Con una asistencia estimada de 22.000 personas, DEF CON y BSIDESLV son dos de las mayores convenciones de hackers del mundo, celebrándose anualmente desde 1993 y 2009, respectivamente, en Las Vegas (Nevada). Cada año, cientos de charlas de investigadores de gran renombre son elegidas para presentar los últimos avances y «hacks» en seguridad de la información.

Andrea Marcelli es un investigador de seguridad y parte de nuestro equipo desde noviembre de 2016, trabajando en el proyecto Koodous y desarrollando nuevas herramientas para automatizar la detección de malware en Android. Además es un estudiante de doctorado del Politécnico de Turin (Italia), donde investiga sobre Machine-Learning, modelado semisupervisado y métodos avanzados de optimización, todos aplicados principalmente a los problemas abiertos en seguridad de la información.

En el último año, Andrea ha enfocado su investigación en el desarrollo de nuevos algoritmos de Inteligencia Artificial para la generación automática de firmas de malware, una tarea crítica tanto para la industria de antivirus como para la comunidad de investigadores. Sus esfuerzos se han materializado en la familia de herramientas YaYaGen (Yet Another YARA rule Generator), desarrollada para facilitar el difícil y costoso proceso de escribir firmas de malware: Dada una familia especifica, los algoritmos automáticamente extraen de cada muestra las características más significativas y las combinan para garantizar la mayor cobertura de detección mientras evitan falsos positivos. Finalmente, las firmas generadas automáticamente por YaYaGen se traducen a reglas YARA que pueden ser añadidas directamente a Koodous para detectar variantes de malware con facilidad.

Durante su charla en ambos eventos, Andrea presentará la familia de herramientas YaYaGen y las ideas detrás de los algoritmos desarrollados. ¡Si estás por Las Vegas asegúrate de no perdértela! BSides Las Vegas se celebrará entre el 7 y 8 de agosto en The Tuscany, mientras que DEF CON 26 tendrá lugar entre el 9 y 12 de agosto en los hoteles Caesars Palace y Flamingo. La charla en DEF CON esta programada a las 13:00 del sábado 11 de agosto, y para BSides está aún por confirmar.



Resumen

Dado el alto ritmo al que se crean nuevas variantes de malware, los sistemas antivirus deben esforzarse para tener sus firmas actualizadas y sufren una cantidad considerable de falsos negativos. La generación de firmas efectivas contra nuevas variantes, y que además eviten falsos positivos, es una tarea necesaria aunque supone un desafío, requiriendo normalmente una alta implicación de un experto. Para resolver el problema de generación de firmas para malware se pueden usar técnicas de Inteligencia Artificial. 

El fin último es la creación de un algoritmo capaz de crear automáticamente una firma generalizada de una familia, finalmente reduciendo la exposición a las amenazas y aumentando la calidad de las detecciones. La técnica propuesta genera automáticamente una firma óptima que identifica a una familia de malware con una alta precisión y buena exhaustividad, usando para ello heurística y algoritmos tanto evolutivos como lineales.

En esta charla presentaremos YaYaGen (Yet Another YARA Rule Generator), una herramienta para generar automáticamente firmas de malware para Android. Las mejoras han sido evaluadas en el conjunto de datos masivo de millones de aplicaciones disponible a través del proyecto Koodous, mostrando que el algoritmo es capaz de generar reglas precisas capaces de detectar malware desconocido de forma más eficiente que aquellas reglas generadas por humanos.