Un nuovo metodo di rilevamento sfrutta i pattern di jitter degli hacker contro di loro
Gli esperti di sicurezza informatica di Varonis Threat Labs hanno individuato un nuovo, ingegnoso metodo per individuare gli attacchi informatici nascosti, anche quelli utilizzati da gruppi altamente qualificati sponsorizzati dallo Stato e da bande criminali.
La loro nuova tecnica, chiamata Jitter-Trap, si concentra sull'identificazione di schemi casuali utilizzati dagli hacker per rimanere segreti. Questo nuovo approccio mira a individuare una parte delicata degli attacchi informatici, nota come "comunicazione post-exploitation e C2".
Per vostra informazione, gli aggressori utilizzano spesso software speciali, o beacon, che inviano segnali ai loro centri di controllo. Questi beacon sono progettati per essere difficili da individuare, utilizzando tempi casuali, come un battito cardiaco che accelera e rallenta senza uno schema preciso.
Il metodo Jitter-Trap capovolge completamente questa idea. Invece di lasciarsi ingannare dalla casualità, la ricerca di Varonis dimostra che questa stessa casualità crea un'impronta digitale unica che i team di sicurezza possono rilevare.
Questi beacon fanno parte di strumenti di hacking più ampi, a volte chiamati framework di post-exploitation, come Cobalt Strike o Sliver . Sebbene questi strumenti possano essere utilizzati per scopi legittimi, come testare la sicurezza, i criminali possono usarli per rimanere silenziosamente all'interno di una rete, rubare dati o prendere il controllo di computer. Questi strumenti avanzati includono metodi per nascondere la propria attività, facendo sembrare il traffico di rete come un normale utilizzo di Internet, ad esempio un innocuo aggiornamento Microsoft o una comune visita a un sito web.
Tradizionalmente, i team di sicurezza cercano file dannosi noti, azioni insolite degli utenti o pattern di rete specifici per individuare queste minacce nascoste. Tuttavia, gli hacker aggiornano costantemente i loro metodi, facilitando l'aggiramento delle vecchie regole di rilevamento o la creazione di nuovi modi per evitare di essere scoperti. Jitter-Trap di Varonis analizza specificamente il modo in cui comunicano i beacon, come riportato nel loro post sul blog , condiviso con Hackread.com.
Quando questi beacon si collegano ai loro operatori, utilizzano un tempo di sospensione e un'impostazione di jitter. La sospensione indica il tempo di attesa tra un controllo e l'altro, mentre il jitter aggiunge casualità a questo tempo di attesa. Sebbene molti servizi online legittimi utilizzino anche controlli regolari, il tipo specifico di casualità creato dalle impostazioni di jitter di un beacon è solitamente unico.
Inoltre, Varonis ha scoperto che, sebbene il jitter sia concepito per nascondere l'attività, le temporizzazioni casuali che produce, soprattutto su periodi prolungati, formano uno schema riconoscibile, come una distribuzione uniforme, insolita nel normale traffico di rete. Questo permette agli esperti di sicurezza di identificare queste sottili differenze. La tecnica si applica anche ad altri elementi casuali, come la dimensione dei dati inviati o il modo in cui vengono generati gli indirizzi web (URL).
Questo metodo di rilevamento aiuta i professionisti della sicurezza a difendersi meglio dalle minacce avanzate. Individuando questi specifici schemi casuali, le organizzazioni possono individuare e bloccare le attività informatiche nascoste in modo più efficace, sfruttando le tecniche di elusione degli aggressori.
HackRead
