settembre 2, 2020

Imparare a usare le regole YARA: prevedere i cigni neri

È da molto, molto tempo che l’umanità non viveva un anno come questo. Non credo di aver mai assistito a un anno con una così alta concentrazione di cigni neri di vari tipi e forme. E non intendo quelli con le piume. Parlo di eventi inaspettati con conseguenze di vasta portata, secondo la teoria di Nassim Nicholas Taleb, pubblicata nel 2007 nel suo libro Il cigno nero. Uno degli elementi principali della teoria è che, con il senno di poi, gli eventi sorprendenti già accaduti sembrano ovvi e prevedibili; tuttavia, prima che accadano, nessuno li prevede.

Esempio: questo orrendo virus che da marzo ha messo il mondo in isolamento. Si è scoperto che c’è un’intera famiglia estesa di coronaviridae, con decine di virus, e ne vengono trovate regolarmente di nuovi. Gatti, cani, uccelli e pipistrelli ne vengono infettati. Anche gli esseri umani. Alcuni causano raffreddori comuni. Altri si manifestano… in modo diverso. Quindi, sicuramente, dobbiamo sviluppare vaccini per loro come abbiamo fatto per altri virus mortali come il vaiolo, la poliomielite e altre malattie. Certo, ma avere un vaccino non sempre aiuta. Basti pensare all’influenza, ancora nessun vaccino risolve il problema, dopo quanti secoli? E comunque, anche per iniziare a sviluppare un vaccino è necessario sapere cosa si sta cercando, e questa è più arte che scienza.

Allora, perché vi sto dicendo tutto questo? Qual è la connessione con… beh, sarà inevitabilmente o la sicurezza informatica o i viaggi esotici, giusto?! Oggi, è il primo caso.

Ora, una delle più pericolose minacce informatiche esistenti è quella degli zero-day, rare, sconosciute (a chi si occupa di sicurezza informatica e non) vulnerabilità nei software che possono provocare danni su larga scala, ma che tendono a rimanere sconosciute fino a (o talvolta dopo) il momento in cui vengono sfruttate.

Tuttavia, gli esperti di sicurezza informatica hanno alcune armi per affrontare l’ambiguità e per prevedere i cigni neri. In questo post voglio parlare di una di queste armi: YARA.

In breve, YARA aiuta la ricerca e l’individuazione dei malware identificando i file che soddisfano determinate condizioni e fornendo un approccio basato su delle regole per creare descrizioni di famiglie di malware mediante modelli testuali o binari (oh, sembra complicato. Continuate a leggere per maggiori chiarimenti). Così, questo sistema viene utilizzato per la ricerca di malware simili identificando determinate caratteristiche. L’obiettivo è quello di poter dire che certi programmi dannosi sembrano essere stati creati dalle stesse persone, con obiettivi simili.

Ok, passiamo a un’altra metafora simile a quella del cigno nero, ma a tema marino.

Diciamo che la vostra rete è l’oceano, che è pieno di migliaia di tipi di pesci, e che siete un pescatore industriale che si trova nell’oceano con la nave che getta enormi reti alla deriva per catturare i pesci, ma solo alcune specie (malware creati da particolari gruppi di hacker) sono interessanti per voi. Ora, la rete da posta è particolare. Ha compartimenti speciali e in ognuno di essi vengono catturati solo pesci di una determinata razza (caratteristiche del malware).

Poi, alla fine del turno, si raccolgono un sacco di pesci, tutti suddivisi in compartimenti, alcuni dei quali sono pesci relativamente nuovi, mai visti prima (nuovi campioni di malware) di cui non si sa praticamente nulla. Ma se si trovano in un certo compartimento, diciamo: “Sembra la specie [gruppo di hacker] X” o “Sembra la specie [gruppo di hacker] Y”.

Ecco un caso che illustra la metafora pesci/pesca. Nel 2015, il nostro guru di YARA e capo del GReAT, Costin Raiu, si è dedicato completamente alla cyber-ricerca per individuare un exploit nel software Silverlight di Microsoft. Dovreste davvero leggere quell’articolo, ma, brevemente, ciò che Raiu ha fatto è stato esaminare attentamente la corrispondenza e-mail fatta trapelare da alcuni hacker per assemblare una regola YARA praticamente dal nulla, il che ha portato a trovare l’exploit e quindi a proteggere il mondo da questo grande problema. (La corrispondenza proveniva da un’azienda italiana chiamata Hacking Team, hacker che hackerano altri hacker!)

Quindi, a proposito di queste regole di YARA…

Da anni insegniamo l’arte di creare le regole YARA. Le minacce informatiche che YARA aiuta a scovare sono piuttosto complesse, ecco perché abbiamo sempre tenuto i corsi di persona, offline, e solo per un ristretto gruppo di ricercatori di alto livello nel campo della sicurezza informatica. Naturalmente, da marzo, la formazione offline è stata difficile a causa dell’isolamento; tuttavia, il bisogno di formazione non è quasi scomparso, e in effetti non abbiamo visto alcun calo di interesse nei nostri corsi.

