Un altro esempio di come l’intelligenza artificiale può aiutare la cybersecurity. Gli esperti di ESET hanno rilasciato un whitepaper dove illustrano come un modello di machine learning li aiuterà a trovare nuovo malware per UEFI.
L’UEFI, Unified Extensible Firmware Interface, è il firmware che da qualche anno ha preso il posto del vecchio BIOS nei computer. Purtroppo esiste malware anche per UEFI, il primo – chiamato LoJax – è stato scoperto proprio da ESET circa un anno fa.
Poiché i prodotti ESET dispongono di uno scanner UEFI, cosa non comune in altri prodotti di cybersecurity, l’azienda di sicurezza si è trovata in una posizione privilegiata che le ha consentito di ottenere un elevato numero di sample dalla telemetria dei clienti e da altre fonti: in due anni sono stati raccolti oltre 5,5 milioni di eseguibili UEFI, di cui 2,5 milioni sample univoci.
Analizzarli manualmente non era possibile, così i ricercatori hanno studiato prima un modo per estrarre determinate caratteristiche da ogni sample, arrivando anche a migliaia di feature distinte per un eseguibile. Dopodiché hanno implementato un algoritmo vp-tree per per far emergere i risultati dissimili dalla normalità, costruendo un meccanismo automatico che – testato su malware UEFI reale – è in grado di individuare firmware sospetti separandoli dalla massa di eseguibili UEFI normali.
Secondo ESET (che non è nuova a questo tipo di tecnologie, avendo implementato una rete neurale per l’analisi del malware già nel 1998) questa procedura automatizzata riesce a ridurre il lavoro degli analisti del 90%, consentendo loro di concentrarsi solo sulle analisi manuali dei sample sospetti.
Il whitepaper di ESET è disponibile qui (pdf).
Per approfondire: Needles in a haystack: Picking unwanted UEFI components out of millions of samples
