De Australian Signals Directorate (ASD), heeft Azul uitgebracht. Die open source tool kan gebruikt worden voor grootschalige malware-analyse. Het systeem is bedoeld voor beveiligingsteams in grote organisaties en overheden en kan tientallen miljoenen samples opslaan en analyseren.
De ASD is het Australische cyberagentschap en de organisatie maakt zelf ook gebruik van de tool. Azul richt zich op het automatiseren van terugkerende analysetaken. Bij handmatige reverse engineering kost dat veel tijd. Zo kost het verzamelen van dreigingsindicatoren uren, het bepalen van de mogelijkheden van malware dagen en een grondige analyse neemt makkelijk maanden in beslag.
Met Azul moet dit proces aanzienlijk versneld worden. De tool automatiseert deze stappen door een gestructureerde database te combineren met slimme functies voor data-extractie, diepgaande binaire analyse en het groeperen van vergelijkbare malware-samples.
De broncode is beschikbaar via ASD’s ACSC GitHub, inclusief documentatie en componenten voor het integreren van aanvullende analytische functies. Azul identificeert niet zelf of bestanden kwaadaardig zijn schrijft de ASD. Samples moeten eerst als verdacht worden aangemerkt, waarna Azul de diepgaande analyse overneemt.
Schaalbare opslag en geautomatiseerde analyse
De malware-database slaat alle belangrijke broninformatie op, zoals hostnamen, bestandsnamen en tijdstippen van een upload. Dankzij een S3-gebaseerd systeem kan het platform moeiteloos tientallen miljoenen bestanden permanent bewaren. Dat maakt het ideaal voor cybersecurity-teams die data voor lange tijd moeten opslaan.
Daarnaast automatiseert de ‘analytical engine’ het handmatige werk van analisten. Het systeem bevat tools voor het uitpakken van archieven, het scannen van Office-documenten en het toepassen van Yara- en Snort-regels. Een ander voordeel is dat je oude bestanden opnieuw kunt laten scannen zodra er nieuwe plug-ins of inzichten beschikbaar zijn. Zo kun je achteraf checken en ontdekken of een incident in het verleden toch meer teweeg heeft gebracht dan eerder gedacht.
Belangrijke beveiligingscertificaten op miljoenen pc’s verlopen in 2026
Clustering en threat intelligence
Dankzij de integratie met OpenSearch helpt Azul gebruikers om snel overeenkomsten tussen verschillende malware-samples te vinden. Analisten kunnen hierdoor patronen in de ontwikkeling herkennen. Daarnaast is het ontdekken of verschillende aanvallen gebruikmaken van dezelfde achterliggende infrastructuur relatief makkelijk.
Wat Azul echt moet onderscheiden van andere open-source tools, is de sterke focus op grootschalige automatisering en het leggen van slimme verbanden. Via een centrale web-interface hebben analisten direct toegang tot allerlei functies. Daarbij kan gedacht worden aan in-browser doorzoekbare hex-weergaven, decompilatie-output en systeemlogs. Bovendien herkent en ontcijfert het platform automatisch verborgen kenmerken, bijvoorbeeld versleutelde weblinks.
Om de veiligheid te waarborgen, kunnen gevoelige samples worden afgeschermd met specifieke beveiligingslabels die de toegang strikt controleren. Tot slot is ook het opschonen van oude data en metadata volledig naar eigen wens en beleid in te stellen.