skip to Main Content

Ecco “Yomi: The Malware Hunter”, la prima SandBox multipla tutta italiana

Ecco “Yomi: The Malware Hunter”, La Prima SandBox Multipla Tutta Italiana

Yomi: The Malware Hunter è la prima SandBox tutta Made in Italy per combattere gli attacchi hacker con i malware. Nasce da Cybaze-Yoroi e opera con diversi motori, che in parallelo analizzano i samples

Arriva “Yomi”, il primo strumento interamente Made in Italy per combattere gli attacchi hacker con i malware Si chiama anche “Malware Hunter” ed è una SandBox: un particolare ambiente controllato in cui i file sospetti (samples) vengono “detonati” (avviati e studiati). E’ stata creata da sviluppatori italiani, viene mantenuta in una infrastruttura nel nostro paese, rispetta delle norme sulla privacy e sui dati personali dell’Italia, nonché è di proprietà di Yoroi, parte di Cybaze: gruppo specializzato sulla cyber security, anch’esso nostrano. Di SandBox ce ne sono varie in tutto il mondo, ma questa è diversa. Ne contiene diverse al suo interno, che analizzano i campioni in parallelo. Riuscendo perciò a rilevare le differenze anche minime tra i risultati e ad allertare gli analisti di sicurezza cibernetica.

Come funziona la prima SandBox anti-malware totalmente Made in Italy. Contribuire a migliorare la cyber security di tutti non è mai stato così facile e veloce

Yomi: The Malware Hunter oggi è in modalità “beta”, Family and Friends. Tutti possono registrarsi ma solo alcuni, dopo esplicita richiesta, potranno inviare alla SandBox. La data prevista per la prima release completa aperta a tutta la comunità è, comunque, prevista per fine marzo 2019. Di conseguenza, a breve chiunque abbia un dubbio su un file, prelevato online oppure ricevuto via email, potrà caricarlo sulla piattaforma e, attraverso il risultato ottenuto, decidere se aprirlo o meno sul proprio dispositivo. Usare Yomi, peraltro, è gratis, molto semplice e intuitivo. Per far analizzare il sample, basta trascinarlo sull’icona “Drag Here”. Oppure selezionarlo, cliccandoci sopra. In poco tempo arriverà la risposta degli esperti di cyber security di Yoroi. Si possono anche tracciare i propri inserimenti, scegliendo “my submissions” dal menù. Inoltre, è “Gamificata” con tanto di “Wall of Fame” e contest. I migliori utilizzatori, infatti, potranno vincere premi. L’obiettivo è far sì che vengano caricati più samples possibili, in modo da poterne analizzare un numero sempre maggiore e crescere di conseguenza nel tempo.

Che cos’è una SandBox e perché è così importante per bloccare gli attacchi hacker di tipo malware

Yomi: The Malware Hunter è nato per la crescente necessità di nuovi strumenti contro gli attacchi hacker. Questi sempre più usano codici malevoli nascosti in file, inviati per posta o presenti su link malevoli. Le continue campagne di malspam contro l’Italia per distribuire codici malevoli come Danabot, Gootkit, MartyMcFly, AveMaria e altri sono la conferma. Di conseguenza, gli specialisti di cyber security stanno adottando degli ambienti controllati per isolare, studiare e trovare il modo di sconfiggere le minacce cibernetiche. La “detonazione” del sample avviene osservando ciò che l’esecuzione del file stesso lascia nel sistema controllato. La SandBox, infatti, registra ogni operazione avvenuta e ne traccia un comportamento. Attraverso modelli precedentemente sintetizzati, suggerisce all’analista (o in alcuni casi blocca direttamente) ogni file che mostra un comportamento inconsueto per la sua natura. L’esperto avrà così un campione “altamente sospetto” da dissezionare, senza dover perdere tempo con migliaia di falsi positivi.

Quali tipi di SandBox esistono oggi e che limiti hanno. Yomi è fuori dal coro con i suoi motori multipli

A oggi le SandBox sono di due tipi, in base all’interazione o meno con l’analista. La prima prevede che l’esperto di cyber security operi durante la detonazione del sample. Ciò gli permette di bloccare il funzionamento del file sospetto e/o di interagire manualmente con esso. L’arma a doppio taglio, però, è che l’individuazione comportamentale è delegata all’essere umano. Senza contare che questa tipologia di piattaforma ha capacità di scalabilità ridotte ed è più semplice da eludere da parte di un sistema esperto. La seconda, invece, non prevede l’intervento umano. Quindi, può analizzare molti più file e ha notevoli capacità di “auto hiding” (apparire come un normare sistema vittima). Di contro, non offre all’analista un punto di vista flessibile, ma standardizzato in base a modelli. Fuori dal coro, c’è Yomi. Non ha interazione umana, ma i suoi diversi motori la rendono unica.

Back To Top