Black Hat Europe: Maschinenlernen bietet neuen Ansatz für Erkennen von IOCs

Von Trend Micro


Indicators of Compromise (IOCs) sind für die Forensik sehr wichtige Elemente und werden im Rahmen der Reaktion auf Sicherheitsvorfälle (Incident Response) und in der Bedrohungsforschung eingesetzt, um festzustellen, ob ein System kompromittiert wurde. Sie nehmen unterschiedliche Formen an, etwa als von der Norm abweichender nach außen führender Netzwerkverkehr, als MD5-Datei im Temporary-Verzeichnis oder gar als Unregelmäßigkeit beim Anmelden. Eine Klasse der IOCs, die durch traditionelle Methoden nicht zu erkennen sind, stellt die Nutzung von externen Inhalten in webbasierten Angriffen dar. Auf der Black Hat Europe stellte Marco Balduzzi, Senior Security Researcher bei Trend Micro, dar, wie ein neuer auf Maschinenlernen beruhender Ansatz hervorragende Ergebnisse bei der frühen Erkennung solcher Bedrohungen hervorbringen kann.

Grenzen überwinden

Wenn Angreifer eine Webanwendung kompromittieren, um einen Angriff zu starten, so setzen sie häufig externe Inhalte ein. Diese können als beliebte JavaScript-Bibliotheken wie jQuery daherkommen, als Schmuckelemente, um das Look-and-Feel der Seite zu verbessern oder gar als Scripts, die wiederverwendbare Funktionen implementieren. Diese Elemente sind zwar an sich nicht bösartig, doch gerade die Tatsache, dass sie so harmlos sind, macht es Web Scannern und anderen herkömmlichen Tools sehr schwer, festzustellen, wann es sich um IOCs handelt.

Doch sind sie vorhanden, können sie dazu genutzt werden, um eine kompromittierte Webseite präzise zu erkennen, und daher sind sie potenziell gute IOCs. Balduzzi und sein Team erstellten einen interaktiven Honeypot, der fünf angreifbare Web-Apps und 100 Domänen zur Verfügung stellte. Doch erwiesen sie sich als nicht sehr erfolgreich, denn die möglichen IOCs zeigten sich dem Inhalt nach als gutartig – vor allem, weil die Angreifer häufig versuchen eine Seiteninspektion zu verhindern. Daher entschieden die Sicherheitsforscher, die Analyse auszuweiten und den Kontext mit einzuschließen.

Sie nutzten Techniken mit maschinellem Lernen auf der Grundlage des Weka Frameworks und analysierten einige Validatoren wie die folgenden:

  • Seitenähnlichkeit: Angreifer verwenden häufig dasselbe Template mehrmals.
  • Ungewöhnlicher Ursprung: Gewöhnliche Scripts werden häufig wiederverwendet, doch dann an anderer Stelle gehostet, z.B. kompromittierte Sites in Russland.
  • Bösartigkeit: Reputation der Parent-Webseiten,
  • Verbreitung der Komponenten: Sehr weit verbreitete Ressourcen wie Facebook SDKs sind häufig gutartig.
  • Sicherheitsforen: Diskussionen in den Foren unterstützen die Informationen der Forschung.

Nach monatelangem Zuführen von Trainingsdaten und der Nutzung von nicht überwachtem Lernen sowie dem Einsatz von Clustering-Technik für eine Erkundungsanalyse, führte das Team ein viermonatiges Live-Experiment durch. Es erstellte 303 einzigartige IOC-Kandidaten und validierte 96 automatisch als echt. Erstaunliche 90 % waren vorher nicht bekannt oder falsch klassifiziert worden, und lediglich 6 % der kompromittierten Parent-Seiten waren von Virus Total erkannt worden, erklärte Balduzzi.

Mehr als 10 % wurden sogar auf Google Drive/Code gehostet, wobei eine mehr als ein Jahr Online war. Sie konnten mit Dutzenden Web-Verunstaltungen, Drive-by-Angriffen, Phishing-Attacken, Adware-Kampagnen und anderem mehr in Verbindung gebracht werden.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*