La sandbox Yomi entra nel progetto VirusTotal MultiSandbox di Google e contribuisce a dare la caccia ai malware informatici per la difesa avanzata a servizio di tutta la comunità internazionale. Ne parliamo con il suo creatore Marco Ramilli CEO di Yoroi e Board Member in Cybaze S.p.a.
Agli inizi di Maggio il Blog di Virus Total pubblica il post di benvenuto al cacciatore di Malware Yomi nel progetto Multisandbox di VirusTotal, che ha come obiettivo quello di supportare gli utenti che la adottano per analizzare e riconoscere file malevoli. Grazie all’arricchimento progressivo delle più performanti sandbox di analisi (apparati capaci di emulare o eseguire codice sospetto per individuare pattern di attacco generando un hash code che da quel momento rende riconoscibile la minaccia per tutti) VirusTotal ha visto crescere l’utilizzo della sua piattaforma ed ha contribuito ad aumentare la conoscenza della minaccia fra i professionisti dei Security Operation Center.
Ogni sandbox scelta per essere inserita nel progetto rappresenta una peculiarità di analisi contro le minacce. Infatti, alcune sono specializzate per determinati ambienti operativi e sistemi mentre altre sono configurabili per adeguarsi all’ambiente di lavoro che può rappresentare un target di attacco.
Che cosa fa Yomi
La sandbox italiana Yomi effettua l’esecuzione controllata di documenti dannosi, file eseguibili, installatori e script, mentre registra il comportamento di ogni file potenzialmente dannoso dentro un ambiente capace di sconfiggere le tecniche di evasione più avanzate, messe in atto da chi diffonde il malware e non vorrebbe farsi scoprire. La lista dei suoi successi di analisi è visibile sulla pagina di VirusTotal.
Per approfondire ulteriormente le caratteristiche dello strumento di analisi e per il racconto di questo bel risultato italiano in campo internazionale, abbiamo intervistato il diretto protagonista Marco Ramilli, che con il suo team, ha creato il tool e lavora da anni nell’ambito della sicurezza informatica abilitando i difensori ad una difesa proattiva e preventiva guidata dalla conoscenza.
Ci puoi raccontare come Yomi esegue il codice malevolo senza subirne gli effetti dannosi?
Yomi è definita come una SandBox automatica. Una SandBox è un sistema appositamente controllato ove è possibile detornare files sospetti ed analizzarne il comportamento studiando la differenza che si genera nel sistema ospitante, tra il momento antecedente e quello successivo alla detonazione del file sospetto. Yomi prende le sue Basi da un articolo scientifico intitolato Results-oriented security (Matt Bishiop e Marco Ramilli) pubblicato nella: 6th International Conference on Malicious and Unwanted Software. La dicitura “SandBox Automatica” indica che il tool non ha la necessita di avere l’intervento di un operatore umano, ma che è capace di svolgere tutte le operazioni in autonomia. Scendendo più nel dettaglio implementativo si può affermare che Yomi non è una singola SandBox ma piuttosto un insieme di SandBox differenti, capaci di minimizzare il più possibile l’abilità di evasione del Malware. Per questo Yomi comprende al suo interno alcune SandBox Opensource ed alcune SandBox proprietarie che sono utilizzate parallelamente ed orchestrate opportunamente al fine di presentare un risultato unanime.
Ci può raccontare come è avuto il contatto con Google?
Ci siamo proposti come tutti coloro che vogliono entrare in quel programma. Abbiamo iniziato come una sfida interna tra di noi, poi osservando progressivamente i risultati e la capacita di computazione ottenuta, ci siamo resi conto che la nostra tecnologia non era assolutamente inferiore rispetto ad altri big players internazionali. Abbiamo cosi affrontato la valutazione funzionale e di carico passandola a “pieni voti”. Abbiamo addirittura ricevuto i complimenti su due funzionalità ancora non presenti nel loro panorama: la presenza della MITRE ATT&CK matrix e l’inserimento delle connessioni di rete attraverso un processo di “Man In The Middle” (tecnica in cui qualcuno segretamente ritrasmette o altera la comunicazione tra due parti che credono di comunicare direttamente tra di loro. È solitamente usata per effettuare attacchi informatici n.d.r.) e riportate in protobuf (abbreviazione di “protocol buffers” ovvero buffer di protocollo usati per la serializzazione di dati strutturati) all’interno della threat intelligence di Google.
Che tipo interazione avete avuto con il team Google per l’integrazione della Sandbox o per la condivisione di elementi tecnologici abilitanti ad un uso efficace nel contesto Virustotal?
L’integrazione con il team di Google è stato importante. Ci hanno supportato molto sia durante la fase di valutazione sa durante la fase di “capacità di analisi”. Abbiamo anche integrato insieme la nostra SandBox, ovvero le analisi richieste a Yomi sono inserite anche su Google VT. Attualmente sono in corso altri steps di integrazione con l’infrastruttura Google VT ma ne rileveremo l’entità solo tra qualche tempo.
Che feedback state ricevendo da questa implementazione: aggiornamenti, modifiche, segnalazione Bugs, complimenti?
Attualmente abbiamo feedback molto positivi. Ovviamente il tool rientra nel processo consueto di sviluppo del software, quindi vi sono miglioramenti continui e periodici rilasci di aggiornamenti. Per questo abbiamo dovuto investire con alcune risorse dedicate al progetto, ma crediamo molto nel traguardo di essere la prima SandBox Italiana a partecipare alla piattaforma VirusTotal di Goole e crediamo di poter aiutare tutta la comunita. Nonostante gli investimenti siamo felici di poter contribuire all’incremento della sicurezza della comunità di security nazionale e internazionale.
Ora che questa tecnologia italiana è parte della Pattaforma Virustotal quale sarà il prossimo obiettivo di Cybaze e del suo team?
Abbiamo in servo altre sorprese interessanti, ma ne vorrei parlare solo una volta effettivamente realizzate.
