tuning delle firme sarà il prossimo passo del processo perché un database creato può segnalare un numero anche altro di falsi positivi, ma con un pò di lavoro avremo una soluzione antimalware open source molto utile e potente.

Andrea Cavallini
Da sempre appassionato di Cybersecurity e di hacking in generale, ha iniziato il proprio percorso nell'IT per poi approdare alla parte di sviluppo applicativo e di sistemi di controllo; si occupa principalmente di fornire soluzioni per infrastrutture critiche, è autore di articoli digitali in chiave Red Team e Blue Team e sviluppa soluzioni open source legate al mondo della sicurezza informatica.

Lista degli articoli

Articoli in evidenza

ToolShell: La Vulnerabilità zero-day in Microsoft SharePoint è sotto attacco da inizio di luglio
Di Redazione RHC - 24/07/2025

Secondo gli esperti di sicurezza informatica, diversi gruppi di hacker cinesi stanno sfruttando una serie di vulnerabilità zero-day in Microsoft SharePoint nei loro attacchi. In particolare, ...

Microsoft SharePoint nel mirino. Violata l’agenzia nucleare USA
Di Redazione RHC - 24/07/2025

Un attacco informatico di vasta portata ha violato la National Nuclear Security Administration (NNSA) degli Stati Uniti attraverso il software per documenti Sharepoint di Microsoft, ha confermato...

Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin
Di Simone D'Agostino - 23/07/2025

Nel febbraio 2025 avevamo già osservato il funzionamento di DDoSIA, il sistema di crowd-hacking promosso da NoName057(16): un client distribuito via Telegram, attacchi DDoS contro obiettivi europ...

Vulnerabilità critiche in Cisco ISE: aggiornamenti urgenti necessari
Di Redazione RHC - 23/07/2025

Le vulnerabilità critiche recentemente scoperte nell’infrastruttura Cisco sono già state sfruttate attivamente dagli aggressori per attaccare le reti aziendali. L’azienda ha co...

Red Hot Cyber Conference 2026. La Quinta edizione a Roma lunedì 18 e martedì 19 Maggio
Di Redazione RHC - 23/07/2025

La Red Hot Cyber Conference ritorna! Dopo il grande successo della terza e quarta edizione, torna l’appuntamento annuale gratuito ideato dalla community di RHC! Un evento pensato per ...