Varonis tehdit laboratuvarlarındaki siber güvenlik uzmanları, yüksek vasıflı devlet destekli gruplar ve suç çeteleri tarafından kullanılanlar bile gizli siber saldırıları tespit etmenin akıllıca yeni bir yolunu belirlediler.
Jitter-Trap olarak adlandırılan yeni teknikleri, bilgisayar korsanlarının gizli kalmak için kullandıkları rastgelelik kalıplarını tanımlamaya odaklanıyor. Bu yeni yaklaşım, “Sıkıştırma Sonrası ve C2 İletişimi” olarak bilinen siber saldırıların zor bir bölümünü yakalamayı amaçlamaktadır.
Bilgileriniz için, saldırganlar genellikle kontrol merkezlerine sinyal gönderen özel yazılım veya işaretler kullanırlar. Bu işaretler, net bir desen olmadan hızlanan ve yavaşlayan bir kalp atışı gibi rastgele zamanlamalar kullanarak bulmak zor olacak şekilde tasarlanmıştır.
Jitter-Trap yöntemi bu fikri tamamen çevirir. Varonis’in araştırması, rastgelelikten kandırmak yerine, bu çok rastgeleliğin güvenlik ekiplerinin tespit edebileceği kendi benzersiz parmak izini yarattığını gösteriyor.
Bu işaretler, bazen kobalt grevi veya şeridi gibi sömürme sonrası çerçeveler olarak adlandırılan daha büyük hack araçlarının bir parçasıdır. Bu araçlar güvenliği test etmek gibi iyi amaçlar için kullanılabilirken, suçlular bunları bir ağın içinde sessizce kalmak, veri çalmak veya bilgisayarları devralmak için kullanabilir. Bu gelişmiş araçlar, ağ trafiğini normal internet kullanımı gibi göstererek etkinliklerini gizlemenin yollarını, örneğin zararsız bir Microsoft güncellemesi veya ortak bir web sitesi ziyareti içerir.
Geleneksel olarak, güvenlik ekipleri bu gizli tehditleri bulmak için bilinen kötü dosyaları, olağandışı kullanıcı eylemlerini veya belirli ağ modellerini arar. Bununla birlikte, bilgisayar korsanları her zaman yöntemlerini günceller, eski algılama kurallarını atlamayı kolaylaştırır veya yakalanmayı önlemek için yeni yollar oluşturur. Varonis’in Jitter-Trap, Beacons’ın blog yazılarına göre hackread.com ile paylaşıldığına göre özellikle nasıl iletişim kurduğuna bakar.
Bu işaretler operatörlerini kontrol ettiklerinde, bir uyku süresi ve titreşim ayarı kullanırlar. Uyku, çekler arasında ne kadar beklemeleri ve titreşim bu bekleme süresine rastgele ekliyor. Birçok meşru çevrimiçi hizmet de düzenli kontroller kullanırken, bir Beacon’un titreşim ayarları tarafından oluşturulan belirli rastgelelik türü genellikle benzersizdir.
Dahası, Varonis, Jitter’ın aktiviteyi gizlemesi gerekse de, ürettiği rastgele zamanlamaların, özellikle daha uzun dönemlerde, normal ağ trafiğinde nadiren nadiren tek tip bir dağılım gibi tanınabilir bir model oluşturduğunu buldu. Bu, güvenlik uzmanlarının bu ince farklılıkları belirlemelerini sağlar. Teknik ayrıca, gönderilen verilerin boyutu veya Web adreslerinin (URL’ler) oluşturulma şekli gibi diğer rastgele öğeler için de geçerlidir.
Bu tespit yöntemi, güvenlik profesyonellerinin gelişmiş tehditlere karşı daha iyi savunmasına yardımcı olur. Bu özel rastgele kalıpları arayarak, kuruluşlar, saldırganların kendi kaçırma tekniklerini onlara karşı kullanarak gizli siber aktiviteyi daha etkili bir şekilde tespit edebilir ve durdurabilir.