Come fa Sandbox, a far esplodere i malware senza fare danni. Ed è made in Italy

Numerosi attacchi informatici avvengono attraverso strumenti chiamati Malware (Malicious Unwanted Software). Essi hanno la capacita di automatizzare l'operato dell'attaccante, permettendogli di massimizzare il suo guadagno. Alcune delle operazioni automatiche piu note che un Malware può attuare sono:

• raccolta di informazioni relative alla vittima,
• furto di credenziali,
• garantire persistenza nel sistema vittima, 
• abilitare una backdoor sul sistema vittima permettendo un libero accesso all'attaccante.

Cos'è il SandBox

Uno degli strumenti di "ultima generazione" dedicato ad individuare software indesiderati è comunemente chiamato SandBox: un particolare ambiente controllato ove i file sospetti vengono "detonati", ovvero avviati e studiati.

Lo studio della "detonazione" avviene osservando ciò che l'esecuzione del file stesso lascia nel sistema controllato. Partendo da un sistema perfettamente conosciuto, la SandBox registra ogni operazione avvenuta dal file avviato e ne traccia un comportamento.

Attraverso pattern comportamentali precedentemente sintetizzati la SandBox è capace di suggerire all'analista (o in alcuni casi anche di bloccare direttamente) ogni file che mostra un comportamento inconsueto per la natura del file stesso. E' possibile classificare le SandBox secondo numerosi parametri ma il "parametro" che oggi risulta essere piu utilizzato per la loro classificazione è l'interazione con l'operato dell'analista. Vengono definite due differenti tipologie di SandBox:

• con interazione umana
• senza interazione umana.

La SandBox a interazione umana

La prima tipologia di SandBox prevede l'interazione dell'analista durante la detonazione del sample. Questa proprietà permette all'analista di bloccare il funzionamento del file sospetto e/o di interagire manualmente con esso rispondendo, per esempio, a specifiche richieste che il sample stesso potrebbe effettuare per garantire una corretta esecuzione.

Questa capacità permette all'analista di avere un punto di vista preferenziale ma delega la complessità dell'individuazione comportamentale all'essere umano. Ovviamente tale SandBox ha capacità di scalabilità ridotte e, se lasciata eseguire senza l'intervento umano, è piu semplice da eludere da parte di un sistema esperto in quanto, per natura, non implementa logiche di automatismo e di auto "hiding" (tecnica per la quale una sandbox cerca di assomigliare il piu possibile ad un sistema vittima).

La SendBox senza interazione

Una SandBox "no interaction" (o senza interazione umana) ha capacita di scalare molto piu ampie (quindi ha la possibilità di analizzare molti piu file) e notevoli capacità di "auto hiding" (ossia di apparire come un normare sistema vittima). Contrariamente non offre all'analista un punto di vista flessibile ma standardizzato non abilitando l'analista all'interazione con il sample in esecuzione.

Oggi esistono numerose SandBox sia ad alta interazione come per esempio (ma non limitato a): Any.run (una delle SandBox di origine Russa piu note) sia a bassa interazione come per esempio (ma non limitato a). Hybrid-analysis.com e Joesecurity.com

Una analisi sulle principali sandbox commerciali con una rispettiva valutazione parametrica è è possibile trovarla qui. Ogni SandBox presenta le proprie caratteristiche ma tutte necessitano di essere utilizzate il più possibile per migliorare nel tempo.

Molti medici sarebbero d’accordo nel leggere che: “l’esperienza passa dalla clinica”. Quindi per essere degli "medici esperti" occorre anche avere esperienza clinica, ossia avere passato molto tempo con i propri pazienti. Allo stesso modo una “brava" SandBox è uno strumento che ha analizzato “numerosi malware”. Tanto maggiore è la quantità di Malware analizzati da una SandBox, tanto maggiore è la possibilità che essa sia migliorata nel tempo. 

La prima Open Sandbox italiana

Yomi: The Malware Hunter è la prima Open Sandbox interamente Italiana, ossia sviluppata da sviluppatori Italiani, mantenuta in una infrastruttura Italiana, rispettante delle norme sulla privacy e sui dati personali Italiani e di proprietà di una azienda Italiana. 

Yomi: The Malware Hunter è anche la prima  SandBox "gamificata" ideata e pensata al fine di ingaggiare maggiormente gli utilizzatori, al fine di aumentare notevolmente la possibilità di analizzare piu "samples"(file sospesi) e quindi costantemente migliorare nel tempo. Per implementare tale caratteristica una  "wall of fame" è presente all'interno del sistema e periodicamente verrà impiegata per organizzare contests offrendo gadgets ai migliori "utilizzatori".

La sandbox è disponibile al pubblico.  
Ad oggi è aperta in modalità "beta" Family and Friends, ove tutti possono registrarsi ma solo alcuni che ne fanno esplicita richiesta potranno essere successivamente selezionati all'invio dei files. La data prevista per la prima release ufficiale (non beta) aperta a tutta la comunità è per fine Marzo 2019.

L'immagine mostra la lista delle "analisi pubbliche". Cliccando sulla singola analisi è possibile entrare in una pagina tecnica con i dettagli dell'esecuzione.  Dalla attuale lista (mostrata nell'immagine) è possibile comprendere se un file è reputato malevolo attraverso il numero di indicatori "rossi" presenti sulla sinistra della lista. E' possibile visualizzare gli stati dell'analisi effettuati: Analisi Statica, Analisi Comportamentale, Analisi Flussi di Rete, Analisi su communities sono le analisi ad oggi rilasciate pubblicamente da Yoroi (l'azienda che ha deciso di aprire al pubblico parte della propria tecnologia). Yomi nella sua prima release permetterà agli utenti di "taggare" i files inseriti, lasciando così, dei suggerimenti sulla natura del file.

Se avete correzioni, suggerimenti o commenti scrivete a dir@agi.it