Новый метод обнаружения использует против хакеров их собственные шаблоны джиттера
Эксперты по кибербезопасности из Varonis Threat Labs разработали новый хитрый способ обнаружения скрытых кибератак, даже тех, которые используются высококвалифицированными спонсируемыми государством группами и преступными группировками.
Их новая техника, называемая Jitter-Trap, фокусируется на выявлении закономерностей случайности, которые хакеры используют, чтобы оставаться в тайне. Этот новый подход направлен на то, чтобы поймать сложную часть кибератак, известную как «пост-эксплуатация и C2-коммуникация».
Для вашего сведения, злоумышленники часто используют специальное программное обеспечение или маяки, которые посылают сигналы обратно в их центры управления. Эти маяки разработаны так, чтобы их было трудно обнаружить, используя случайные тайминги, как сердцебиение, которое ускоряется и замедляется без четкой закономерности.
Метод Jitter-Trap полностью переворачивает эту идею. Вместо того, чтобы обманываться случайностью, исследование Варониса показывает, что эта самая случайность создает свой собственный уникальный отпечаток, который могут обнаружить команды безопасности.
Эти маяки являются частью более крупных хакерских инструментов, иногда называемых постэксплуатационными фреймворками, такими как Cobalt Strike или Sliver . Хотя эти инструменты могут использоваться в благих целях, например для тестирования безопасности, преступники могут использовать их, чтобы незаметно оставаться внутри сети, красть данные или захватывать компьютеры. Эти продвинутые инструменты включают способы скрыть свою активность, делая свой сетевой трафик похожим на обычное использование интернета, например, безобидное обновление Microsoft или обычное посещение веб-сайта.
Традиционно команды безопасности ищут известные плохие файлы, необычные действия пользователя или определенные сетевые шаблоны, чтобы обнаружить эти скрытые угрозы. Однако хакеры постоянно обновляют свои методы, что позволяет легко обходить старые правила обнаружения или создавать новые способы избежать поимки. Jitter-Trap от Varonis специально изучает, как взаимодействуют маяки, согласно их сообщению в блоге , опубликованному на Hackread.com.
Когда эти маяки проверяют своих операторов, они используют время сна и настройку джиттера. Сон — это то, как долго они ждут между проверками, а джиттер добавляет случайность к этому времени ожидания. Хотя многие легитимные онлайн-сервисы также используют регулярные проверки, конкретный тип случайности, создаваемый настройками джиттера маяка, обычно уникален.
Более того, Варонис обнаружил, что хотя джиттер призван скрывать активность, случайные тайминги, которые он производит, особенно в течение длительных периодов, формируют узнаваемую модель, например равномерное распределение, которое нетипично для обычного сетевого трафика. Это позволяет экспертам по безопасности выявлять эти тонкие различия. Этот метод также применим к другим случайным элементам, таким как размер отправляемых данных или способ генерации веб-адресов (URL).
Этот метод обнаружения помогает специалистам по безопасности лучше защищаться от сложных угроз. Выявляя эти конкретные случайные шаблоны, организации могут более эффективно обнаруживать и останавливать скрытую киберактивность, используя против них собственные методы уклонения злоумышленников.
HackRead
