Nascita
Questo focus si è evoluto in un avanzato strumento di analisi manuale che, grazie al suo background di tecniche evasive, riesce a supportare il lavoro dell’analista di malware durante il suo lavoro. La tecnologia utilizzata si chiama Dynamic Binary Instrumentation, la quale consente di manipolare i vari file per poterli “sezionare” in maniera dettagliata, monitorando tutte le attività che esso compie mentre è in esecuzione.
L’utilizzo di questa tecnologia applicata al campo della malware analysis ha portato, parallelamente allo sviluppo di Dynamic Blue, alla pubblicazione scientifica di un articolo chiamato “SoK: Using Dynamic Binary Instrumentation for Security (And How You May Get Caught Red Handed)” che parla appunto di come aumentare la sicurezza della Dynamic Binary Instrumentation in modo da non fare individuare questo strumento ad un possibile malware attivo sul sistema di analisi. La conferenza in cui è stato pubblicato questo articolo si chiama AsiaCCS ed è stata svolta nel 2019 ad Auckland, dove Prisma ha partecipato per la presentazione dell’articolo e per scambiare pareri e considerazioni nell’ambito della Malware analysis con importanti ricercatori di aziende e di accademia.
Una volta ottenuta una buona base per lo studio delle tecniche evasive utilizzate dai malware nell’ambito della Sicurezza Informatica è stato attuato uno sviluppo sostanziale all’interno della piattaforma ossia si è voluto cercare di rendere il dimostratore un analizzatore di malware è totalmente automatizzato integrando il dimostratore fino a quel momento sviluppata con un un’infrastruttura Open Source italiana quale Cuckoo Sandbox. Il codice Open Source di questa infrastruttura è stato pesantemente modificato al fine di integrare correttamente le due soluzioni. Dato che questa non offre sistemi di protezione da tecniche evasive ed ha solamente un meccanismo di analisi che è basato su firme comportamentali dei file sospetti, si è deciso di integrare questa tecnologia con quella sviluppata internamente di Dynamic Blue che protegge l’analisi in modo tale da fornire risultati puramente più attendibili, per dar vita a un unico dimostratore proprietario capace di analizzare file provenienti da varie fonti con una accuratezza molto elevata.
Evoluzione di Dynamic Blue
Il continuo studio e l’evoluzione del progetto Dynamic Blue ha portato anche a una pubblicazione successiva chiamata “BluePill: Neutralizing Anti-Analysis Behavior in Malware Dissection” presso una conferenza di cybersecurity molto importante ossia Black Hat Europe 2019 che si è tenuta nella città di Londra. Questa pubblicazione ha raccontato di come il core della nostra piattaforma affronti le complicatissime tecniche evasive messe appunto dai malware moderni, spiegandone il funzionamento e mostrando come si possano contrastare con il giusto approccio. A questa conferenza hanno partecipato molte aziende ed esperti del settore di cybersecurity contribuendo con dei Talk sia pratici e teorici e che hanno un grande impatto all’interno della comunità scientifica, accademica e industriale poiché molte aziende usano questa conferenza come trampolino per i propri prodotti e per le proprie soluzioni tecnologiche in ambito Cyber.
I dati raccolti hanno portato poi a collezionare un ampio insieme di informazioni utili per migliorare ancora di più il dimostratore. Su questi risultati infatti sono state collezionate ulteriori ricerche scientifiche come una pubblicazione chiamata “Hardware Transactional Memory as Anti-analysis Technique for Software Protectors” effettuata presso la conferenza FICC 2020 a San Francisco (USA) su nuove tecniche di evasione che si possono sfruttare per evitare di essere realizzata una Sandbox In modo tale da proporre sia un nuovo una nuova tipologia attacco sia essere i primi che implementino una difesa verso questo tipo di attacco.
