Malware prochází ochrannými mechanismy často proto, že prostý HTTP request nemusí být nutně identifikován coby hrozba. Pokud jsou ovšem tyto requesty analyzovány nikoliv na úrovni cíle, nýbrž na úrovni sítě, vykazuje jejich chování vzorec, pomocí kterého je lze identifikovat i bez analýzy staženého obsahu.
Na této myšlence je postaven výzkum skupiny kolem Lucy Invernizziho a jeho výsledek v podobě systému Nazca. Dle Invernizziho Nazca neanalyzuje obsah webového downloadu (krom extrakce MIME type): nepokouší se detekovat drive-by exploity, které stahují malware, ani neanalyzuje stažené programy, ani nebere v úvahu pověst zdrojů programů.
Místo toho Nazca sleduje webový provoz hostitele a možná podezřelá přidružená spojení související s downloadem malwaru. Např. pokud HTTP request stahuje podezřelý EXE, Nazca je schopna identifikovat úskočné chování typu domain-fluxing, malware repackaging, využití malware dropperů aj.
Nazca shromažďuje IP adresy, hlavičky TCP paketů, HTTP hlavičky a dostatek HTTP payloadu k získání MIME type. Analýza Nazca se pak soustředí na známé charakteristiky distribuce malwaru typu:
I když jednotlivé projevy ještě nemusí signalizovat útok, při analýze provozu celé sítě lze dobře identifikovat vzorce útočného chování a to i v případě zero-day malwaru. Při devítidenním testování na síti nejmenovaného poskytovatele vykázala Nazca velmi nízkou úroveň falešně pozitivní detekce, imunitu vůči obfuskaci obsahu a odhalila dříve neidentifikovaný malware.
Veškeré poznatky budou publikovány na nadcházejícím Network and Distributed System Security Symposium v San Diegu, do výzkumné zprávy můžete nahlédnout rovnou (PDF).
Zdroje: Help Net Security, The Register, INVERNIZZI et al. Nazca: Detecting Malware Distribution in Large-Scale Networks (PDF)