Machine-lerend algoritme kamt het darknet uit voor zero-day-exploits en vindt ze

In februari 2015 identificeerde Microsoft een kritieke kwetsbaarheid in zijn Windows-besturingssysteem waardoor een kwaadwillende aanvaller de beoogde computer op afstand kon besturen. Het probleem trof een breed scala aan Windows-besturingssystemen, waaronder Vista, 7, 8 en verschillende andere die zijn ontworpen voor servers en mobiele computers.





Het bedrijf heeft meteen een fix uitgebracht. Maar het duurde niet lang voordat de details van de kwetsbaarheid zich via de hackergemeenschap verspreidden.

In april vonden cyberbeveiligingsexperts een exploit op basis van deze kwetsbaarheid te koop op een darknet-marktplaats waar de verkoper ongeveer $ 15.000 vroeg. In juli verscheen de eerste malware die gebruik maakte van deze kwetsbaarheid. Dit stukje malware, de Dyre Banking Trojan, was gericht op gebruikers over de hele wereld en was ontworpen om creditcardnummers van geïnfecteerde computers te stelen.

De aflevering gaf een belangrijk inzicht in de manier waarop malware evolueert. In slechts een paar maanden tijd hadden hackers een kwetsbaarheid in een exploit veranderd, deze te koop aangeboden en vervolgens zien ontwikkelen tot malware die in het wild werd vrijgegeven.



In dit geval werd Microsoft zich bewust van het beveiligingslek voordat er misbruik van kon worden gemaakt en kon dus een patch vrijgeven. Maar wanneer malware misbruik maakt van voorheen onbekende kwetsbaarheden, moeten de oorspronkelijke software-eigenaren onmiddellijk een patch ontwikkelen, in letterlijk nul dagen, vandaar de naam zero day-aanvallen.

Een belangrijk doel voor cyberbeveiligingsexperts is het identificeren van zero-day exploits voordat ze kunnen worden omgezet in malware. En voor Eric Nunes en zijn vrienden van de Arizona State University heeft de zaak van de Dyre Banking Trojan belangrijke inspiratie opgeleverd voor een geheel nieuwe benadering van dit soort cyberbeveiliging.

Vandaag onthullen deze jongens een operatie voor het verzamelen van cyberbedreigingen die machine learning gebruikt om hackforums en marktplaatsen in het dark web en deep net te bestuderen. Het systeem zoekt naar aanwijzingen over opkomende kwetsbaarheden.



En hun nieuwe systeem maakt een indrukwekkende start. Momenteel verzamelt dit systeem gemiddeld 305 hoogwaardige cyberdreigingswaarschuwingen per week, zeggen Nunes en co.

Eerst wat achtergrond. Hackers en andere snode types hebben de neiging om hun forums en marktplaatsen op twee manieren te verbergen. De eerste is gebaseerd op de veelgebruikte Tor-software om verkeer te anonimiseren terwijl het over het internet gaat en te voorkomen dat het wordt gevolgd. Dit staat bekend als het darknet.

Een andere optie is om websites te gebruiken die op het open gedeelte van het web worden gehost, maar niet worden geïndexeerd door zoekmachines. Dit is het diepe net en kan even moeilijk zijn om te navigeren.



Om de activiteit van hackers op deze plaatsen te volgen, hebben Nunes en co een crawler ontwikkeld om informatie te verzamelen van HTML-pagina's die worden gehost op het deep net en het dark net. Het is duidelijk dat een belangrijk onderdeel van dit werk is om de crawler naar de beste startpagina's te wijzen, een taak die moet worden uitgevoerd door mensen die bekend zijn met deze pagina's. Het team extraheert vervolgens specifieke informatie over hackactiviteiten terwijl alle andere informatie met betrekking tot drugs, wapens, enzovoort wordt weggegooid.

Ten slotte gebruikten ze een algoritme voor machine learning om relevante producten en onderwerpen te detecteren die op deze sites worden besproken. Dit doen ze door 25 procent van de gegevens met de hand te labelen en aan te geven wat relevant is en wat niet. Het kost een mens ongeveer een minuut om vijf marktplaatsproducten of twee onderwerpen op een forum te labelen, maar dit kan worden verminderd naarmate de machine leert. Vervolgens trainen ze het algoritme met behulp van deze gelabelde dataset en testen het op de rest.

De resultaten zorgen voor interessante lectuur. Met het gebruik van machine learning-modellen zijn we in staat om 92% van de producten op marktplaatsen en 80% van de discussies op forums met betrekking tot kwaadwillend hacken met hoge precisie terug te roepen, aldus Nunes en co.



Deze techniek heeft al een aantal snode activiteiten aan het licht gebracht. Over een periode van 4 weken hebben we 16 zero-day exploits gedetecteerd uit de marktgegevens, aldus het team. Dit omvatte een belangrijke Android-exploit die werd aangeboden voor ongeveer $ 20.000 en een met Internet Explorer 11 voor ongeveer $ 10.000.

Het team bracht ook de sociale netwerken in kaart die verband houden met de manier waarop hackers deze forums en marktplaatsen gebruiken. Ze zeggen dat er 751 gebruikers zijn die aanwezig zijn op meer dan één marktplaats en geven het voorbeeld van één leverancier die actief was op zeven marktplaatsen en één forum met meer dan 80 kwaadaardige hacking-gerelateerde producten.

Dit was duidelijk een lucratieve business. De leverancier heeft een gemiddelde beoordeling van 4,7/5,0, beoordeeld door klanten op de markt met meer dan 7.000 succesvolle transacties, wat de betrouwbaarheid van de producten en de populariteit van de leverancier aangeeft, aldus Nunes en co.

Dat is een nuttige stap voorwaarts in de strijd tegen cybercriminaliteit. Met het systeem dat momenteel meer dan 300 cyberdreigingen per week signaleert, heeft het al de aandacht getrokken van de commerciële wereld. Het team zegt inderdaad dat het het systeem momenteel overdraagt ​​aan een commerciële partner.

Als het team zero-day-kwetsbaarheden blijft opsporen voordat ze in malwareproducten worden ontwikkeld, kunnen ze software-eigenaren helpen om snel patches te ontwikkelen. En dat is een belangrijke hulp voor beveiligingsexperts.

Dit zal natuurlijk deel uitmaken van het kat-en-muisspel van cyberbeveiliging. Het zal interessant zijn om te zien hoe hackers hun gedrag veranderen nu ze weten dat ze op deze manier systematisch worden gecontroleerd. En wanneer dat gebeurt, zal er nog een iteratie in het spel zijn.

Referentie: arxiv.org/abs/1607.08583 : Darknet en Deepnet Mining voor proactieve cyberbeveiligingsbedreigingsinformatie

zich verstoppen