Considerações-chave para a sua Plataforma como Estratégia de Serviço
Uma das razões de malware recebe defesas corporativas últimos é que um único pedido HTTP pode parecer perfeitamente inocente. No entanto, de acordo com a pesquisa a ser apresentada em uma conferência de segurança na próxima semana, os pedidos revelam-se se o defensor tem uma visão "grande figura".
De acordo com a pesquisa a ser apresentado na Rede da Sociedade da Internet e sistema distribuído Symposium , em uma escala muito grande, as solicitações HTTP emitidas por usuários que cometem o erro de clicar em um link de malwares se fácil identificar - mesmo sem ter que analisar o conteúdo do conteúdo HTTP baixado.
Liderados por Luca Invernizzi em UC Santa Barbera, a pesquisa foi projetado para evitar as armadilhas dos sistemas de protecção em vigor. "Drive-by exploits usar a web para baixar binários de malware. Finalmente, Nazca não executa qualquer análise do conteúdo de downloads na web, exceto para a extração de seu tipo MIME. Ou seja, não se aplicam quaisquer assinaturas para a carga da rede, não olhe para os recursos dos programas baixados, e não consideram a reputação de fontes dos programas ", afirma o estudo.
Em vez disso, o seu sistema, apelidado de Nazca, relógios tráfego Web entre os hosts de um lado da rede, e da Internet, à procura de conexões associadas com os downloads de malware.
Quando solicitações HTTP que Nazca está assistindo está baixando um EXE-possivelmente suspeito, explicam os autores, eles aprenderam a identificar as características de conexão associados que são diferentes de downloads legítimos. Por exemplo, "ações evasivas" dos autores de malware como "fluxing domínio, reembalagem malware, eo uso de conta-gotas de malware para instalações multi-passo" fazer um ataque mais fácil de reconhecer para Nazca.
Essa informação é agregada para identificar, atividades maliciosas relacionadas - e, assim, reduzir a taxa de falsos positivos, dizem.
Na coleta de informações de trânsito, Nazca olha cabeçalhos IP e TCP pacotes, cabeçalhos HTTP, e bastante carga HTTP para obter as informações de tipo MIME, que é hash para torná-lo fácil de testar downloads do programa para a singularidade. O sistema recolhe também "um hash conteúdo das descompactados primeiros bytes k no início do processo" - com k = 1,000 para o teste.
A análise, afirma o estudo, então se concentra na identificação de técnicas de distribuição de malware conhecidos. Por exemplo, o polimorfismo do lado do servidor é identificável desde o host de malware está enviando um grande número de EXEs cujos hashes não irá corresponder. Outras características que Nazca olha é o número de domínios ou endereços IP associados com uma campanha de malware, tais como:
- Distribuição de um único IP operando muitos domínios Colocated;
- A utilização de um grande número de TLDs;
- Muitos diferentes caminhos e nomes de arquivos atendidos pela distribuidora (como evidência de polimorfismo) e
- Desconfiada alguns URIs por domínio (porque CDNs legítimos normalmente têm muito grandes estruturas de diretório, e
- Servido tipos de arquivos (por causa CDNs servir muitos tipos de arquivos, enquanto os servidores de malware focar EXEs.
Enquanto nenhuma característica única demonstra a malícia, tomados em conjunto em uma amostra grande o suficiente de tráfego - uma rede muito grande empresa, ou de uma rede ISP - os autores afirmam a sua abordagem pode identificar de dia zero campanhas de malware com uma baixa taxa de falsos positivos.
O papel, apareceu pela CRN Austrália, pode ser baixado aqui como um PDF. ®
Nenhum comentário:
Postar um comentário