Il traffico di rete fornisce un'indicazione precoce dell'infezione da malware
Pubblicato da Georgia Institute of Technology in NETWORK SECURITY · 22 Aprile 2019
Tags: traffico, rete, malware, pericoli, in, rete, prevenzione, malware
Tags: traffico, rete, malware, pericoli, in, rete, prevenzione, malware
Analizzando il traffico di rete verso domini sospetti, gli amministratori della sicurezza potrebbero rilevare le infezioni da malware settimane o addirittura mesi prima che siano in grado di catturare un campione del malware invasore, suggerisce un nuovo studio. I risultati indicano la necessità di nuove strategie di rilevamento indipendenti dal malware che offrano ai difensori della rete la possibilità di identificare le violazioni della sicurezza della rete in modo più tempestivo.
La strategia trarrebbe vantaggio dal fatto che gli invasori di malware devono comunicare con i loro computer di comando e controllo, creando traffico di rete che può essere rilevato e analizzato. Avere un avvertimento precedente sullo sviluppo di infezioni da malware potrebbe consentire risposte più rapide e potenzialmente ridurre l'impatto degli attacchi, dicono i ricercatori dello studio.
"Il nostro studio mostra che nel momento in cui trovi il malware, è già troppo tardi perché le comunicazioni di rete ei nomi di dominio utilizzati dal malware sono attivi settimane o addirittura mesi prima che venisse scoperto il malware reale", ha affermato Manos Antonakakis, un assistente professore in la School of Electrical and Computer Engineering presso il Georgia Institute of Technology. "Questi risultati mostrano che dobbiamo cambiare radicalmente il modo in cui pensiamo alla difesa della rete".
Le difese tradizionali dipendono dal rilevamento di malware in una rete. Durante l'analisi di campioni di malware è possibile identificare domini sospetti e aiutare ad attribuire attacchi di rete alle proprie fonti, affidarsi a campioni per guidare azioni difensive e offrire agli attori malintenzionati un vantaggio temporale importante per raccogliere informazioni e causare danni. "Quello che dobbiamo fare è minimizzare la quantità di tempo tra il compromesso e l'evento di rilevamento", ha aggiunto Antonakakis.
La ricerca, che verrà presentata il 24 maggio al 38 ° Convegno IEEE sulla sicurezza e sulla privacy a San Jose, in California, è stata supportata dal Dipartimento del commercio statunitense, dalla National Science Foundation, dall'Air Force Research Laboratory e dalla Defense Advanced Research Projects Agency. Il progetto è stato realizzato in collaborazione con EURECOM in Francia e l'IMDEA Software Institute in Spagna, il cui lavoro è stato sostenuto dal governo regionale di Madrid e dal governo spagnolo.
Nello studio, Antonakakis, Assistente di ricerca laureato Chaz Lever e colleghi hanno analizzato oltre cinque miliardi di eventi di rete da quasi cinque anni di traffico di rete trasportati da un importante fornitore di servizi Internet degli Stati Uniti (ISP). Hanno anche studiato le richieste DNS (Domain Name Server) effettuate da quasi 27 milioni di campioni di malware e hanno esaminato i tempi per la re-registrazione dei domini scaduti, che spesso forniscono i siti di lancio per gli attacchi di malware.
"C'erano alcune reti che erano più inclini ad abusare, quindi cercare traffico in quelle reti hot spot era potenzialmente un buon indicatore di abuso in corso", ha detto Lever, il primo autore del giornale e uno studente della Georgia Tech's School of Electrical e Ingegneria Informatica. "Se vedi un sacco di richieste DNS che puntano a punti caldi di abuso, questo dovrebbe destare preoccupazioni su potenziali infezioni".
I ricercatori hanno anche scoperto che le richieste di DNS dinamico sono correlate anche a cattive attività, in quanto spesso correlate ai servizi utilizzati dai cattivi attori perché forniscono registrazioni di domini gratuiti e la possibilità di aggiungere rapidamente domini.
I ricercatori speravano che la registrazione dei nomi di dominio precedentemente scaduti potesse fornire un avvertimento sugli attacchi imminenti. Ma Lever trovò che spesso c'era un intervallo di mesi tra il momento in cui i domini scaduti venivano ri-registrati e iniziarono gli attacchi da parte loro.
La ricerca richiedeva lo sviluppo di un sistema di filtraggio per separare il traffico di rete benigno dal traffico malevolo nei dati ISP. I ricercatori hanno anche condotto quello che secondo loro è il più grande sforzo di classificazione del malware fino ad oggi per differenziare il software dannoso da programmi potenzialmente indesiderati (PUP). Per studiare le somiglianze, hanno assegnato il malware a "famiglie" specifiche.
Studiando il traffico di rete relativo al malware visto dagli ISP prima del rilevamento del malware, i ricercatori sono stati in grado di determinare che i segnali di malware erano presenti settimane e persino mesi prima che venisse trovato un nuovo software dannoso. Per quanto riguarda la salute umana, Antonakakis confronta i segnali di rete con la febbre o con un generale malessere che spesso precede l'identificazione del microrganismo responsabile di un'infezione.
"Sai che sei malato quando hai la febbre, prima di sapere esattamente cosa lo causa", ha detto. "La prima cosa che fa l'avversario è impostare una presenza su Internet, e quel primo segnale può indicare un'infezione, dovremmo cercare di osservare quel sintomo prima sulla rete perché se aspettiamo di vedere il campione di malware, siamo quasi certamente permettendo che si sviluppi una grave infezione ".
In totale, i ricercatori hanno trovato oltre 300.000 domini di malware attivi per almeno due settimane prima che i corrispondenti campioni di malware fossero identificati e analizzati.
Ma come per la salute umana, il rilevamento di un cambiamento che indica un'infezione richiede la conoscenza dell'attività di base, ha affermato. Gli amministratori di rete devono avere informazioni sul normale traffico di rete in modo che possano rilevare le anomalie che potrebbero segnalare un attacco in via di sviluppo. Mentre molti aspetti di un attacco possono essere nascosti, il malware deve sempre comunicare a chi lo ha inviato.
"Se hai la capacità di rilevare il traffico in una rete, indipendentemente da come potrebbe essere entrato il malware, l'azione di comunicare attraverso la rete sarà osservabile", ha detto Antonakais. "Gli amministratori di rete dovrebbero minimizzare le incognite nelle loro reti e classificare le comunicazioni appropriate il più possibile in modo che possano vedere l'attività sbagliata quando succede".
Antonakakis e Lever sperano che il loro studio porti allo sviluppo di nuove strategie per difendere le reti di computer.
"Il punto di strozzatura è il traffico di rete, ed è qui che dovrebbe essere combattuta questa battaglia", ha detto Antonakakis. "Questo studio fornisce un'osservazione fondamentale su come dovrebbe essere progettata la prossima generazione di meccanismi di difesa: quando verranno creati attacchi più complicati, dovremo essere più intelligenti nel rilevarli prima".
Sorgente:
Materiali forniti dal Georgia Institute of Technology . Originale scritto da John Toon.