Università e industria assieme, per la ricerca sul malware

Presentato a fine febbraio il laboratorio di malware analysis frutto dell’accordo fra l’impresa CSE (CybSec Enterprise S.p.a.) e l’accademia Unisannio: un connubio che rende reali e operative le famose tre P che indicano il Partenariato Pubblico Privato e che costituiscono uno dei punti imprescindibili della strategia per contrastare la minaccia cyber ed elevare la cybersecurity ad una questione gestita a livello nazionale.

Gerardo Canfora, delegato alla Ricerca dell’Unisannio, durante l’evento di presentazione ufficiale aveva sottolineato come le finalità del laboratorio fossero rivolte all’analisi dei malware per comprenderne caratteristiche e modalità di azione, in modo da fermare le minacce prima che avessero modo di colpire sistemi e software. Marco Castaldo, managing director CSE aveva anche aggiunto l’importanza di creare un ecosistema di valore per alimentare tutti quei talenti del Sud intenzionati a restare al Sud d’Italia. A distanza di un mese dall’inizio dell’operatività del Laboratorio abbiamo voluto approfondire con coloro che giorno dopo giorno alimentano questa realtà e lavorano a fianco dei ragazzi per insegnare, studiare e analizzare: Aaron Visaggio, professore associato dell’Università del Sannio e Antonio Pirozzi, direttore del laboratorio e ricercatore (PHD).

StartupItalia!: Come nasce il laboratorio in collaborazione con CSE?

Aaron Visaggio: Sono diversi anni che studio i malware, le tecniche di evasione, le loro evoluzioni. Ho iniziato a studiare il malware perché diversi anni fa mi era già chiaro che in poco tempo le tecnologie di detection tradizionali sarebbero diventate inefficaci e che il malware sarebbe diventato più insidioso: quindi non solo sarebbero servite tecnologie e competenze specifiche per identificare ed eradicare il malware dalle zone contaminate, ma si avvicinava il momento in cui non ci si sarebbe più accontentati di identificare e rimuovere il malware e sarebbe sorta la necessità di capire cosa il malware avesse fatto, se la zona contaminata fosse realmente bonificata o no, chi e perché aveva iniziato la campagna di infezione e così via. In definitiva, capii rapidamente che l’analisi del malware doveva andare al di là della identificazione di una firma per riconoscere il malware. Naturalmente questo studio non si è svolto in isolamento, ma ha visto la collaborazione di studenti, dottorandi, assegnisti di ricerca. Insomma, negli ultimi anni si sono formate competenze specialistiche su questa materia. Questo ha attirato, con mio grande piacere, le attenzioni di CSE che sulla analisi del malware aveva visioni simili alle mie ed ha deciso di investire sulla mia ricerca. Si è costituito così un sodalizio virtuoso e vantaggioso per entrambi, fatto di un continuo trasferimento di competenze e conoscenza nell’industria e di stimoli che l’industria produce per orientare le nostre ricerche.

StartupItalia!: La collaborazione con CSE come si concretizza giorno dopo giorno?

Aaron Visaggio: Gli analisiti dello ZLAB si sono tutti formati nel mio laboratorio e vi è uno scambio quotidiano tra il laboratorio di ricerca e lo ZLAB. Siamo rimasti un’unica squadra, anche se formalmente siamo due entità distinte, e lavoriamo tutti come se facessimo parte di un unico laboratorio, ogni giorno. C’è una continua cross-fertilization tra ZLAB e laboratorio, nell’ambito della quale si lavora insieme su progetti di ricerca specifici, ci si scambiano informazioni, ci confrontiamo su nuovi tool, tecniche di analisi, nuovi modelli di infezione o evasione. Lo ZLAB è il luogo dove gli studenti dell’ultimo anno ed i tesisti si formano attraverso attività di malware analysis in affiancamento agli analisti dello ZLAB o prendendo parte attiva ai progetti di ricerca dello ZLAB. Lo ZLAB fornisce al laboratorio di ricerca sample, nuovi modelli da analizzare, spunti per nuove ricerche, prendendo poi parte attiva in quest’ultima.

StartupItalia!: Cosa si studia nello ZLAB e quali sono gli obiettivi per il 2018?

