Bulut yerel ağ algılama ve yanıt (NDR) uzmanı ExtraHop, algoritma (DGA) veri kümesi tarafından oluşturulan 16 milyon satırlık alan adının tamamını herkese açık hale getirerek, kötü amaçlı yazılımlara ve botnet işlemlerine karşı savunma söz konusu olduğunda güvenlik araştırmacılarına ve savunucularına biraz daha fazla yardım sağlamayı umuyor GitHub’da mevcuttur.
DGA olarak adlandırılan programlar, tehdit aktörlerinin, sunucularının karşı güvenlik önlemleri tarafından reddedilen listeye alınmasına veya savunucular tarafından devre dışı bırakılmasına gerek kalmadan hızlı ve verimli bir şekilde kötü amaçlı yazılım dağıtmak için kullanabileceği çok sayıda yeni alan adı oluşturmak için algoritmik oluşturmayı kullanan programlardır. Temel olarak, tehdit aktörlerine, bir saldırı devam ederken etki alanlarını anında hızlı bir şekilde değiştirme yeteneği veriyorlar.
DGA’lar bir süredir ortalıkta dolaşıyor. İlk büyük ölçekli kullanım örneklerinden biri neredeyse 15 yıl önce Conficker solucanının dağıtımıydı. Ukrayna’da ortaya çıkan bu olay, Avam Kamarası, Savunma Bakanlığı (MoD), Manchester Şehir Meclisi ve Sheffield Eğitim Hastaneleri NHS Foundation Trust dahil olmak üzere Birleşik Krallık’taki kamu sektörü sistemlerini bozduğu bilinen bir gerçektir.
ExtraHop veri bilimi direktörü Todd Kemmerling’e göre, DGA’lar denenmiş ve test edilmiş olsa da, siber suçlulara olan yararları son on beş yılda azalmadı.
“Tehdit aktörlerine fark edilmeden çalışma yeteneği kazandıran ve bu tür saldırılarda artış sağlayan DGA’lar, günümüzde işletmeler için giderek daha büyük bir tehdit olarak görülüyor” dedi.
Şimdiye kadar, DGA’ları tespit etmek ve azaltmak, savunucular için zorlu bir görevdi; olağan süreç, kötü amaçlı alan adlarını tanımlamaya ve engellemeye yönelik teknikleri uygulamadan önce, kötü amaçlı yazılım tarafından kullanılan algoritmanın analiz edilmesini ve DNS isteklerinin izlenmesini içeriyordu.
ExtraHop, başlangıçta kurumsal Reveal(x) NDR platformunun bir parçası olarak derlenen veri kümesini herkesin bakabileceği ve isterlerse kendi uygulamalarına dahil edebileceği hale getirerek bu süreci çok daha az acı verici hale getirebileceğini söylüyor. DGA’ları daha hızlı tanımlamak ve bunların etkinleştirdiği saldırıları durdurmak için kendi makine öğrenimi (ML) sınıflandırıcı modellerine sahip olun.
Kuruluş, Reveal(X) ürününün bunu zaten %98’den fazla doğrulukla yapabildiğini iddia ediyor ve bu nedenle, verilerini açık kaynak lisansı altında daha geniş çapta kullanılabilir hale getirerek güvenlik ekiplerinin sitedeki kötü niyetli etkinlikleri tespit edebileceklerini umuyor. ağları ciddi bir sorun haline gelmeden önce.
Firma, önceki DGA tanımlama modellerinin performansından memnun kalmadıktan sonra başlangıçta veri setini derlemeye başladı. Ekipleri, çıktının doğruluğunu büyük ölçüde artıran özellik mühendisliğini (ham verilerden özelliklerin çıkarılması süreci) yürütmek için beklenenden daha basit bir yönteme başvurmadan önce bu modelleri geliştirmek için birkaç farklı yol denedi. Bu süreç, ExtraHop’un blogunda daha teknik ayrıntılarla özetlenmiştir.
“DGA’ları tespit etmek için bir model geliştirmeye başladığımızda, geniş kapsamlı kaynaklara sahip güvenlik ekiplerinin erişebileceği genel veri kümelerinin eksikliği ortaya çıktı. Bu veri seti ile bu boşluğu dolduruyoruz ve herhangi bir güvenlik ekibinin DGA’ları hızlı bir şekilde tespit etmek için gereken önemli verilere erişmesini sağlıyoruz” dedi Kemmerling.