Indicatorii malware sunt vizibili cu mult înainte ca software-ul rău intenționat să pună stăpânire. Este important, deci, să efectuați în mod regulat analize de rețea pentru a detecta hackerii înainte ca aceștia să acționeze.
Analiza traficului de rețea ar trebui utilizată mai des în lupta împotriva programelor malware. Asta deoarece sunt anumite indicii care apar în rețea cu „săptămâni și chiar luni” înainte de descoperirea unui nou software malițios, explică într-un articol, oamenii de știință de la Institutul de Tehnologie din Georgia.
Cercetătorii care studiază modelele istorice de trafic din rețea spun că urmărirea malware-ului ar trebui să profite de barometrele inerente furnizate de rețea și să se oprească, concentrându-se pur și simplu pe încercarea de a identifica codul malware deja existent pe rețele și mașini. Analizând traficul de rețea suspect, creat deja, de către hackeri, într-o perioadă de timp, administratorii vor putea să elimine malware-ul înainte că acesta să poată provoca daune.
„Știți că sunteți bolnav când aveți febră, înainte să știți exact ce provoacă acest lucru”, spune Manos Antonakakis, profesor asistent la Școala de Inginerie Electrică și Calculatoare de la Georgia. „Primul lucru pe care adversarul îl va face va fi stabilirea unei prezențe pe internet, iar primul semnal poate indica o infectare”.
De exemplu, înregistrarea domeniilor este ceva ce hackerii fac și, prin urmare, pot fi urmăriți.
Astfel, acționând asupra primului semn al unei potențiale infectari – de exemplu, o înregistrare de domenii nedorite – și înainte ca eșantioanele de malware să devină disponibile, dezvoltarea infectarilor poate fi contracarată, susțin oamenii de știință. Probele de cod malware sunt în prezent folosite pentru a construi protecția tradițională.
Antonakais și echipa sa au studiat peste 5 miliarde de evenimente de rețea în ultimii cinci ani la un furnizor de servicii Internet și spun că au găsit unele rețele „mai predispuse la abuz”. Acestea includ servicii gratuite de înregistrare a domeniilor care permit hackerilor să adauge rapid domenii. Cercetătorii au studiat, de asemenea, solicitările DNS cu 27 de milioane de mostre malware și au căutat re-înregistrări de domenii expirate.
Există indicii despre malware
Studiind traficul malware cunoscut, experimentat de ISP-uri din punct de vedere istoric, cercetătorii spun că indiciile de malware sunt disponibile în date pentru o perioadă semnificativă înainte ca atacul real să aibă loc. Peste 300.000 de domenii malware au fost „active timp de cel puțin două săptămâni înainte ca eșantioanele malware corespunzătoare să fie identificate și analizate”, au descoperit aceștia într-o analiză.
Separarea traficului de rețea malițios de traficul favorabil este modul în care se realizează analiza. Apoi folosesc această analiză pentru a observa problemele. Această metodă este diferită de modul în care funcționează fortificația tradițională, care se face prin găsirea codului malware sau prin comportament – adesea prea târziu.
Prin furnizarea de către administratorii de rețea a simptomelor comportamentale ale unei activități anormale și suspecte – cum ar fi site-urile de lansare a malware-ului menționate anterior și malware-ul deja instalat comunicând acțiunile sale pregătitoare către expeditorul său – și comparând cu activitatea normală, vor putea detecta noi infiltrări înaintea atacului real. Ar trebui să ofere experților în securitate mai mult timp pentru a investiga și a combate infectarea, spun cercetătorii.
Descoperirea indicatorilor timpurii ai unui atac planificat este modul în care ar trebui construite mecanismele de apărare în viitor. Și munca ar trebui să fie independentă de malware, spun ei.
Traficul din rețea este „unde ar trebui să se ducă această luptă”, spune Antonakais.
Pentru moment, cercetătorii recomandă: „Administratorii de rețea ar trebui să minimizeze necunoscutele din rețelele lor și să-și clasifice comunicațiile corespunzătoare cât mai mult posibil, astfel încât să poată vedea activitatea anormală atunci când aceasta este prezentă”.
Comentarii