16 oct. 2015

Identificar, modelar y detectar comportamiento de Botnets

Dado que las botnets son una de las amenazas preferidas por los ciberdelincuentes para afectar usuarios, muchas de las tareas que realizamos en nuestro Laboratorio de Investigación tienen que ver con entender qué es lo que este tipo de amenaza está haciendo en el equipo y cómo lo logra.
El problema con este tipo de códigos maliciosos es que cada vez son más complejos en su estructura, en la cantidad de C&C que contactan y en general en la variedad de componentes utilizados para lograr el objetivo malicioso. Esta complejidad se ve reflejada en el uso de varias capas de servidores, múltiples descargas de otros códigos maliciosos, reportes simultáneos a diferentes C&C e incluso muchas veces nos encontramos con que se trata de botnets rentadas a diferentes actores por determinados períodos de tiempo para realizar algún tipo de actividad maliciosa.

Con el objetivo de lograr entender el funcionamiento de estas amenazas, Sebastían García, Investigador de la Czech Technical University presentó durante la pasada Virus Bulletin Internacional Conference realizada en Praga una herramienta para modelizar el comportamiento de una botnet. Stratosphere IPS Project es una herramienta de software libre basada en el paper "Identifying, Modeling and Detecting Botnet Behaviors in the Network" que utiliza técnicas de machine learning para detectar y bloquear comportamientos maliciosos en el tráfico de red.

Más allá de poner en funcionamiento la herramienta CCDetector, es importante entender los modelos implementados en ella, ya que son la base para una correcta implementación e incluso siven de base para realizar un modelo propio.

Dentro del presentado para entender el comportamiento de una botnet, hay un primer componente que lo modeliza a partir de la captura del tráfico de red. Este modelo parte de un archivo pcap y con el uso de ARGUS se convierte en un archivo de flujo bidireccional que servirá de base para el modelo. La segunda parte se basa en el uso de cadenas de Markov para obtener un método de identificación y detección de una botnet.

Contenido completo en fuente original We Live Security

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!