Ao analisar o tráfego de rede que chega a domínios suspeitos, os administradores de segurança podem detectar infecções por malware semanas ou até meses antes de conseguirem capturar uma amostra do malware invasor, sugere um novo estudo.
As descobertas apontam para a necessidade de novas estratégias de detecção independentes de malware, que darão aos defensores da rede a capacidade de identificar violações de segurança da rede em tempo hábil.
A estratégia tiraria vantagem do fato de que os invasores de malware precisam se comunicar com seus computadores de comando e controle, criando tráfego de rede que pode ser detectado e analisado. Ter um aviso prévio sobre o desenvolvimento de infecções por malware poderia permitir respostas mais rápidas e potencialmente reduzir o impacto dos ataques, dizem os pesquisadores do estudo.
“Nosso estudo mostra que, quando você encontra o malware, já é tarde demais, porque as comunicações de rede e os nomes de domínio usados pelo malware estavam ativos semanas ou meses antes da descoberta do malware”, disse Manos Antonakakis, professor assistente de a Escola de Engenharia Elétrica e de Computação do Georgia Institute of Technology. “Essas descobertas mostram que precisamos mudar fundamentalmente a maneira como pensamos em defesa de rede”.
As defesas tradicionais dependem da detecção de malware em uma rede. Embora a análise de amostras de malware possa identificar domínios suspeitos e ajudar a atribuir ataques à rede às suas fontes, contar com amostras para conduzir ações defensivas oferece aos atores mal-intencionados uma vantagem crítica no tempo para coletar informações e causar danos. “O que precisamos fazer é minimizar a quantidade de tempo entre o compromisso e o evento de detecção”, acrescentou Antonakakis.
A pesquisa, que será apresentada em 24 de maio no 38º Simpósio de Segurança e Privacidade do IEEE em San Jose, Califórnia, teve o apoio do Departamento de Comércio dos EUA, da National Science Foundation, do Air Force Research Laboratory e da Defense Advanced Research Projects Agency. O projeto foi realizado em colaboração com o EURECOM na França e o Instituto de Software IMDEA na Espanha – cujo trabalho foi apoiado pelo governo regional de Madri e pelo governo da Espanha.
No estudo, Antonakakis, Chaz Lever, assistente de pós-graduação e colegas, analisou mais de cinco bilhões de eventos de rede de quase cinco anos de tráfego de rede transportado por um grande provedor de serviços de Internet dos EUA. Eles também estudaram as solicitações de servidor de nomes de domínio (DNS) feitas por quase 27 milhões de amostras de malware e examinaram o momento para o re-registro de domínios expirados – que geralmente fornecem os sites de lançamento para ataques de malware.
“Havia certas redes que eram mais propensas a abusos, portanto, procurar tráfego nessas redes de hot spots era potencialmente um bom indicador de abuso em andamento”, disse Lever, o primeiro autor do artigo e um estudante da Escola de Eletrônica e Elétrica da Georgia Tech. Engenharia de Computação. “Se você vir muitas solicitações de DNS apontando para pontos críticos de abuso, isso deve suscitar preocupações sobre possíveis infecções”.
Mercado de cibersegurança: Brasil é um dos líderes,em incidentes envolvendo ransomware
Os pesquisadores também descobriram que os pedidos de DNS dinâmico também se relacionam a atividades ruins, pois geralmente se correlacionam com serviços usados por atores ruins, porque fornecem registros de domínio gratuitos e a capacidade de adicionar domínios rapidamente.
Os pesquisadores esperavam que o registro de nomes de domínio expirados anteriormente pudesse fornecer um aviso de ataques iminentes. Mas Lever descobriu que muitas vezes havia um intervalo de meses entre quando os domínios expirados eram registrados novamente e os ataques deles começavam.
A pesquisa exigiu o desenvolvimento de um sistema de filtragem para separar o tráfego benigno da rede do tráfego malicioso nos dados do provedor. Os pesquisadores também realizaram o que acreditam ser o maior esforço de classificação de malware até o momento para diferenciar o software malicioso dos programas potencialmente indesejados (PUPs). Para estudar as semelhanças, eles atribuíram o malware a “famílias” específicas.
Ao estudar o tráfego de rede relacionado a malware visto pelos ISPs antes da detecção do malware, os pesquisadores conseguiram determinar que os sinais de malware estavam presentes semanas e até meses antes da descoberta de um novo software malicioso. Relacionando isso à saúde humana, Antonakakis compara os sinais da rede com a febre ou sensação geral de mal-estar que geralmente precede a identificação do microrganismo responsável por uma infecção.
“Você sabe que está doente quando está com febre, antes de saber exatamente o que está causando isso”, disse ele. “A primeira coisa que o adversário faz é estabelecer uma presença na Internet, e esse primeiro sinal pode indicar uma infecção. Devemos tentar observar esse sintoma primeiro na rede, porque se esperarmos para ver a amostra de malware, estamos quase certamente permitindo que uma infecção maior se desenvolva “.
No total, os pesquisadores descobriram mais de 300.000 domínios de malware ativos por pelo menos duas semanas antes que as amostras de malware correspondentes fossem identificadas e analisadas.
Ciberguerra: Satélites Militares dos EUA e os ciberataques da China e Rússia
Mas, como na saúde humana, detectar uma mudança indicando infecção requer conhecimento da atividade de linha de base, disse ele. Os administradores de rede devem ter informações sobre o tráfego de rede normal para poder detectar as anormalidades que podem sinalizar um ataque em desenvolvimento. Embora muitos aspectos de um ataque possam estar ocultos, o malware sempre deve se comunicar com aqueles que o enviaram.
“Se você tem a capacidade de detectar tráfego em uma rede, independentemente de como o malware tenha entrado, a ação de comunicação pela rede será observável”, disse Antonakais. “Os administradores de rede devem minimizar as incógnitas em suas redes e classificar suas comunicações apropriadas o máximo possível, para que possam ver a atividade ruim quando isso acontecer”.
Antonakakis e Lever esperam que seu estudo leve ao desenvolvimento de novas estratégias para defender as redes de computadores.
“O ponto de estrangulamento é o tráfego da rede, e é aí que essa batalha deve ser travada”, disse Antonakakis. “Este estudo fornece uma observação fundamental de como a próxima geração de mecanismos de defesa deve ser projetada. À medida que ataques mais complicados surgirem, teremos que nos tornar mais inteligentes em detectá-los mais cedo”.
