Desde Hispasec nos
alegra enormemente anunciar que la charla "Looking for the perfect
signature: an automatic YARA rules generation algorithm in the AI-era" de
nuestro compañero Andrea Marcelli ha sido seleccionada para la BSides Las Vegas
y DEF CON 26.
Con una asistencia
estimada de 22.000 personas, DEF CON y BSIDESLV son dos de las mayores
convenciones de hackers del mundo, celebrándose anualmente desde 1993 y 2009,
respectivamente, en Las Vegas (Nevada). Cada año, cientos de charlas de
investigadores de gran renombre son elegidas para presentar los últimos avances
y "hacks" en seguridad de la información.
Andrea Marcelli es un
investigador de seguridad y parte de nuestro equipo desde noviembre de 2016,
trabajando en el proyecto Koodous y desarrollando nuevas herramientas para
automatizar la detección de malware en Android. Además es un estudiante de
doctorado del Politécnico de Turin (Italia), donde investiga sobre
Machine-Learning, modelado semisupervisado y métodos avanzados de optimización,
todos aplicados principalmente a los problemas abiertos en seguridad de la
información.
En el último año,
Andrea ha enfocado su investigación en el desarrollo de nuevos algoritmos de
Inteligencia Artificial para la generación automática de firmas de malware, una
tarea crítica tanto para la industria de antivirus como para la comunidad de
investigadores. Sus esfuerzos se han materializado en la familia de
herramientas YaYaGen (Yet Another YARA rule Generator), desarrollada para
facilitar el difícil y costoso proceso de escribir firmas de malware: Dada una
familia especifica, los algoritmos automáticamente extraen de cada muestra las
características más significativas y las combinan para garantizar la mayor
cobertura de detección mientras evitan falsos positivos. Finalmente, las firmas
generadas automáticamente por YaYaGen se traducen a reglas YARA que pueden ser
añadidas directamente a Koodous para detectar variantes de malware con
facilidad.
Durante su charla en
ambos eventos, Andrea presentará la familia de herramientas YaYaGen y las ideas
detrás de los algoritmos desarrollados. ¡Si estás por Las Vegas asegúrate de no
perdértela! BSides Las Vegas se celebrará entre el 7 y 8 de agosto en The
Tuscany, mientras que DEF CON 26 tendrá lugar entre el 9 y 12 de agosto en los
hoteles Caesars Palace y Flamingo. La charla en DEF CON esta programada a las
13:00 del sábado 11 de agosto, y para BSides está aún por confirmar.
Resumen
Dado el alto ritmo al
que se crean nuevas variantes de malware, los sistemas antivirus deben
esforzarse para tener sus firmas actualizadas y sufren una cantidad
considerable de falsos negativos. La generación de firmas efectivas contra
nuevas variantes, y que además eviten falsos positivos, es una tarea necesaria
aunque supone un desafío, requiriendo normalmente una alta implicación de un
experto. Para resolver el problema de generación de firmas para malware se
pueden usar técnicas de Inteligencia Artificial.
El fin último es la
creación de un algoritmo capaz de crear automáticamente una firma generalizada
de una familia, finalmente reduciendo la exposición a las amenazas y aumentando
la calidad de las detecciones. La técnica propuesta genera automáticamente una
firma óptima que identifica a una familia de malware con una alta precisión y
buena exhaustividad, usando para ello heurística y algoritmos tanto evolutivos
como lineales.
En esta charla
presentaremos YaYaGen (Yet Another YARA Rule Generator), una herramienta para
generar automáticamente firmas de malware para Android. Las mejoras han sido
evaluadas en el conjunto de datos masivo de millones de aplicaciones disponible
a través del proyecto Koodous, mostrando que el algoritmo es capaz de generar
reglas precisas capaces de detectar malware desconocido de forma más eficiente
que aquellas reglas generadas por humanos.
Más información:
BSides Las Vegas: https://www.bsideslv.org/schedule17/
Fuente: Hispasec