Antonio Pirozzi: Nello ZLAB, ci occupiamo principalmente di Malware Analysis e Cyber Threat Intelligence ma con un focus trasversale su tematiche di Vulnerability Research e Application Security in generale.

Per la Malware Analysis ZLAB intercetta, disseziona e analizza malware che affliggono qualsiasi piattaforma, perfino le minacce più avanzate ed evasive. La metodologia utilizzata dai malware analyst consta di diverse fasi, tra cui la detonazione del malware attraverso una serie di sandbox configurate in modalità “anti-evasion”, l’analisi comportamentale del campione attraverso una sofisticata toolchain creata ad-hoc per fare in modo che la minaccia si manifesti in tutta la sua pienezza e l’analisi del codice sorgente estratto attraverso tecniche avanzate di Reverse Engineering.

Sul tema della Cyber Threat Intelligence (CTI), il team analizza costantemente gli attacchi che affliggono il panorama cyber e attraverso l’analisi di tattiche, tecniche e procedure (TTP) messe in piedi dagli attaccanti, è in grado di fornire una visione completa di quelle che sono le minacce a cui uno specifico bersaglio potrebbe essere sottoposto.

Attualmente siamo focalizzati sui malware per le infrastrutture critiche, le campagne APT (Advanced Persistent Threat n.d.r.) con particolare interesse per APT 28 (Sofacy) e Lazarus APT che seguiamo da tempo. La nostra attività è focalizzata nella comprensione delle sofisticate tecniche utilizzate dai malware per evadere i sistemi di detection. Spesso i malware utilizzano 0-day all’interno del codice di applicazioni fidate o API non documentate del sistema operativo per evitare l’individuazione. Uno dei nostri obbiettivi nel breve termine è sicuramente quello di affermarci come un centro di eccellenza e un osservatorio sulle minacce cyber, soprattutto per le minacce che colpiscono infrastrutture critiche, enti governativi e pubblica amministrazione. Siamo il primo laboratorio di malware analysis in Italia, collaboriamo con alcune tra le principali aziende di sicurezza informatica internazionali con le quali costantemente scambiamo informazioni.

StartupItalia!: Quante sono le persone e quali sono gli skill che formano il laboratorio?

Antonio Pirozzi: Il core team di ZLAB è attualmente  composto da cinque persone, me compreso in qualità di direttore. Crediamo nel team di elite, in un pool di super esperti verticali su specifiche tematiche.  Inoltre, abbiamo sviluppato una pipeline di formazione, continuamente attiva, che vede una decina tra laureandi e neolaureati affiancarci day-by-day durante la maggior parte delle nostre attività quotidiane e di ricerca.

StartupItalia!: Che progetti seguite attualmente?

Antonio Pirozzi:  Per quanto riguarda la Malware Analysis, attualmente ci stiamo focalizzando sui RaaS (Ransomware as a Service) ossia quelle piattaforme nel Dark Web che permettono la creazione di campagne ransomware mirate: ne abbiamo già identificate diverse. L’inizio del 2018 è stato segnato da alcuni fenomeni tra i quali citiamo Saturn, GrandCrab e Data Keeper: ransomware che sono stati sviluppati utilizzando appunto queste piattaforme. Rilasceremo a breve con un rapporto tecnico e un’analisi dettagliata del fenomeno.

Ci stiamo inoltre focalizzando sugli impianti malware SCADA ICS (Supervisory Control And Data Acquisition, Industrial Control Systems, sistemi di controllo industriale basati su sistemi di supervisione controllo e acquisizione dei dati n.d.r.), minacce che prendono di mira le infrastrutture critiche come centrali elettriche, nucleari, idriche, piattaforme industriali al fine di sabotarle. Stiamo avviando inoltre uno studio di caratterizzazione e di filogenesi di queste minacce al fine di poter sviluppare, in una fase successiva, dei sistemi avanzati e intelligenti di detection.

StartupItalia!: Chi lavora nello ZLAB che skill matura in ottica di collocamento lavorativo successivo? 