È naturale che i cybercriminali continuino a pensare ad attacchi sempre più sofisticati, ancor più durante il lockdown. Di conseguenza, tenere le nostre conoscenze specialistiche su YARA per noi stessi durante il lockdown stato semplicemente sbagliato. Per questo motivo: (1) siamo passati da una formazione offline a online e (2) l’abbiamo resa accessibile a tutti. Non è un corso gratuito, ma per questo livello (il più alto) il prezzo è molto competitivo e giusto per il mercato.

Vi presento:

Cos’altro aggiungere?

Ah, sì.

Ora, visti i continui problemi legati al coronavirus in tutto il mondo, continuiamo a fornire assistenza a chi si trova in prima linea. Abbiamo voluto dare una mano fin dall’inizio offrendo licenze gratuite alle organizzazioni sanitarie. Ora continuiamo aiutando una varietà di organizzazioni no profit e non governative che lottano per i diritti o che si concentrano sul rendere il cyberspazio un posto migliore (l’elenco completo è qui). Per loro, la nostra formazione YARA sarà gratuita.

Perché? Perché le ONG lavorano con informazioni molto sensibili che possono essere hackerate in attacchi mirati, e non tutte le ONG possono permettersi il lusso di assumere un dipartimento di esperti informatici.

Una rapida analisi di ciò che è incluso nel corso:

  • Formazione 100% online da seguire al ritmo desiderato. Il corso può essere svolto intensamente in poche serate o distribuito nell’arco di un mese;
  • Combinazione di teoria e di compiti pratici. All’attivo abbiamo un laboratorio virtuale per la scrittura delle regole e per la ricerca di campioni di malware;
  • Esercizi pratici basati su esempi di veri e propri attacchi di cyberspionaggio;
  • Modulo sull’arte di cercare qualcosa di cui non si ha una conoscenza precisa, quando l’intuizione vi dice che i cybercriminali sono in agguato da qualche parte ma non sapete o quale problema cercare in particolare;
  • Certificato al completamento del corso che conferma il vostro nuovo status di ninja YARA. Come ci hanno confermato i precedenti diplomati, è di grande aiuto per la carriera nel nostro settore.Ecco fatto, gente: un’altra freccia potenziale estremamente utile nel vostro arco per combattere le minacce informatiche altamente sofisticate. Nel frattempo, è tutto come al solito qui a K, dove continuiamo il nostro lavoro di cyber-detective, in modo da poter condividere ancora di più le nostre ultime conoscenze e la nostra esperienza pratica nel combattere questa battaglia.
LEGGI I COMMENTI 0
Scrivi un commento
Facebook

giugno 27, 2023

I vertici di Infosec: di nuovo al SAS, questa volta di persona!

Trombe, rullo di tamburi, applausi, acclamazioni, fischi! Ecco due fantastiche notizie per voi: una ottima, l’altra ancora meglio… La prima: quest’anno si terrà la nostra quindicesima conferenza annuale sulla sicurezza informatica, il Security Analyst Summit (SAS). Quindicesima? Incredibile… come passa il tempo!! La seconda: siamo finalmente tornati a un formato offline, ovvero presenziale, faccia a […]

gennaio 19, 2023

Bilancio del 2022: anche i brevetti stanno arrivando!

Inventare nuove tecnologie all’avanguardia è solo una parte del nostro lavoro. Aspettate, no: non va bene essere così categorici… Una nuova tecnologia all’avanguardia e rivoluzionaria comporta un processo di creazione probabilmente molto più complesso e lungo di quanto molti possano immaginare. Certo, senza invenzioni non c’è progresso, ma senza il lungo processo di creazione che […]

novembre 11, 2022

11.11: vent’anni a oggi!

Saluti ragazzi e ragazze! All’ improvviso, è arrivato il momento di festeggiare un altro anniversario. Evviva!… Il nostro sistema operativo cyber-immune, KasperskyOS, compie oggi… aspettate. No, non è esatto… Esattamente 20 anni fa, l’11 novembre 2002, abbiamo iniziato un lungo e importante viaggio, che in realtà stiamo ancora percorrendo. Si tratta di un progetto vasto […]

luglio 21, 2022

Cyber-notizie dal Lato Oscuro (e non): audace hacking di criptovalute, K diventa neuromorfo e come entrare in un data-center attraverso un… bagno!

Salve gente! Per coloro che stanno ancora sudando in ufficio e che non sono ancora potuti partire per una seria vacanza di disintossicazione digitale, ecco a voi, per non farvi sentire in colpa, alcune succose iNews, ovvero racconti dark (e light) dal mondo cibernetico, e altre storie straordinarie e difficili da credere direttamento dal mondo […]

luglio 5, 2022

Un Kuarto di secolo? Come passa il tempo!…

Salve gente! Venticinque anni e nove giorni fa, precisamente il 26 giugno 1997, è stata registrata l’azienda che porta il mio stesso nome. Non possiamo non definirle “umili origini” (nel vero senso della parola): all’epoca era un’azienda con una dodicina di persone e con un fatturato pari a zero, ma con una speciale competenza tecnologica […]

Continua

Video