BV TECH è lieto di annunciare la pubblicazione del documento di ricerca “YAMME: a YAra-byte-signatures Metamorphic Mutation Engine” sul volume 18/2023 della rivista “IEEE Transactions on Information Forensics and Security”.

La ricerca, realizzata dai colleghi Antonio Coscia e Antonio Maci con la collaborazione dell’Università di Bari (Giuseppe Pirlo, Vincenzo Dentamaro, Stefano Galantucci), nasce nell’ambito del Contratto di Programma “Suite Prodotti Cybersecurity e SOC”.

Il lavoro propone un metodo innovativo per la generazione automatica di regole di rilevamento delle possibili mutazioni del codice di malware già conosciuti, tecnica di offuscamento comunemente utilizzata per superare i meccanismi di sicurezza basati sull’analisi delle “signature”, estendendo le capacità di rilevamento di codice malevolo per tutte le applicazioni di sicurezza che utilizzano regole YARA.

YARA è un popolare strumento di analisi del malware che utilizza specifiche regole costruite per corrispondere ai contenuti dannosi all’interno di file o pacchetti di rete analizzati da un motore antivirus. A volte tali contenuti sono espressi sotto forma di firma byte, ovvero una sequenza di codice operativo a livello di macchina. Tuttavia, queste possono essere aggirate poiché le tecniche di offuscamento del malware possono modificare queste sequenze, riscrivendole in diverse forme equivalenti.

Questo articolo presenta YAMME, un motore di mutazione metamorfica con firme YARA-byte per rafforzare le regole contro alcune tecniche di offuscamento del malware impiegate nei motori di mutazione metamorfica.
In primo luogo, riscrive le firme YARA-bye in diversi modi equivalenti, come farebbe un motore di mutazione metamorfica.
In secondo luogo, una fase di ottimizzazione sfrutta i costrutti della sintassi delle regole YARA per fornire diversi formati di regole, rendendoli adatti a diversi requisiti applicativi del mondo reale.
Le regole YAMME sono state valutate sui set di dati MWOR, G2, NGVCK e MetaNG, ottenendo un tasso di rilevamento migliore rispetto a quello ottenuto dalle regole YARA generate tramite AutoYara.
Inoltre, un’analisi del sovraccarico computazionale richiesto dai diversi formati di regole YAMME convalida il basso impatto introdotto dal motore di mutazione a livello di regole YARA.