Machine Learning per riconoscere il malware UEFI

Un altro esempio di come l’intelligenza artificiale può aiutare la cybersecurity. Gli esperti di ESET hanno rilasciato un whitepaper dove illustrano come un modello di machine learning li aiuterà a trovare nuovo malware per UEFI.

L’UEFI, Unified Extensible Firmware Interface, è il firmware che da qualche anno ha preso il posto del vecchio BIOS nei computer. Purtroppo esiste malware anche per UEFI, il primo – chiamato LoJax – è stato scoperto proprio da ESET circa un anno fa.

Poiché i prodotti ESET dispongono di uno scanner UEFI, cosa non comune in altri prodotti di cybersecurity, l’azienda di sicurezza si è trovata in una posizione privilegiata che le ha consentito di ottenere un elevato numero di sample dalla telemetria dei clienti e da altre fonti: in due anni sono stati raccolti oltre 5,5 milioni di eseguibili UEFI, di cui 2,5 milioni sample univoci.

Analizzarli manualmente non era possibile, così i ricercatori hanno studiato prima un modo per estrarre determinate caratteristiche da ogni sample, arrivando anche a migliaia di feature distinte per un eseguibile. Dopodiché hanno implementato un algoritmo vp-tree per per far emergere i risultati dissimili dalla normalità, costruendo un meccanismo automatico che – testato su malware UEFI reale – è in grado di individuare firmware sospetti separandoli dalla massa di eseguibili UEFI normali.

Cluster di firmware UEFI dopo l'analisi automatica
Cluster di firmware UEFI dopo l’analisi automatica

Secondo ESET (che non è nuova a questo tipo di tecnologie, avendo implementato una rete neurale per l’analisi del malware già nel 1998) questa procedura automatizzata riesce a ridurre il lavoro degli analisti del 90%, consentendo loro di concentrarsi solo sulle analisi manuali dei sample sospetti.

Implementazione dell’intelligenza artificiale in ESET

Il whitepaper di ESET è disponibile qui (pdf).

Per approfondire: Needles in a haystack: Picking unwanted UEFI components out of millions of samples

Sono Head of Artificial Intelligence di SNGLR Holding AG, un gruppo svizzero specializzato in tecnologie esponenziali con sedi in Europa, USA e UAE, dove curo i programmi inerenti all'intelligenza artificiale. Dopo la laurea in Management ho conseguito una specializzazione in Business Analytics a Wharton, una certificazione Artificial Intelligence Professional da IBM e una sul machine learning da Google Cloud. Ho trascorso la maggior parte della carriera – trent'anni - nel settore della cybersecurity, dove fra le altre cose sono stato consigliere del Ministro delle Comunicazioni e consulente di Telespazio (gruppo Leonardo). Oggi mi occupo prevalentemente di intelligenza artificiale, con consulenze sull'AI presso aziende private e per la Commissione Europea, dove collaboro con la European Defence Agency e il Joint Research Centre. Questo blog è personale.