Gelişmiş Kalıcı Tehditler (APT’ler), küresel olarak kritik organizasyonları hedefleyen sofistike ve gizli bir siber saldırı kategorisini temsil eder.
Yaygın kötü amaçlı yazılımlardan farklı olarak, APT’ler uzun süreler boyunca tespit edilmemek için kaçamaklı taktikler, teknikler ve prosedürler (TTP’ler) kullanırlar.
Komut ve kontrol (C&C) iletişimleri genellikle meşru web trafiğini taklit ederek tespiti özellikle geleneksel ağ saldırı algılama sistemleri (NID’ler) için zorlaştırır.
Bu zorluğu ele almak için, Imperial College London’dan araştırmacılar, HTTP (ler) üzerindeki APT kötü amaçlı C&C faaliyetlerini tespit etmek için yeni bir yaklaşım olan EarlyCrow’u tanıttılar.
Erkencrow yaklaşımı
EarlyCrow, ağ paketi yakalamalarından (PCAP) türetilen bağlamsal özetlerden yararlanarak kötü niyetli ağ trafiğini tanımlamak için tasarlanmıştır.
Metodolojisinin merkezinde, ağ trafiğinin davranışsal, istatistiksel ve protokole özgü özelliklerini toplayan PairFlow adlı yeni bir çok amaçlı ağ akış formatının piyasaya sürülmesi bulunmaktadır.
Bu, sistemin şifreli HTTPS iletişiminde bile kötü niyetli kalıpları algılamasını sağlar.
EarlyCrow’un tasarımı, dört temel APT davranışına odaklanan bir tehdit modeli tarafından bilgilendirilmiştir:
- Dava I: Sabit kodlu tam nitelikli alan adına (FQDN) sahip kötü amaçlı yazılım, HTTP veya HTTPS aracılığıyla C&C sunucuları ile iletişim kurar.
- Durum II: Kötü amaçlı yazılım, DNS çözünürlüğünü atlayarak koda gömülü bir IP adresine bağlanır.
- Durum III: Durum I’e benzer ancak sonraki iletişim için ham TCP kullanır.
- Case IV: Vaka II’ye benzer, ancak HTTP (S) yerine çiğ TCP’ye dayanır.
Sistem, genellikle tespitten kaçınmak için APT’ler tarafından kullanılan, geri dönüş kanalları, protokol taklit etme ve düşük profilli iletişim modelleri gibi TTP’lerin tespit edilmesini vurgular.
Earlycrow’un temel özellikleri
- Çift akış biçimi: PairFlow, FQDN’ler, URL’ler, kullanıcı ajanı dizeleri, şifreleme ayarları ve paket interarrival süreleri ve veri alışverişi oranları gibi istatistiksel metrikler dahil olmak üzere ayrıntılı bağlantı seviyesi verilerini yakalar.
- Bağlamsal Özetler: Özellikleri ana bilgisayarlar, hedefler ve URL’ler için profillere gruplandırarak, EarlyCrow ağ etkinliğinin kapsamlı bir görünümünü oluşturur.
- Tespit çok yönlülüğü: Sistem, sadece şifreli HTTPS trafiğinin göründüğü senaryolarda iyi performans gösterir ve yükün şifrelemesine gerek kalmadan yüksek doğruluk elde eder.
EarlyCrow, hem bilinen hem de görülmemiş APT kötü amaçlı yazılım örnekleri içeren gerçek dünya veri kümeleri kullanılarak değerlendirildi. Temel bulgular şunları içerir:
- Sadece% 0.74’lük yanlış pozitif oranı (FPR) olan görünmeyen apt örneklerinde% 93.02’lik bir makro ortalama F1 puanı elde etti.
- Yalnızca HTTPS trafiğinin erişilebilir olduğu durumlar da dahil olmak üzere, farklı dağıtım senaryolarında kaçamaklı TTP’lerin tespit edilmesinde sağlamlık gösterildi.
- Veri paketi değişim rölanti süreleri ve geri dönüş kanalı algılama gibi yeni özellikleri etkili bir şekilde kullanarak daha iyi temel sistemler.
Araştırmaya göre, EarlyCrow, gizli APT kampanyalarının tespitinde önemli bir ilerlemeyi temsil ediyor.
APT TTP’lerine göre uyarlanmış bağlamsal özetlere ve yenilikçi özelliklere odaklanarak, güvenlik ekiplerine sofistike tehditlerin erken aşama tespiti için etkili bir araç sağlar.
Hem HTTP hem de HTTPS ortamlarında etkili bir şekilde çalışabilme yeteneği, modern ağ altyapılarında geniş uygulanabilirlik sağlar.
Daha fazla araştırma, EarlyCrow’un Ham TCP veya DNS tünelleme gibi HTTP (ler) ötesinde diğer kötü amaçlı iletişim biçimlerini ele alma yeteneklerini genişletebilir.
Ayrıca, EarlyCrow’un mevcut güvenlik bilgileri ve etkinlik yönetimi (SIEM) sistemleriyle entegre edilmesi, işletme ortamlarındaki operasyonel faydasını artırabilir.
Are you from SOC/DFIR Team? - Join 500,000+ Researchers to Analyze Cyber Threats with ANY.RUN Sandbox - Try for Free