Capev2 è una piattaforma avanzata per analisi di malware, basata su Cuckoo Sandbox. Offre un sistema automatizzato per decomprimere file malevoli, estrarre configurazioni e analizzare payload, insieme al supporto multisistema per diversi OS come Windows 7 e 10. È un software open source disponibile su GitHub, favorendo l'innovazione e l'adattabilità.
Utilizzato da aziende come Intezer e Yoroi per analisi dinamiche, opera in ambienti virtualizzati per isolare e mitigare rischi, con monitoraggio intensivo durante l'esecuzione e analisi post-esecuzione per identificare anomalie e attività malevole. Genera report dettagliati, offrendo una panoramica completa del comportamento del malware e indicatori di compromissione.

Criticità: Problemi nel rilevamento

Nell'ambito della sicurezza informatica, la precisione e l'affidabilità nella rilevazione e analisi di malware sono di cruciale importanza.

Una recente analisi tecnica da noi condotta su CAPE Sandbox ha sollevato serie preoccupazioni riguardanti la sua implementazione su piattaforme datate, specificamente su macchine virtuali Windows 7.
Il fulcro della problematica risiede nel tracciamento delle System Call (Syscalls). Le Syscalls sono fondamentali per l'analisi comportamentale del malware, in quanto consentono di osservare come un programma interagisce con il sistema operativo. Nella nostra analisi, abbiamo rilevato che CAPE non rileva correttamente sia le syscalls dirette che quelle indirette su sistemi operativi Windows 7. Questo deficit si traduce in analisi compromesse, con particolare riferimento all'identificazione di tecniche di iniezione ed esecuzione di codice malevolo.

La versione pubblica di CAPE così come quelle impiegate da molte aziende persistono nell'utilizzare come ambiente virtuale Windows 7 per motivi di compatibilità o convenienza, nonostante la piattaforma supporti l'installazione di versioni di Windows più recenti. Questa scelta incide negativamente sull'efficacia della soluzione: CAPE utilizza "instrumentation callbacks" per il monitoraggio delle syscall, una funzionalità introdotta da CAPE solo per Windows 10 e versioni successive. In assenza di questo meccanismo avanzato, il tracciamento delle tecniche di iniezione e, di conseguenza, il rilevamento dei pattern comportamentali malevoli diventano completamente inaffidabili. Ciò si traduce in un aumento dei falsi negativi, ovvero situazioni in cui attività malevole non vengono identificate come tali.
Questa problematica assume una rilevanza critica quando si considera l'utilizzo di CAPE per l'analisi di documenti e file provenienti da allegati e-mail, uno dei vettori più comuni per attacchi di phishing e malware. Un'analisi inaffidabile significa che file infetti potrebbero eludere il rilevamento, consentendo al malware di propagarsi all'interno di una rete aziendale.

Test effettuati

Per dimostrare quanto è stato analizzato  forniremo due esempi delle analisi eseguite  la prima senza tecniche di evasione, la seconda utilizzando le syscall.
Le syscall utilizzate per l'iniezione sono:
-          NtAllocateVirtualMemory
-          NtWriteVirtualMemory
-          NtProtectVirtualMemory
-          NtQueueApcThread
-          NtAlertResumeThread

NtAllocateVirtualMemory è l’unica syscall visibile in entrambi i casi, a differenza delle successive che sono rilevate solo nel primo test, in quanto nativa del processo e finchè non viene utilizzata in combinazione con altre non è un fattore insolito.

Test 1: File malevolo privo di tecniche di evasione, tracciamento avvenuto con successo
L’immagine sotto riportata riguarda le signatures rilevate che mostrano l’avvenuto tracciamento del comportamento del file malevolo:

La seconda immagine mostra il tracciamento delle syscall: lo shellcode(NtWriteVirtualMemory),il cambiamento della protezione della memoria(NtProtectVirualMemory) e il rilevamento del metodo di iniezione (NtQueueApcThread)

Test 2: File malevolo con di tecniche di evasione, syscalls
Ora esaminiamo il file malevolo dove vengono utilizzate le syscalls. Come si può vedere dalla prima immagine, dalle signature si evince il mancato tracciamento delle syscalls e di conseguenza del metodo di iniezione:

Così come nelle immagini successive dove le syscalls non risultano presenti nell’analisi:

NtWriteVirtualMemory

NtProtectVirtualMemory

NtQueueApcThread

NtAlertResumeThread

Piattaforme a Confronto

Ora,con gli stessi file malevoli utilizzati per i test di cui sopra, confrontiamo due delle piattaforme che si basano su Capev2 le quali, a differenza dell’originale, danno risultati contrastanti:

Test1
In questo primo test entrambe le soluzioni non riescono ad eseguire l’analisi dinamica indice dell’utilizzo di una versione Capev2 non aggionata, dando quindi risultati opposti:

La prima piattaforma riconosce la natura malevola del file analizzato solo attraverso l’analisi di virus total

La seconda piattaforma al contrario non riconosce la natura malevola del file dato che, come detto in precedenza, non riesce ad eseguirlo

Test 2
Nel secondo test, come su capesandbox anche le due piattaforme in esame non riconoscono il file, che viene catalogato come non malevolo:

Capev2 si distingue come un'importante piattaforma di analisi dei malware, grazie alla sua capacità di automazione avanzata, supporto multisistema e natura open-source. Tuttavia, la sua efficacia è messa in ombra da criticità sostanziali nel rilevamento dei malware, dato che le analisi vengono eseguite su un sistema ormai obsoleto come Windows 7; in particolare vi è un serio problema nel tracciamento delle System Calls.
Queste lacune rappresentano una sfida significativa, specialmente considerando  l'importanza di rilevare e mitigare minacce avanzate in un panorama di cyber security in costante evoluzione . 

I risultati dei test suggeriscono una necessità urgente di aggiornamenti continui e di un'evoluzione della piattaforma, per garantire che Capev2 rimanga uno strumento affidabile e all'avanguardia nella lotta contro il malware.
Per le comunità di sicurezza informatica e gli sviluppatori, questo sottolinea l'importanza di una collaborazione stretta e di un impegno costante verso l'innovazione e l'adattamento, per fronteggiare con successo le minacce emergenti e proteggere infrastrutture critiche e dati sensibili.