24 nov. 2016

Machine learning ayuda a identificar 300 nuevas amenazas por semana [Paper]

Un poco de historia. En febrero de 2015, Microsoft identificó una vulnerabilidad crítica (MS15-010) en su sistema operativo Windows que potencialmente permitía a un atacante malicioso controlar remotamente un equipo. El problema afectó a Windows Vista, 7 y 8. La compañía publicó inmediatamente una actualización pero los detalles de la vulnerabilidad se propagaran rápidamente.

En abril pasado, los expertos encontraron un exploit basado en esta vulnerabilidad a la venta en un mercado negro de la Darknet. El vendedor estaba pidiendo alrededor de U$S 15.000 por el código y, en julio apareció el primer malware que utilizaba esta vulnerabilidad abiertamente: se trata del troyano bancario Dyre [PDF] o Dridex, diseñado para robar números de tarjetas de crédito de las computadoras infectadas.

Este episodio proporcionó una visión clave en la evolución del malware. En el espacio de pocos meses, los delincuentes habían transformado una vulnerabilidad en un exploit, lo ofrecieron a la venta, y luego lo convirtieron en un malware activo.

En este caso, existe la actualización, pero cuando el malware explota vulnerabilidades previamente desconocidas (0-Day), el problema es más grave. Entonces para los expertos identificar 0-Day antes que se "conviertan" en malware es esencial. Para Eric Nunes de la Universidad Estatal de Arizona, el caso del troyano Dyre ha proporcionado una importante inspiración para dar con un enfoque completamente nuevo [PDF] en la búsqueda de vulnerabilidades, exploits y malware.

Han publicado un paper explicando cómo se puede utilizar learning machine en foros de hacking y mercado negro para buscar pistas sobre vulnerabilidades emergentes. Según el estudio, "En la actualidad, este sistema recoge en promedio 305 advertencias por semana".

Para supervisar la actividad en los foros de la darknet, el equipo de Nunes desarrolló un crawler para recopilar información de páginas alojadas en estas redes. Obviamente, una parte clave de este trabajo es encontrar "las mejores páginas iniciales", una tarea que debe ser hecha por seres humanos familiarizados con estas páginas. El equipo extrae información específica sobre las actividades de hacking y descarta cualquier otro tipo de información (drogas, armas, etc).
Finalmente, utilizaron un algoritmo de aprendizaje para detectar productos y temas relevantes que se discuten en estos sitios. Lo hacen marcando el 25 por ciento de los datos a mano, señalando lo que es relevante y lo que no. A un humano le toma cerca de un minuto etiquetar cinco productos o dos temas en un foro, pero con esto se puede reducir el tiempo de aprendizaje de la máquina. A continuación, se entrena el algoritmo utilizando este conjunto de datos etiquetados y se lo prueba co el resto de los sitios.

"Con el uso de modelos de aprendizaje automático, somos capaces de encontrar el 92% de los productos y el 80% de los debates en foros relacionados con hacking malicioso. Durante un período de 4 semanas, hemos detectado 16 exploits 0-Day a partir de los datos del mercado. Esto incluyó un exploit importante para Android, por lo que se pedía alrededor de U$S 20.000, y uno para Internet Explorer 11 por alrededor de U$S 10.000".

El equipo también mapeó las redes sociales asociadas y dicen que hay 751 usuarios que están presentes en más de un mercado y dan el ejemplo de un vendedor que estaba activo en siete mercados y un foro. Este usuario ofrece más de 80 productos relacionados con la vulnerabilidad y exploiting.
Este es un negocio claramente lucrativo: "El vendedor tiene una calificación promedio de 4.7 / 5.0, y más de 7.000 transacciones exitosas, lo que indica la fiabilidad de los productos y la popularidad del proveedor", dice Nunes.

Si el equipo sigue detectando vulnerabilidades 0-Day antes de que se desarrollen e nmalware, pueden ayudar a los vendors a desarrollar parches más rápidamente. Este es un  un avance muy útil en la lucha contra el delito informático. Con este sistema de detección ya ha atraído la atención del mundo comercial. De hecho, el equipo dice que actualmente está haciendo la transición del sistema a un socio comercial.

Por supuesto, esto será parte del juego del gato y el ratón. Será interesante ver cómo los delincuentes cambian su comportamiento ahora que saben que están siendo monitoreados sistemáticamente.

El paper "Darknet y Deepnet Mining para la Ciberseguridad Proactiva Threat Intelligence" de Eric Nunes, Ahmad Diab, Andrew Gunn, Ericsson Marin , Vineet Mishra,
Vivin Paliath, John Robertson, Jana Shakarian, Amanda Thart, Paulo Shakarian de Arizona State University puede ser descargado desde aquí.

Fuente: Technology Review

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!