Le tecniche di persistenza che eludono le protezioni endpoint esistono da molto tempo. La recente Boothole(CVE-2020-10713) ne è un ulteriore esempio. Allora perché tante teste calde sulla sicurezza continuano a prescrivere miglioramenti incrementali sulle stesse vecchie soluzioni per risolvere il problema?È ora di ripensare il rilevamento e la risposta e di utilizzare i dati provenienti dall'unica fonte che gli aggressori non possono rilevare o eludere: la rete.
Non è insolito che i gruppi di minacce persistenti avanzate (APT) puntino ai server Linux in un ambiente come punto di raccolta per la persistenza e l'esfiltrazione. La capacità di mantenere la persistenza su questi server, anche dopo una reinstallazione del sistema operativo, è la ciliegina sulla torta. Una di queste vulnerabilità, il cui nome in codice è "Boothole", è stata recentemente scoperta dai ricercatori di Eclypsium. Si tratta di una vulnerabilità del bootloader GRUB2, utilizzato dalla maggior parte dei sistemi Linux, che può essere utilizzata per ottenere l'esecuzione di codice arbitrario durante il processo di avvio, anche quando il Secure Boot è abilitato. Gli aggressori che sfruttano questa vulnerabilità possono installare bootkit persistenti e furtivi o bootloader dannosi che potrebbero dare loro un controllo quasi totale sul dispositivo vittima, sopravvivendo alle reinstallazioni del sistema operativo.
Gli strumenti di rilevamento Endpoint operano al di sopra di questo livello, rendendoli ciechi all'attività dell'attaccante. L'unico approccio per rilevare ed eliminare gli aggressori che sfruttano tali tecniche è quello di esaminare la traccia di rete che lasciano mentre controllano il dispositivo in remoto. Non c'è da stupirsi che la ricerca BlackBerry abbia definito questo decennio come il "decennio dei Trojan ad accesso remoto (RAT)".
Come possiamo quindi individuare il RAT utilizzando i dati di rete? Il segreto sta nella modellazione del comportamento delle minacce. Analizzando numerosi campioni di RAT, il team di rilevamento delle minacce di Vectra ha identificato le differenze nei modelli di comunicazione di un RAT rispetto a uno normale.
Si consideri il seguente esempio di grafici delle serie temporali per i dati trasferiti durante due sessioni TCP. La prima sessione TCP rappresenta il traffico di una RAT e la seconda il normale traffico Internet. Nella serie temporale del RAT si possono notare picchi di byte ricevuti seguiti da byte inviati. Questi picchi alternati rappresentano i comandi impartiti dall'aggressore esterno e la risposta dell'host infetto. Confrontando questo dato con il traffico di una normale sessione TCP, si nota una chiara differenza. Nelle reti attive, queste differenze sono quasi impossibili da distinguere per un essere umano, dato l'enorme volume di dati, la sottigliezza della differenza nella comunicazione e il fatto che la comunicazione avviene all'interno di una singola sessione TCP che può essere crittografata.
Mentre gli esseri umani fanno fatica a vedere le differenze quando guardano il traffico reale, i modelli di intelligenza artificiale che hanno visto migliaia di campioni eccellono nel fare questa distinzione. In particolare, un'architettura di deep learning nota come long-short term memory (LTSM), reti neurali ricorrenti che mantengono la "memoria" nel tempo, è stata progettata specificamente per lavorare con questo tipo di dati. Applicando modelli di intelligenza artificiale basati su LSTM per cercare lo schema di comunicazione di un RAT nei dati di rete, è possibile individuarlo in tempo reale con alta fedeltà in base al comportamento osservato. La bellezza dell'approccio sta nell'efficacia. Funziona indipendentemente dallo strumento o dall'impianto specifico ed è agnostico rispetto alla crittografia, non richiedendo alcuna decrittografia del traffico.
L'approccio di Vectra al rilevamento delle minacce fonde l'esperienza umana con un'ampia serie di tecniche di scienza dei dati e di apprendimento automatico avanzato. Questo modello offre un ciclo continuo di rilevamento delle minacce basato su ricerche all'avanguardia, modelli di apprendimento globale e locale, deep learning e reti neurali. Per saperne di più sul nostro approccio alla scienza dei dati, leggete il nostro white paper o fate una prova con Vectra Cognito.