Beaconing kommunikáció dekódolása
Ausztrál kutatók publikációja az Advanced Persistent Threats (APT-k) detektálásának egy új, fejlett módszerét mutatja be, amely különösen a parancs- és vezérlőszerverekkel (C2) történő kommunikáció elemzésére összpontosít. Az APT-támadások egyre kifinomultabb módszereket alkalmaznak, és gyakran nehezen észlelhetők, mivel a támadók igyekeznek elkerülni a hagyományos szabályalapú és gépi tanulási rendszereket. A kutatás egy új hibrid megközelítést vezet be, amely rejtett állapotok modellezésével és idősoros lebontással képes azonosítani a rosszindulatú hálózati tevékenységeket.
A hagyományos APT-észlelési módszerek közül a szabályalapú rendszerek előre meghatározott minták alapján próbálják felismerni a támadásokat, azonban ezek nem elég rugalmasak, és az ügyes támadók könnyedén megkerülhetik őket. A gépi tanulási technikák egy másik elterjedt megoldást jelentenek, azonban ezek nagy mennyiségű címkézett adatra támaszkodnak, amelyeket nehéz előállítani és fenntartani. Az új megközelítés ezen problémákra kínál alternatívát, mivel felügyelet nélküli tanulási módszereket alkalmaz, így nem igényel előzetesen címkézett adatokat.
A kutatás középpontjában az áll, hogy a rosszindulatú hálózati kommunikációk egy gyakori formáját, a “beaconing” jelenséget észlelje. A beaconing azt jelenti, hogy egy kompromittált rendszer rendszeresen visszakapcsolódik egy C2-szerverhez, amelyet a támadók irányítanak. Ez a mechanizmus lehetővé teszi számukra, hogy további utasításokat küldjenek, adatokat exfiltráljanak vagy dinamikusan módosítsák a malware működését. A beaconing rendkívül nehezen észlelhető, mivel a támadók gyakran olyan technikákat alkalmaznak, amelyekkel az ilyen kommunikációt legitim forgalomnak álcázzák. Például álhíroldalakra irányított kérésekkel, rejtett adatátviteli csatornákkal vagy akár általános SSL-forgalom mögé bújtatott adatcsomagokkal igyekeznek elkerülni a detektálást.
A kutatás 14 valódi hálózati forgalomból származó benchmark adatkészleten, valamint egy szintetikus adathalmazon tesztelte az NetSpectra Sentinel (NSS) teljesítményét, ami egy Continuous Time Hidden Markov Model (CT-HMM) és Time Series Decomposition (TSD) kombinációját alkalmazza Az eredmények azt mutatták, hogy az új módszer jelentősen jobban teljesített a hagyományos statisztikai alapú és botnetdetektáló technikáknál, különösen azokban az esetekben, amikor más módszerek kudarcot vallottak. Az NSS az észlelt fenyegetések pontosságát akár 90%-ra növelte, és a hamis riasztások arányát akár négyszer alacsonyabbra csökkentette más módszerekhez képest.
A kutatás kiemeli, hogy a kibertámadások egyre kifinomultabbá válnak, és a hagyományos védelmi rendszerek már nem mindig elegendők. Az új megközelítés lehetőséget kínál arra, hogy a vállalatok és kormányzati szervek jobban észleljék és elemezzék az APT-k támadási mintázatait, és még a korai szakaszban fellépjenek ellenük. A kutatás jövőbeli irányai között szerepel a modell finomhangolása és a támadók által alkalmazott rejtőzködési technikák elleni fejlesztések, különösen olyan fenyegetésekkel szemben, mint a lassú adatcsöpögtetéses támadások, alacsony intenzitású DoS-támadások és időzített rejtett kommunikációs csatornák.