Antonio Pirozzi:  Nel laboratorio attualmente vi sono alcuni tra i migliori malware analyst che si possono trovare in Italia al momento, tra i quali Luigi Martire e Antonio Farina. I Ricercatori di ZLAB sono molto verticali sulle tematiche di Malware Analysis e CTI, hanno una conoscenza molto profonda dei sistemi operativi. Conoscono avanzate tecniche di reverse engineering e di instrumentazione del codice. Inoltre per fare questo tipo di lavoro è importante conservare una mentalità “Out-of-the-Box”. L’approccio ingegneristico e scientifico è fondamentale per poter approcciare con metodologia all’analisi dei malware di qualsiasi genere. In italia, ma in ottica piu generale nel mondo, c’e’ un grandissimo skill-shortage rispetto a queste competenze. La cyber security sta avendo un ruolo sempre più centrale nelle nostre vite. Basti pensare che sono aumentati gli attacchi all’individuo, pensiamo agli attacchi che stanno emergendo sui dispositivi biomedicali o sulle smart home o automobili. Queste competenza saranno sempre più indispensabili e ricercate.

StartupItalia!: Sono previsti ulteriori sviluppi sia in ambito ricerca sia territorialmente secondo questo primo esempio di partnership e collaborazione?

Aaron Visaggio: CSE si sta facendo motore di iniziative di ricerca che vedono la partecipazione di importanti player internazionali sia del mondo industriale sia del mondo scientifico replicando, quindi, il loro approccio di forte connubio tra industria e ricerca. Stiamo attualmente lavorando all’analisi di nuove tipologie di malware destinati a target più critici e che hanno impatti molto più severi rispetto alla esfiltrazione di dati o all’interruzione di un servizio. Stiamo, infine, lavorando allo sviluppo di paradigmi nuovi  per la malware detection: paradigmi, cioè, che capovolgono completamente la prospettiva della detection. L’orizzonte, vicino, è quello di creare nel Sannio un centro di competenza sull’analisi del malware che possa diventare un riferimento, non solo per gli attori nazionali della cybersecurity.

Approfondimenti sulle principali analisi e scoperte di ZLAB

Il team si è fatto già notare nel panorama della cyber-security grazie ad alcune importanti analisi e scoperte, tra cui:

Wonder Botnet (ottobre 2017): viene individuata una botnet basata su HTTPS durante le sue prime infezioni. Il malware che compone la rete malevola viene scaricato, attraverso un downloader, da una pagina del popolare sito “pastebin.com” contenente del codice codificato. Il centro di comando dell’intera botnet si nasconde dietro un sito fasullo che risulta essere la copia di un sito legittimo.

Bad Rabbit (ottobre 2017): ZLAB è la prima firma italiana a pubblicare l’analisi del ransomware Bad Rabbit. Il malware ha scosso le comunità ucraine e polacche grazie alla sua velocità di infezione, dovuta allo sfruttamento della ormai nota vulnerabilità del protocollo SMB di Microsoft. Bad Rabbit si ispira ai ransomware dell’anno precedente, quali Petya e NotPetya, ma utilizza tecniche molto più avanzate di evasione e di anti-analisi.

Skygofree (dicembre 2017): prima di Kaspersky, ZLAB pubblica l’analisi dello spyware Android “Made in Italy”, il quale, prima di essere diffuso attraverso una finta app di Sky, era già stato diffuso come un gestore di aggiornamenti per smartphone sotto il nome di “3MobileUpdater”. Il malware presenta delle capacità impressionanti sotto il profilo dello spionaggio, riuscendo a carpire tutti i dati sensibili dell’utente attaccato: chat dei social network e delle app di messaggistica, SMS e foto salvate.

OpEvilTraffic (gennaio 2018): viene individuata una gigantesca rete di malvertising, volta a generare guadagni illeciti attraverso il redirect degli utenti su specifiche pagine web. La campagna di analisi condotta nei confronti di questa rete è stata denominata dagli scopritori “OpEvilTraffic”. La rete è composta da una serie di siti legittimi, compromessi usando una vulnerabilità di WordPress, e prevede l’utilizzo di un’architettura a più livelli necessari per effettuare il redirect degli utenti verso specifiche pagine. Tra le pagine web indirizzate da questa rete, oltre il gran numero di siti che generano guadagni attraverso il numero di visualizzazioni, sono presenti anche delle pagine fraudolente che, usando tecniche di phishing, invitano l’utente a inserire e trasmettere dati sensibili.