CISA发布免费Thorium恶意软件分析工具

来源：Dark Reading Staff，Dark Reading
2025年7月31日 | 2分钟阅读

新闻摘要

美国网络安全和基础设施安全局（CISA）与能源部桑迪亚国家实验室合作，发布了Thorium——一个自动化恶意软件和取证分析平台，旨在帮助企业防御者快速评估恶意软件威胁。

企业防御者正疲于应对海量威胁攻击，及时准确的恶意软件分析仍是一大挑战。防御者通常使用多种专用工具，分析师需不断开发新方法来分析不断演变的恶意软件。Thorium通过将防御者偏好的工具（商业、自定义和开源）集成到一个可定制平台中，并利用事件驱动触发器创建自动化分析工作流，帮助防御者实现部分分析自动化。

Thorium构建为每小时每个权限组可处理超过1000万文件摄入，每秒可调度超过1700个任务。CISA在一份声明中表示，这使得处理大量恶意软件、适应新兴威胁并有效管理工具集成为可能。该机构还指出，Thorium支持安全团队的各种角色和活动，从软件分析到数字取证再到事件响应。

网络安全团队使用Thorium自动化和加速分析的方法包括：

• 导入和导出工具，促进防御团队之间的共享。
• 将命令行工具作为Docker镜像集成，包括开源、商业和自定义软件。集成虚拟机和裸机工具需要额外配置。
• 使用标签和全文搜索过滤结果。
• 通过基于组的权限控制对提交、工具和结果的访问。
• 使用Kubernetes和ScyllaDB扩展基础设施以满足工作负载需求。
• 轻松导入和导出工具，以便在网络防御团队之间共享。

Thorium可从CISA的官方GitHub仓库获取。有兴趣使用的组织需要部署Kubernetes集群、块存储和对象存储。成功部署需要熟悉Docker容器和计算集群管理。

CISA威胁狩猎副主任Jermaine Roebuck在一份声明中表示：“通过公开提供此平台，我们使更广泛的网络安全社区能够使用高级工具进行恶意软件和取证分析。对二进制文件和数字工件的可扩展分析增强了我们识别和修复软件漏洞的能力。”

CISA此前还发布了其他工具，包括支持事件响应的驱逐策略工具（Eviction Strategies Tool），该工具生成防御者需要采取的行动，以遏制和驱逐受损网络中的对手。