Zpět na seznam aktualit     Číst komentáře (0)     Verze pro tisk

Nazca: širší perspektivou k změně způsobu detekce

Autor: danielberanek   
18.2.2014

Systém Nazca má pomoci poskytovatelům internetového připojení a provozovatelům velkokapacitních sítí tam, kde blacklisty a antivirová řešení selhávají.


Malware prochází ochrannými mechanismy často proto, že prostý HTTP request nemusí být nutně identifikován coby hrozba. Pokud jsou ovšem tyto requesty analyzovány nikoliv na úrovni cíle, nýbrž na úrovni sítě, vykazuje jejich chování vzorec, pomocí kterého je lze identifikovat i bez analýzy staženého obsahu.

Na této myšlence je postaven výzkum skupiny kolem Lucy Invernizziho a jeho výsledek v podobě systému Nazca. Dle Invernizziho Nazca neanalyzuje obsah webového downloadu (krom extrakce MIME type): nepokouší se detekovat drive-by exploity, které stahují malware, ani neanalyzuje stažené programy, ani nebere v úvahu pověst zdrojů programů. Místo toho Nazca sleduje webový provoz hostitele a možná podezřelá přidružená spojení související s downloadem malwaru. Např. pokud HTTP request stahuje podezřelý EXE, Nazca je schopna identifikovat úskočné chování typu domain-fluxing, malware repackaging, využití malware dropperů aj.

Nazca shromažďuje IP adresy, hlavičky TCP paketů, HTTP hlavičky a dostatek HTTP payloadu k získání MIME type. Analýza Nazca se pak soustředí na známé charakteristiky distribuce malwaru typu:

  • jedna IP adresa obsluhuje mnoho souvisejících domén,
  • velký počet TLD,
  • přespočet různých cest a jmen souborů distributora,
  • podezřele málo URI (v přepočtu) na doménu,
  • typ souborů (distribuce malwaru se soustředí na EXE).

I když jednotlivé projevy ještě nemusí signalizovat útok, při analýze provozu celé sítě lze dobře identifikovat vzorce útočného chování a to i v případě zero-day malwaru. Při devítidenním testování na síti nejmenovaného poskytovatele vykázala Nazca velmi nízkou úroveň falešně pozitivní detekce, imunitu vůči obfuskaci obsahu a odhalila dříve neidentifikovaný malware.

Veškeré poznatky budou publikovány na nadcházejícím Network and Distributed System Security Symposium v San Diegu, do výzkumné zprávy můžete nahlédnout rovnou (PDF).

 

Zdroje: Help Net Security, The Register, INVERNIZZI et al. Nazca: Detecting Malware Distribution in Large-Scale Networks (PDF)

Zdroj: http://www.net-security.org/malware_news.php?id=2712


Social Bookmarking

     





Hodnocení/Hlasovalo: 2/2

1  2  3  4  5    
(známkování jako ve škole)