Oggi, scrivere regole YARA efficaci è un’arte. È un bilanciamento costante tra copertura e precisione, tra il rischio di falsi positivi e quello di lasciarsi sfuggire una variante malevola. Ora, a dare una mano ai threat hunter e ai ricercatori arriva YaraSensei, una webapp gratuita che sfrutta l’intelligenza artificiale per trasformare una regola base in un criterio di detection robusto e affinato.
Il tool, accessibile direttamente online senza necessità di installazione, è stato testato in anteprima da inSicurezzaDigitale e i risultati sono promettenti. Basta incollare una propria regola YARA e in pochi secondi YaraSensei restituisce una versione migliorata, con ottimizzazioni che spaziano dalla logica condizionale alla scelta dei letterali, fino alla gestione degli offuscamenti.
Abbiamo raggiunto lo sviluppatore Diego R. Vigo (Malaga), studente che ha condiviso con noi alcuni retroscena tecnici sul dietro le quinte dell’applicazione.
Dietro le mura: RAG, Gemini e Gemma
La magia di YARASensei non nasce da un modello monolito addestrato da zero, ma da un’architettura ibrida e intelligente che affronta pragmaticamente le sfide di costo e aggiornamento.
Il cuore del potenziamento delle regole si basa su un’architettura RAG (Retrieval-Augmented Generation). Questa scelta non è casuale. Come ci ha spiegato lo sviluppatore, la strada di creare un modello da zero o di effettuare un fine-tuning completo su un LLM esistente si è scontrata con una realtà imprescindibile: “Un computational cost che non potevo assumermi da studente”. Inoltre, il mondo delle YARA rules e del malware è in costante e rapidissima evoluzione; un modello statico rischierebbe di diventare obsoleto in pochi mesi.
Il RAG supera questi limiti. In pratica, quando l’utente sottopone una regola, il sistema probabilmente interroga un knowledge base aggiornato (documentazione YARA, best practice, esempi di regole efficaci) per “recuperare” informazioni contestuali rilevanti. Questi dati vengono poi iniettati come contesto in un potente modello generativo, che in questo caso è Gemini di Google.
La scelta di Gemini non è solo una questione di potenza di calcolo. “Gemini è il modello di Google, come VirusTotal (il creatore di YARA)”, ci tiene a precisare l’autore, sottolineando una quasi “affinità elettiva” tra lo strumento e la tecnologia che sta alla base della piattaforma di threat intelligence più usata al mondo.
Per un altro compito, quello di generare un riepilogo (resume) delle modifiche apportate, viene impiegato Gemma, il modello open-source più leggero sempre di Google. Questo dualismo ottimizza le prestazioni e i costi, utilizzando il modello più grande e capace (Gemini) per il lavoro pesante di arricchimento e uno più snello (Gemma) per compiti più semplici.
Una corsa contro il tempo
L’obiettivo finale, al di là dello strumento stesso, è chiaro: imparare e farsi strada. “Ho imparato moltissimo nell’applicare l’AI alla sicurezza. Spero che questo progetto possa boostare la mia carriera in quest’area”.
YaraSensei si presenta quindi non solo come un utility promettente e gratuita per la comunità, ma anche come un brillante esempio di portfolio project: un progetto concreto che dimostra competenze trasversali tra sicurezza informatica, intelligenza artificiale e problem solving ingegneristico.
Con l’annuncio su LinkedIn arrivato poco fa, la comunità dei security expert ha ora un nuovo alleato AI da mettere alla prova. E il suo creatore, un biglietto da visita d’impatto per il futuro.
Complimenti Diego, ottimo lavoro.
Link: YaraSensei