Siber suçluların kendi kaçırma taktiklerini onlara karşı çeviren ve sofistike sömürü sonrası saldırılara karşı savaşta yeni bir umut sunan Jitter-Trap adı verilen yeni bir tespit yöntemi.
18 Haziran 2025’te yayınlanan bu teknik, geleneksel güvenlik önlemlerinin sıklıkla kaçırdığı gizli Beacon iletişimlerini belirlemeye odaklanmaktadır.
Titreşim gizli trafiği tespit etmek için
Jitter-tuzak tekniği, tehdit aktörlerinin komuta ve kontrol (C2) iletişimlerini nasıl gizlemeye çalıştıklarında temel bir zayıflıktan yararlanır.
.png
)
Kobalt Strike, Sliver, Empire ve Mythic gibi çerçeveler tarafından kullanılan beacons, iletişim aralıklarına rastgelelik eklemek için “titreşim” parametreleri kullanıyor ve bunun daha doğal göründüğüne inanıyor.
Bununla birlikte, Varonis araştırmacıları bu rastgeleliğin tespit edilebilir kalıplar yarattığını keşfetti. Ardışık istekler arasındaki zaman farklılıklarını analiz ederken, titreşim konfigürasyonları ile Beacon trafiği istatistiksel olarak tanımlanabilen tek tip dağılımlar oluşturur.
Araştırma ekibi, bu imzaları tespit etmek için Kolmogorov-Smirnov ve ki-kare testleri dahil dağıtım testleri kullandı.
Örneğin, 60 saniyelik uyku süresi ve% 20 titreşim ile yapılandırılmış bir Bing Arama Taşınabilir C2 profili, 48-72 saniye arasında değişen değerler yaratır ve meşru yoklama trafiğinden önemli ölçüde farklı bir tek tip dağıtım modeli oluşturur.
Tespit yöntemi, işaret trafiğinin çeşitli temel davranış özelliklerini analiz eder. Uyku parametreleri Beacon check-in’leri için sabit aralıkları tanımlarken, titreme öngörülebilir desenleri belirsiz olarak değişkenlik ekler.
Varonis, titremeyen yoklama trafiği için% 8,25’e kıyasla, benign iletişimin sadece% 3.95’inde titreme özelliklerine sahip trafiğin ortaya çıktığını buldu.
Ekip tarafından analiz edilen son kobalt grev örnekleri, hepsi Varsil olmayan titreşim ayarlarıyla yapılandırılmış 16.000 ila 112.922 milisaniye arasında değişen uyku süreleri olan işaretler de dahil olmak üzere çeşitli konfigürasyonlar gösterdi.
Bu numuneler, Jitter-Trap’ın tanımlayabileceği homojen dağılım modellerini sergilerken güvenlik ajanları arasında düşük algılama oranlarını korumuştur.
Teknik ayrıca POSHC2 ve şeridi gibi çerçevelerin her istek için yarı rastgele URL’ler ürettiği URL rastgeleliğini de analiz eder.
Bu, kötü niyetli trafiği meşru web uygulamalarından ayıran başka bir davranışsal anomali olan toplam isteklere göre farklı URL’lerin olağandışı yüksek oranları yaratır.
Savunma Stratejileri
Güvenlik uzmanları, ileri süren tehditlere karşı tespit yeteneklerini artırmak için titreşim-tuzak metodolojisini mevcut tehdit avcılık programlarına entegre edebilirler.
Teknik özellikle değerlidir, çünkü davranışsal düzeyde çalışır, bu da onu gizleme ve şifreleme gibi geleneksel kaçırma yöntemlerine dirençli hale getirir.
Kuruluşlar, zaman aralığı kalıplarına ve URL çeşitlilik oranlarına odaklanarak geleneksel güvenlik önlemlerinin yanı sıra dağıtım analizi algoritmalarını uygulamalıdır.
Bu çok katmanlı yaklaşım, saldırganların kaçınma tekniklerini tespit fırsatlarına dönüştürür ve siber güvenlik duruşunu sofistike işaret tabanlı saldırılara karşı önemli ölçüde iyileştirir.
Herhangi biriyle erken tehdit tespiti, yükseltme ve hafifletme güçlendirin. 50 deneme araması alın.