Novo método de detecção usa os padrões de jitter dos próprios hackers contra eles

Especialistas em segurança cibernética do Varonis Threat Labs identificaram uma nova maneira inteligente de detectar ataques cibernéticos ocultos, mesmo aqueles usados ​​por grupos altamente qualificados patrocinados pelo Estado e gangues criminosas.

A nova técnica, chamada Jitter-Trap, concentra-se na identificação de padrões aleatórios que os hackers usam para se manterem secretos. Essa nova abordagem visa capturar uma parte complexa dos ataques cibernéticos, conhecida como "comunicação pós-exploração e C2".

Para sua informação, os invasores costumam usar softwares especiais, ou beacons, que enviam sinais de volta aos seus centros de controle. Esses beacons são projetados para serem difíceis de encontrar, usando tempos aleatórios, como um batimento cardíaco que acelera e desacelera sem um padrão claro.

O método Jitter-Trap inverte completamente essa ideia. Em vez de se deixar enganar pela aleatoriedade, a pesquisa da Varonis mostra que essa mesma aleatoriedade cria uma impressão digital única que as equipes de segurança conseguem detectar.

Esses beacons fazem parte de ferramentas de hacking maiores, às vezes chamadas de frameworks pós-exploração, como Cobalt Strike ou Sliver . Embora essas ferramentas possam ser usadas para fins benéficos, como testar a segurança, criminosos podem usá-las para permanecer discretamente dentro de uma rede, roubar dados ou assumir o controle de computadores. Essas ferramentas avançadas incluem maneiras de ocultar suas atividades, fazendo com que o tráfego de rede pareça estar sendo usado normalmente na internet, por exemplo, uma atualização inofensiva da Microsoft ou uma visita comum a um site.

Tradicionalmente, as equipes de segurança procuram arquivos maliciosos conhecidos, ações incomuns do usuário ou padrões de rede específicos para encontrar essas ameaças ocultas. No entanto, os hackers estão sempre atualizando seus métodos, facilitando a burla de regras de detecção antigas ou a criação de novas maneiras de evitar serem pegos. O Jitter-Trap da Varonis analisa especificamente como os beacons se comunicam, conforme publicado em seu blog , compartilhado com o Hackread.com.

Quando esses beacons fazem check-in com seus operadores, eles usam um tempo de espera e uma configuração de jitter. O tempo de espera é o tempo que eles esperam entre as verificações, e o jitter adiciona aleatoriedade a esse tempo de espera. Embora muitos serviços online legítimos também usem verificações regulares, o tipo específico de aleatoriedade criado pelas configurações de jitter de um beacon geralmente é único.

Além disso, a Varonis descobriu que, embora o jitter tenha como objetivo ocultar a atividade, os tempos aleatórios que ele produz, especialmente em períodos mais longos, formam um padrão reconhecível, como uma distribuição uniforme, incomum no tráfego de rede normal. Isso permite que especialistas em segurança identifiquem essas diferenças sutis. A técnica também se aplica a outros elementos aleatórios, como o tamanho dos dados enviados ou a forma como os endereços da web (URLs) são gerados.

Este método de detecção ajuda os profissionais de segurança a se defenderem melhor contra ameaças avançadas. Ao procurar esses padrões aleatórios específicos, as organizações podem identificar e interromper atividades cibernéticas ocultas com mais eficácia, usando as próprias técnicas de evasão dos invasores contra eles.