Nuevo método de detección utiliza los propios patrones de fluctuación de los hackers en su contra

Los expertos en ciberseguridad de Varonis Threat Labs han identificado una nueva e inteligente forma de detectar ciberataques ocultos, incluso aquellos utilizados por grupos altamente capacitados patrocinados por estados y bandas criminales.

Su nueva técnica, llamada Jitter-Trap, se centra en identificar patrones aleatorios que los hackers utilizan para mantener el anonimato. Este nuevo enfoque busca detectar una parte compleja de los ciberataques conocida como "comunicación de postexplotación y C2".

Para su información, los atacantes suelen usar software especial, o balizas, que envían señales a sus centros de control. Estas balizas están diseñadas para ser difíciles de encontrar mediante el uso de sincronizaciones aleatorias, como un latido que se acelera y se ralentiza sin un patrón claro.

El método Jitter-Trap revierte esta idea por completo. En lugar de dejarse engañar por la aleatoriedad, la investigación de Varonis demuestra que esta misma aleatoriedad crea su propia huella digital única que los equipos de seguridad pueden detectar.

Estas balizas forman parte de herramientas de hacking más amplias, a veces denominadas marcos de postexplotación, como Cobalt Strike o Sliver . Si bien estas herramientas pueden utilizarse con fines legítimos, como probar la seguridad, los delincuentes pueden usarlas para permanecer en la red, robar datos o tomar el control de equipos. Estas herramientas avanzadas incluyen métodos para ocultar su actividad, simulando el uso normal de internet, por ejemplo, una actualización inofensiva de Microsoft o una visita a un sitio web.

Tradicionalmente, los equipos de seguridad buscan archivos maliciosos conocidos, acciones inusuales de los usuarios o patrones específicos de red para encontrar estas amenazas ocultas. Sin embargo, los hackers actualizan constantemente sus métodos, lo que facilita eludir las antiguas reglas de detección o crear nuevas formas de evitar ser detectados. Jitter-Trap de Varonis analiza específicamente cómo se comunican las balizas, según su entrada de blog , compartida con Hackread.com.

Cuando estas balizas se comunican con sus operadores, utilizan un tiempo de suspensión y una configuración de fluctuación. La suspensión indica el tiempo de espera entre comprobaciones, y la fluctuación añade aleatoriedad a este tiempo de espera. Si bien muchos servicios en línea legítimos también utilizan comprobaciones regulares, el tipo específico de aleatoriedad creado por la configuración de fluctuación de una baliza suele ser único.

Además, Varonis descubrió que, si bien el jitter está diseñado para ocultar la actividad, los tiempos aleatorios que produce, especialmente durante períodos prolongados, forman un patrón reconocible, como una distribución uniforme, poco común en el tráfico de red normal. Esto permite a los expertos en seguridad identificar estas sutiles diferencias. La técnica también se aplica a otros elementos aleatorios, como el tamaño de los datos que se envían o la forma en que se generan las direcciones web (URL).

Este método de detección ayuda a los profesionales de seguridad a defenderse mejor contra amenazas avanzadas. Al buscar estos patrones aleatorios específicos, las organizaciones pueden detectar y detener la ciberactividad oculta con mayor eficacia, utilizando las técnicas de evasión de los atacantes.