FACE: Sconfiggere i malware in modo formale (FIRB 2013)

Data inizio
10 marzo 2014
Durata (mesi) 
36
Dipartimenti
Informatica
Responsabili (o referenti locali)
Dalla Preda Mila

Oggigiorno le minacce informatiche sono caratterizzate da efficaci tecniche di diffusione (e.g., "dropper", "drive-by download"), applicazioni malevole per dispositivi
mobili (malware "mobile") e attacchi specifici ad infrastrutture critiche. La maggior parte dei campioni di malware esistenti sono ottenuti modificando malware noti o
portando malware classici ad applicazioni "mobile". I malware mobile sono difficili da analizzare perché mostrano il comportamento malevolo solo quando vengono
opportunamente stimolati. Per aggirare i controlli, sia statici sia dinamici, i malware utilizzano tecniche di anti-debugging, offuscamento e metamorfismo. Per
sviluppare meccanismi di identificazione efficaci è necessaria una profonda e completa comprensione della semantica dei malware, ottenibile combinando tecniche di
analisi statica e dinamica. Infatti, gli approcci formali applicati allo studio dei malware metamorfici sembrano promettenti anche se il loro sviluppo è poco esplorato.
Un approccio uniforme all'analisi formale del malware è reso difficile anche dalla mancanza di una convenzione sulla nomenclatura. Manca quindi un percorso
formale uniforme da poter seguire per proteggere un sistema dai malware.

NUOVA VISIONE
L'applicazione di approcci formali basati sulla semantica per la modellizzazione e la comprensione dell'evoluzione del comportamento dei malware moderni
contribuirà significativamente a ricerca scientifica ed industria. La sfida principale consiste nell'isolare e modellizzare il comportamento malevolo comune alle
varianti metamorfiche. FACE affronta questo problema sviluppando un modello formale per 1) le varianti metamorfiche e 2) l'ambiente di esecuzione (e.g., sistema
obiettivo, sandbox) in modo da tener conto di malware con comportamenti dipendenti dal contesto. Durante il progetto considereremo anche il problema della
nomenclatura.

NUOVE IDEE
Modellizzeremo sia le differenze sia le invarianti tra diverse versioni metamorfiche di un malware. Per fare questo, disassembleremo versioni successive dello stesso
malware e poi le astrarremo ottenendo un modello semantico delle differenze. Nella modellizzazione delle invarianti progetteremo nuovi domini basati
sull'interpretazione astratta per l'analisi di proprietà del codice per estrarre "firme metamorfiche". Prevediamo inoltre di sviluppare una teoria high-order per la
noninterferenza (HOANI) per studiare le relazioni malware-ambiente.

NUOVI METODI
La novità di FACE consiste 1) nell'analisi malware-ambiente, che richiede lo sviluppo di una teoria HOANI, 2) nell'uso di approcci basati su interpretazione astratta e
semantica per il riconoscimento di malware metamorfici, 3) in nuove tecniche per stimolare i malware mobile.

NUOVI STRUMENTI
Progetteremo strumenti per 1) estrarre firme metamorfiche, 2) analizzare le differenze statiche, 3) modellizzare la relazione malware-ambiente, 4) migliorare la
copertura dell'analisi dinamica di malware mobili.

Enti finanziatori:

Ministero dell'Istruzione dell'Università e della Ricerca
Finanziamento: assegnato e gestito dal dipartimento

Partecipanti al progetto

Mila Dalla Preda
Ricercatore a tempo determinato
Roberto Giacobazzi
Professore ordinario

Attività

Strutture