Machine Learning per riconoscere il malware UEFI

Un altro esempio di come l’intelligenza artificiale può aiutare la cybersecurity. Gli esperti di ESET hanno rilasciato un whitepaper dove illustrano come un modello di machine learning li aiuterà a trovare nuovo malware per UEFI.

L’UEFI, Unified Extensible Firmware Interface, è il firmware che da qualche anno ha preso il posto del vecchio BIOS nei computer. Purtroppo esiste malware anche per UEFI, il primo – chiamato LoJax – è stato scoperto proprio da ESET circa un anno fa.

Poiché i prodotti ESET dispongono di uno scanner UEFI, cosa non comune in altri prodotti di cybersecurity, l’azienda di sicurezza si è trovata in una posizione privilegiata che le ha consentito di ottenere un elevato numero di sample dalla telemetria dei clienti e da altre fonti: in due anni sono stati raccolti oltre 5,5 milioni di eseguibili UEFI, di cui 2,5 milioni sample univoci.

Analizzarli manualmente non era possibile, così i ricercatori hanno studiato prima un modo per estrarre determinate caratteristiche da ogni sample, arrivando anche a migliaia di feature distinte per un eseguibile. Dopodiché hanno implementato un algoritmo vp-tree per per far emergere i risultati dissimili dalla normalità, costruendo un meccanismo automatico che – testato su malware UEFI reale – è in grado di individuare firmware sospetti separandoli dalla massa di eseguibili UEFI normali.

Cluster di firmware UEFI dopo l'analisi automatica
Cluster di firmware UEFI dopo l’analisi automatica

Secondo ESET (che non è nuova a questo tipo di tecnologie, avendo implementato una rete neurale per l’analisi del malware già nel 1998) questa procedura automatizzata riesce a ridurre il lavoro degli analisti del 90%, consentendo loro di concentrarsi solo sulle analisi manuali dei sample sospetti.

Implementazione dell’intelligenza artificiale in ESET

Il whitepaper di ESET è disponibile qui (pdf).

Per approfondire: Needles in a haystack: Picking unwanted UEFI components out of millions of samples

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.