Stefano Maistri Relatore
Laureato in informatica laureando in ingegneria del software e sicurezza. Security consultant presso Minded Security.
Lista Talk
- Malware detection e modellazione comportamentale os agnostic La sempre maggiore diffusione di nuovi varianti di malware noti complica notevolmente il processo di detection. Una ulteriore difficoltà deriva dalla frammentazione dei sistemi informatici (IoT, desktop, server e mobile) che impone strumenti e tecniche diverse per l’analisi. I malware possono mutare nella forma, nella struttura, nel modo di eseguire un codice malevolo, nel modo con cui interagiscono con il Sistema Operativo (OS) e come si diffondono. Ciò che non cambia è lo scopo finale del malware e di conseguenza le operazioni specifiche da fare per raggiungere tale scopo. Da questa intuizione è stato deciso di creare un sistema OS agnostic per la detection in grado di fornire un metodo standard per l’analisi di malware che possa anche classificare i malware e che possa identificare componenti condivise e funzioni dormienti tra i vari malware. Questo sistema intercetta i comportamenti malevoli ad un nuovo livello (hypervisor level) generando un linguaggio universale (tramite un parser) per le API calls e le system calls. La detection di comportamenti malevoli avviene tramite un sistema di modellazione dei behavior malevoli. Inizialmente vengono definiti i comportamenti malevoli tramite modelli ad alto livello, poi la combinazione di sistemi di detection basati sull’estrazione di CFG a sistemi di detection basati sulle sequenze di API calls generano in modo automatico dei modelli a basso livello per i comportamenti malevoli. I modelli ad alto livello andranno ad identificare il behavior di un malware, mentre quelli a basso livello andranno ad identificare il codice effettivo che implementa quel behavior. - 16:00/16:45, 14 Oct 2017