Un nuevo estudio sugiere que, al analizar el tráfico de red que se dirige a dominios sospechosos, los administradores de seguridad podrían detectar infecciones de malware semanas o incluso meses antes de que puedan capturar una muestra del malware invasor. Los hallazgos apuntan a la necesidad de nuevos malware-estrategias de detección independientes que brindarán a los defensores de la red la capacidad de identificar las brechas de seguridad de la red de manera más oportuna.
La estrategia aprovecharía el hecho de que los invasores de malware necesitan comunicarse con sus computadoras de comando y control, creando tráfico de red que pueda ser detectado y analizado. Tener una advertencia previa de desarrollar infecciones de malware podría permitir respuestas más rápidas y potencialmente reducir el impactode ataques, dicen los investigadores del estudio.
"Nuestro estudio muestra que para cuando encuentra el malware, ya es demasiado tarde porque las comunicaciones de red y los nombres de dominio utilizados por el malware estaban activos semanas o incluso meses antes de que se descubriera el malware real", dijo Manos Antonakakis, un asistenteprofesor de la Escuela de Ingeniería Eléctrica e Informática del Instituto de Tecnología de Georgia. "Estos resultados muestran que debemos cambiar fundamentalmente nuestra forma de pensar sobre la defensa de redes".
Las defensas tradicionales dependen de la detección de malware en una red. Si bien el análisis de muestras de malware puede identificar dominios sospechosos y ayudar a atribuir ataques de red a sus fuentes, confiar en las muestras para impulsar acciones defensivas brinda a los actores maliciosos una ventaja de tiempo crítica para recopilar información y causardaño ". Lo que debemos hacer es minimizar la cantidad de tiempo entre el compromiso y el evento de detección", agregó Antonakakis.
La investigación, que se presentará el 24 de mayo en el 38º Simposio de Seguridad y Privacidad de IEEE en San José, California, fue apoyada por el Departamento de Comercio de EE. UU., La Fundación Nacional de Ciencias, el Laboratorio de Investigación de la Fuerza Aérea y los Proyectos de Investigación Avanzada de DefensaAgencia. El proyecto se realizó en colaboración con EURECOM en Francia y el Instituto IMDEA Software en España, cuyo trabajo fue apoyado por el gobierno regional de Madrid y el gobierno de España.
En el estudio, Antonakakis, el Asistente de Investigación de Posgrado Chaz Lever y sus colegas analizaron más de cinco mil millones de eventos de red de casi cinco años de tráfico de red realizado por un importante proveedor de servicios de Internet ISP de los Estados Unidos. También estudiaron el servidor de nombres de dominio DNSsolicitudes realizadas por casi 27 millones de muestras de malware y examinado el momento para el nuevo registro de dominios caducados, que a menudo proporcionan los sitios de lanzamiento para ataques de malware.
"Había ciertas redes que eran más propensas al abuso, por lo que buscar tráfico en esas redes de puntos críticos era potencialmente un buen indicador de abuso en curso", dijo Lever, el primer autor del artículo y estudiante de la Escuela de Tecnología de Georgia TechIngeniería eléctrica e informática: "Si ve muchas solicitudes de DNS que apuntan a puntos críticos de abuso, eso debería generar preocupación sobre posibles infecciones".
Los investigadores también descubrieron que las solicitudes de DNS dinámico también se relacionaban con una mala actividad, ya que a menudo se correlacionan con los servicios utilizados por los malos actores porque proporcionan registros de dominio gratuitos y la capacidad de agregar dominios rápidamente.
Los investigadores esperaban que el registro de nombres de dominio caducados anteriormente pudiera proporcionar una advertencia de ataques inminentes. Pero Lever descubrió que a menudo había un retraso de meses entre el momento en que los dominios caducados se volvieron a registrar y comenzaron sus ataques.
La investigación requirió el desarrollo de un sistema de filtrado para separar el tráfico de red benigno del tráfico malicioso en los datos del ISP. Los investigadores también realizaron lo que creen que es el mayor esfuerzo de clasificación de malware hasta la fecha para diferenciar el software malicioso de los programas potencialmente no deseados PUPPara estudiar las similitudes, asignaron el malware a "familias" específicas.
Al estudiar el tráfico de red relacionado con el malware visto por los ISP antes de la detección del malware, los investigadores pudieron determinar que las señales de malware estaban presentes semanas e incluso meses antes de que se encontrara un nuevo software malicioso. En relación con la salud humana, Antonakakis comparala red señala la fiebre o la sensación general de malestar que a menudo precede a la identificación del microorganismo responsable de una infección.
"Sabes que estás enfermo cuando tienes fiebre, antes de saber exactamente qué lo está causando", dijo. "Lo primero que hace el adversario es establecer una presencia en Internet, y esa primera señal puede indicar una infección"Deberíamos tratar de observar ese síntoma primero en la red porque si esperamos ver la muestra de malware, es casi seguro que permitiremos que se desarrolle una infección importante".
En total, los investigadores encontraron más de 300,000 dominios de malware que estuvieron activos durante al menos dos semanas antes de que se identificaran y analizaran las muestras de malware correspondientes.
Pero al igual que con la salud humana, la detección de un cambio que indica infección requiere conocer la actividad de referencia, dijo. Los administradores de la red deben tener información sobre el tráfico normal de la red para que puedan detectar las anomalías que pueden indicar un ataque en desarrollo. Si bien muchos aspectos de unel ataque puede estar oculto, el malware siempre debe comunicarse con quienes lo enviaron.
"Si tiene la capacidad de detectar tráfico en una red, independientemente de cómo haya entrado el malware, la acción de comunicarse a través de la red será observable", dijo Antonakais. "Los administradores de red deben minimizar las incógnitas en sus redes".y clasifique sus comunicaciones apropiadas tanto como sea posible para que puedan ver la mala actividad cuando ocurra "
Antonakakis y Lever esperan que su estudio conduzca al desarrollo de nuevas estrategias para defender las redes de computadoras.
"El punto de estrangulamiento es el tráfico de la red, y ahí es donde se debe librar esta batalla", dijo Antonakakis. "Este estudio proporciona una observación fundamental de cómo se debe diseñar la próxima generación de mecanismos de defensa. A medida que surjan ataques más complicados, tendremos que ser más inteligentes para detectarlos antes "
Fuente de la historia :
Materiales proporcionado por Instituto de Tecnología de Georgia . Original escrito por John Toon. Nota: El contenido puede ser editado por estilo y longitud.
Cita esta página :