Inoltre, come focus, abbiamo studiato i più famosi programmi di Software Protection che i malware usano per cercare di proteggersi da eventuali analisi. Il risultato di questo studio ci ha permesso di capire come questi software lavorano all’interno del codice sorgente e di trovare le loro caratteristiche tecniche per evitare che si usino delle tecniche anti-analisi e che il malware che usi queste protezioni non sia verificato correttamente. Anche questo focus ha portato a una pubblicazione di un articolo scientifico chiamato “Techniques Implemented in Software Protectors: A Journey with DBI through What Protectors Use to Detect Bad Guys” presso la conferenza FTC 2020 a Vancouver, Canada, e dove appunto si sono discusse varie comparazioni e benchmark sull’uso di queste tecniche evasive all’interno dei software più sofisticati presenti sul mercato.
Nel 2021 il percorso di ricerca ha proseguito, con l’accettazione dello studio “Static Analysis of PE files Using Neural Network Techniques for a Pocket Tool” presso la International Conference on Electrical, Computer, Communications, and Mechatronics Engineering (ICECCME), tenutasi a Mauritius in ottobre.
Dynamic Blue: stato dell’arte e prossime sfide
Attualmente, Dynamic Blue è installato, testato e funzionante per le seguenti funzionalità:
– Analisi automatizzata di file EXE, PDF, WORD ed EXCEL. Il risultato dell’analisi è un report contenente un punteggio complessivo sulla pericolosità del malware e dei sotto-indicatori con la potenziale minaccia per alcune categorie di vulnerabilità predefinite. Per avviare l’analisi si deve caricare il file sospetto attraverso l’interfaccia dedicata ed attendere il risultato all’interno della propria area personale. Questa interfaccia è stata sviluppata in R ed è un semplice dimostratore per le potenzialità del dimostratore, avendo alcune mancanze necessarie per la vendita.
– Analisi manuale dei file. Dynamic Blue offre una funzionalità per l’analisi manuale dei file, andandosi ad integrare a strumenti commerciali già esistenti come IDA debugger. In questa modalità, altamente dedicata ad analisti esperti che si occupano di reverse engineering, si protegge l’analista durante il suo lavoro in maniera trasparente, in modo da non farlo scoprire dal possibile malware sotto esame.
– Sandbox per analisi automatica. Il dimostratore consiste in un’interfaccia da cui è possibile collegarsi alla piattaforma. L’utente da questa interfaccia può caricare, tramite meccanismo di Trascina&Rilascia, i file sospetti da far analizzare alla piattaforma, potendo trovare i risultati all’interno della sezione a lui dedicata. L’utente deve anche avere una dashboard dalla quale può monitorare lo stato del suo account, comprese le analisi effettuate e delle statistiche sui dati prodotti su base giornaliera, mensile e annuale.
– Strumento di supporto per analisti di malware per analisi manuali. Questa modalità è pensata per chi vuole andare ad operare direttamente con il malware, fornendo assistenza durante l’analisi integrandosi con i suoi i suoi tool preferiti e proteggendolo da possibili tecniche evasive che il malware può usare durante l’analisi. Verrà fornito a questo punto al cliente un ambiente virtuale dove l’analista può operare sia da remoto che in locale se sceglie l’installazione in-house in modo da poter analizzare in tutta sicurezza il file sospetto.
Possibili Sviluppi
Sandbox per allegati e-mail con algoritmo text mining
Risultato previsto
Questa modalità si integra perfettamente con l’algoritmo di Tex mining sviluppato internamente in azienda e permette di riconoscere le campagne di phishing e di spam ancor prima che il destinatario riceva la mail. Solo se le mail passa una prima fase di verifica in cui il nostro algoritmo di Text Mining ci dice se quella mail possa essere sospetta, si passa all’analisi degli allegati che vengono analizzati tramite la nostra piattaforma di Dynamic Blue per stilare un report di pericolosità. Solo se la pericolosità stimata è sotto una certa soglia si può inoltrare la mail al destinatario.