Proyecto de Investigación: SmartVMI

SmartVMI está despegando: junto con la Universidad de Passau e innowerk, G DATA está realizando investigaciones para mejorar el estado de la introspección de máquinas virtuales para el análisis de memoria y la detección de malware.

La Universidad de Passau  (representada por la Cátedra de Sistemas Distribuidos Confiables y la Cátedra de Ciencia de Datos),  Innowerk-IT GmbH y G DATA CyberDefense AG lanzaron un proyecto de investigación para mejorar el análisis en memoria de última generación en Windows y Linux. El proyecto «Sintetizar datos de entrenamiento de ML en el dominio de seguridad de TI para la detección y el análisis de ataques basados ​​en VMI» (SmartVMI) está financiado por el Ministerio Federal de Educación e Investigación ( BMBF ) y coordinado por el Centro Aeroespacial Alemán ( DLR ).

El proyecto SmartVMI está dedicado a mejorar la detección de ataques basada en inteligencia artificial (IA), lo que permite la defensa contra ataques, el análisis y el análisis forense digital mediante la generación de patrones de ataque sintéticos personalizados. Esto permitirá la simulación de nuevos escenarios de ataque y la prueba de los mecanismos existentes de detección y análisis de ataques, así como la optimización de estos mecanismos para nuevos ataques.

Objetivos

Durante el proyecto, se desarrollará un motor de introspección de máquina virtual (VMI), que permite grabar llamadas al sistema y a la API de forma transparente para el sistema operativo invitado. Esto tiene la ventaja de que el malware potencial no puede detectar ningún componente de análisis en el sistema. Además, el acceso desde fuera de la VM permite leer y manipular cualquier área de memoria, independientemente de los mecanismos de seguridad del sistema operativo. Se presta especial atención a la velocidad de ejecución de la VM en combinación con VMI. El objetivo aquí es generar la menor sobrecarga posible para que VMI no aumente artificialmente el tiempo de ejecución.

Los datos de comportamiento obtenidos con el motor VMI se utilizarán dentro del proyecto SmartVMI para entrenar algoritmos de aprendizaje automático. El objetivo es abstraer el comportamiento malicioso y así permitir la detección genérica de nuevas variantes de malware. Estos nuevos conocimientos serán utilizados por GDATA para proteger a sus clientes y formar una parte central en la detección de nuevas amenazas sin interacción humana. 

Análisis, acelerado

Además de la detección de malware, se están desarrollando métodos para el análisis automático de imágenes de memoria con algoritmos de aprendizaje automático. El objetivo es detectar estructuras de datos como procesos en una imagen de memoria arbitraria de un sistema operativo de forma totalmente automatizada. Esto debería ayudar a cerrar la brecha semántica entre una imagen de memoria en bruto y su interpretación significativa. Actualmente, este proceso solo es posible con mucho trabajo manual y los símbolos de depuración correspondientes de los sistemas operativos y requiere un ajuste con cada nueva versión del sistema operativo.

Todas las herramientas desarrolladas en el curso del proyecto SmartVMI estarán disponibles bajo una licencia de código abierto y los datos de capacitación validados que se obtengan se publicarán en el modelo de conjunto de datos públicos. El código se publicará en Github .

El consorcio que trabaja en el proyecto está formado por tres entidades. G DATA CyberDefense AGInnowerk-IT GmbH y la Universidad de Passau.

G DATA CyberDefense utiliza el resultado del proyecto de investigación para mejorar las tecnologías de detección NextGen basadas en aprendizaje automático, así como para aumentar aún más la protección de nuestros clientes frente a ataques novedosos.

Código de soporte BMBF: 01IS21063A-C

Duración del proyecto: 01.10.2021 – 30.09.2023

Para obtener más información, consulte la página oficial del proyecto: www.smartvmi.org

Enlace: https://www.gdatasoftware.com/blog/2022/02/37238-smartvmi Blog de G DATA
Stefan Hausotte