skip to Main Content
Come Bloccare Minacce Zero-day Grazie Ad Una Sandbox

E’ ormai noto che la stragrande maggioranza del malware venga distribuito quasi esclusivamente attraverso l’invio di email ingannevoli: alcune contengono un collegamento per scaricare il file dannoso, altre direttamente l’allegato pericoloso.

Il trend è in continuo aumento ed è in crescita il numero di organizzazioni che vengono colpite e hanno bisogno di proteggersi.

I destinatari degli attacchi non sono più solo grandi aziende ma anche piccole o medie imprese e si stima che ormai la percentuale sia salita al 43%. La motivazione è molto semplice, richiesta di denaro dopo aver reso inaccessibili i dati.

Un altro dato altrettanto inquietante è la reale l’efficacia di questi attacchi verso i destinatari della mail. I vari rapporti specializzati dicono che il 4% degli utenti farà click sul link o aprirà l’allegato.

Quindi visto da una diversa prospettiva, in una azienda di 25 persone, ci sarà probabilmente un utente che attiverà l’infezione aprendo l’allegato, se l’antivirus non lo avrà intercettato. 

L’antivirus però non è sempre efficace al 100%, sappiamo infatti che è in grado di riconoscere minacce note solo DOPO che il produttore del software sia venuto in possesso del malware in oggetto.

A cui segue un processo di analisi, identificazione e catalogazione, per ricavare una sorta di “firma” univoca da rilasciare con un aggiornamento. Nel minor tempo possibile, probabilmente dopo alcune ore nei casi migliori.

È in questa “finestra temporale” che la minaccia miete le proprie vittime, ed è qui che è necessario intervenire in modo tempestivo prima che ci siano danni ulteriori. 

Come funziona la sandbox YOMI by Yoroi?

YOMI è una sandbox molto evoluta e basata su intelligenza artificiale che entra in gioco proprio per velocizzare il riconoscimento e automatizzare il processo.

Prima di tutto fa un’analisi statica del file: parole che ricorrono, codice particolare o firma già nota. Poi l’allegato ignoto viene aperto automaticamente (simulando il click dell’utente) su diversi computer virtuali, controllati da una intelligenza artificiale che osserva il comportamento di tutti i PC e ne valuta lo stato funzionale, alla ricerca di segnali di pericolo. 

Perché così tanti PC virtuali?

Per poter simulare il maggior numero di scenari possibili e registrare tutto quello che fa durante l’esecuzione del possibile codice malevolo. Connessioni via rete, IP contattati, alterazioni dei file di sistema e modifiche del registro. 

Non è facile valutare se un software è malevolo o no, come con lo spam non è sempre bianco o nero ma una scala di grigi che va individuata e misurata.

Si utilizzano quindi una serie di criteri che consentono di “pesare” il comportamento all’interno della sandbox e ne definiscono il comportamento.

Ogni minimo dettaglio contribuisce all’assegnazione di un punteggio di pericolosità, da 0 nel caso di allegati sicuri, fino a 10 per programmi che compiono tante operazioni sospette.

L’intelligenza artificiale riesce a correlare tutti questi criteri e in base a sue logiche interne elabora il risultato finale.

YOMI è anche una delle sandbox che fanno parte del progetto VirusTotal di Google e l’unica che cataloga gli attacchi in base alla matrice MITRE ATT&CK®, una knowledge base globale che contiene tattiche e tecniche per contrastare gli attacchi, basate sull’osservazione del mondo reale. 

Integrare YOMI con un server di posta

Per poter sfruttare tutta la potenza della sandbox YOMI abbiamo sviluppato un plugin per il nostro NethService, la collaboration suite by Nethesis.

Il nostro mailserver, basato su Postfix e Rspamd, prende in carico l’email, individua l’allegato, fa un primo filtro sul tipo di file, lo sottopone all’antivirus interno e poi lo spedisce a YOMI attraverso un proxy.

Il proxy fa si che la procedura sia altamente ottimizzata ed efficace, perché aggrega le migliaia di installazioni della rete Nethesis. Basandosi sulla firma hash del file, sfrutta una cache interna che evita di spedire a YOMI file già analizzati ed evita ritardi nell’elaborazione.   

Un ulteriore cache lato YOMI fa in modo che nella sandbox vengano caricati solo file sconosciuti e ancora da controllare.

Le due cache fanno leva sia sui dati delle migliaia di installazioni Nethesis che sulle “conoscenze” di YOROI.

Perché abbiamo scelto YOMI?

Come ho già anticipato, abbiamo scelto YOMI per implementare la protezione delle email dei nostri sistemi, sviluppando una stretta collaborazione con il team di YOROI

I motivi della scelta sono molteplici. Prima di tutto perchè sono un’azienda italiana di rilevanza internazionale, all’avanguardia nella sicurezza ed in forte crescita, con decine di analisti specializzati nell’analisi del malware. 

Poi perché hanno una attenzione particolare per la privacy. Come ho spiegato poco fa in Nethesis conserviamo solo gli hash dei file, non i file veri e propri. Inoltre tutti gli allegati validi sottoposti a YOROI vengono cancellati immediatamente e le macchine virtuali a loro volta distrutte subito dopo l’analisi. 

Solo i file pericolosi, che sono i veri e propri malware, rimangono in mano a YOROI per alcuni giorni, per essere sottoposti al team di analisti in vista di un ulteriore approfondimento.

A differenza di altri sistemi, come, per esempio, VirusTotal, in cui tutti i file vengono condivisi, YOROI difende la privacy dei propri utenti. 

Il risultato prodotto dai nostri due team è un sistema di analisi degli allegati email molto evoluto ed efficace.

Il grafico qui sotto viene dal nostro NethService ed indica il numero di allegati pericolosi individuati da YOROI in un solo mese. Sembra un valore modesto, in verità è un numero enorme, perché conta il numero di malware che nessun altro antivirus aveva riconosciuto e bloccato fino a quel momento.

Quello che puoi leggere invece in basso è un esempio di malware intercettato da YOMI pochi giorni fa: una “finta email” da DHL per una consegna.

Caro cliente,
Si prega di ricontrollare gli indirizzi sui documenti della lettera di vettura.
Se tutto è corretto, ci aspettiamo che firmi e restituisca il foglio dati scansionato allegato.
Ci scusiamo per l’inconveniente in anticipo!
Cordiali saluti,

Daliborka Pavlin
Supporto logistico
Sistema di spedizione globale DHL

Ovviamente l’allegato era malevolo ma nessun antivirus era stato in grado di riconoscerlo.

Questa è una piccola parte del report della sandbox YOMI, quella relativa a MITRE ATT&CK®

In conclusione

YOMI by YOROI garantisce il riconoscimento di innumerevoli minacce zero-day e la confidenzialità dei dati analizzati, perchè i file considerati sicuri vengono immediatamente eliminati dalla sandbox al termine dell’analisi.

Grazie a tutta questa tecnologia è possibile attivare una protezione email evoluta su tutte le email in transito nei server di posta elettronica basati su NethServer e quindi di conseguenza sulla nostra soluzione per il business: NethService.

Filippo Carletti

Da programmatore di videogiochi a sistemista Linux: maniaco dell’ottimizzazione, sempre a basso livello. Ogni problema è una nuova sfida.

Back To Top
English French German Italian Spanish