YARA представляет собой инструмент, позволяющий исследователям анализировать и обнаруживать вредоносное ПО, создавая правила, описывающие угрозы на основе текстовых или двоичных паттернов.

«Лаборатория Касперского» разработала собственную версию инструмента, получившую название KLara. Приложение на основе Python использует распределенную архитектуру, чтобы позволить исследователям быстро сканировать большое количество образцов вредоносных программ.

Поиск потенциальных угроз требует значительных ресурсов, которые могут предоставляться облачными сервисами. Используя распределенную архитектуру, KLara позволяет исследователям эффективно сканировать большие массивы данных на предмет одного или нескольких правил YARA. По словам представителей компании, инструмент может просканировать 10 ТБ файлов примерно за 30 минут.

«В проекте используется модель диспетчер/рабочий со стандартной архитектурой в виде одного диспетчера и нескольких рабочих. Рабочие и диспетчерские агенты написаны на Python. Поскольку рабочие агенты написаны на Python, их можно развернуть в любой совместимой экосистеме (Windows или UNIX). Такая же логика применяется к сканеру YARA (используемом в KLara): его можно скомпилировать на обеих платформах», - пояснили исследователи.

KLara предоставляет web-интерфейс, в котором пользователи могут создавать задачи, проверять их статус и просматривать результаты. Результаты также могут быть отправлены на указанный адрес электронной почты.

Инструмент также предоставляет API, который может использоваться для создания новых задач, получения результатов работы и соответствующих хешей MD5.