La metodología de 5 pasos para detectar bots maliciosos …


La detección de bots en redes IP no es fácil, pero se está convirtiendo en una parte basic de la práctica de seguridad de la red.

Con el aumento de las brechas de seguridad que utilizan malware, ransomware y otras herramientas de piratería de acceso remoto, la identificación de bots maliciosos que operan en su crimson se ha convertido en un componente esencial para proteger su organización. Los bots son a menudo la fuente de malware, lo que hace que identificarlos y eliminarlos sea crítico.

Pero eso es más fácil decirlo que hacerlo. Cada entorno operativo tiene su parte de bots «buenos», como los actualizadores de application, que son importantes para un buen funcionamiento. Distinguir entre bots maliciosos y bots buenos es un desafío. Ninguna variable proporciona una clasificación de bot fácil. Las fuentes de código abierto y las reglas de la comunidad que pretenden identificar bots son de poca ayuda contienen demasiados falsos positivos. Al final, los analistas de seguridad terminan luchando contra la fatiga de las alertas al analizar y perseguir todas las alertas de seguridad irrelevantes activadas por buenos bots.

En Cato, enfrentamos un problema equivalent en la protección de las redes de nuestros clientes. Para resolver el problema, desarrollamos un nuevo enfoque multidimensional que identifica un 72% más de incidentes maliciosos de los que hubieran sido posibles utilizando solo fuentes de código abierto o reglas de la comunidad. Lo mejor de todo es que puede implementar una estrategia similar en su crimson.

Sus herramientas serán el inventory y el comercio de cualquier ingeniero de redes: acceso a su pink, una forma de capturar tráfico, como un sensor de grifo, y suficiente espacio en disco para almacenar los paquetes de una semana. La concept es reducir gradualmente el campo de sesiones generadas por personas a aquellas sesiones que puedan indicar un riesgo para su red. Necesitarás:

  • Separe los bots de las personas
  • Distinguir entre navegadores y otros clientes.
  • Distinguir entre bots dentro de los navegadores
  • Analizar la carga útil
  • Determinar el riesgo de un objetivo

Vamos a sumergirnos en cada uno de esos pasos.

Bots separados de las personas
El primer paso es distinguir entre bots (buenos y malos) y humanos. Hacemos esto identificando esas máquinas que se comunican repetidamente con un objetivo. Estadísticamente, cuanto más uniformes sean estas comunicaciones, mayores serán las posibilidades de que sean generadas por un bot.

Distinguir entre navegadores y otros clientes
Después de aislar los bots, debe mirar al cliente que inicia. Por lo general, existen bots «buenos» dentro de los navegadores, mientras que «malos» funcionarán fuera del navegador.

Los sistemas operativos tienen diferentes tipos de clientes y bibliotecas que generan tráfico. Por ejemplo, «Chrome», «WinInet» y «Java Runtime Setting» son diferentes tipos de clientes. Al principio, el tráfico de clientes puede verse igual, pero hay algunas formas de distinguir entre clientes y enriquecer nuestro contexto.

Comience mirando los encabezados de la capa de aplicación. Debido a que la mayoría de las configuraciones de firewall permiten HTTP y TLS a cualquier dirección, muchos bots usan estos protocolos para comunicarse con sus objetivos. Puede identificar bots que operan fuera de los navegadores identificando grupos de características HTTP y TLS configuradas por el cliente.

Cada sesión HTTP tiene un conjunto de encabezados de solicitud que definen la solicitud y cómo debe manejarla el servidor. Estos encabezados, su orden y sus valores se establecen al redactar la solicitud HTTP. De manera very similar, los atributos de sesión TLS, como conjuntos de cifrado, lista de extensiones, ALPN (negociación de protocolo de capa de aplicación) y curvas elípticas, se establecen en el paquete TLS inicial, el paquete «cliente hola», que no está encriptado. Agrupar las diferentes secuencias de atributos HTTP y TLS probablemente indicará diferentes bots.

Hacerlo, por ejemplo, le permitirá detectar el tráfico TLS con diferentes conjuntos de cifrado. Es un buen indicador de que el tráfico se está generando fuera del navegador, un enfoque muy poco humano y, por lo tanto, un buen indicador del tráfico de bots.

Distinguir entre bots dentro de los navegadores
Otro método para identificar bots maliciosos es mirar la información específica contenida en los encabezados HTTP. Los navegadores de Internet generalmente tienen una imagen de encabezado clara y estándar. En una sesión de navegación usual, al hacer clic en un enlace dentro de un navegador se generará un encabezado de «referencia» que se incluirá en la próxima solicitud de esa URL. El tráfico de bot generalmente no tendrá un encabezado de «referencia» o, lo que es peor, se falsificará. La identificación de bots que se ven iguales en cada flujo de tráfico probablemente indica malicia.

User-agent es la cadena más conocida que representa el programa que inicia una solicitud. Varias fuentes, como fingerbank.org, hacen coincidir los valores de agente de usuario con versiones conocidas del programa. Usar esta información puede ayudar a identificar bots anormales. Por ejemplo, los navegadores más recientes usan la cadena «Mozilla 5.» en el campo de agente de usuario. Ver una versión inferior de Mozilla o su ausencia completa indica una cadena anormal de usuario-agente bot. Ningún navegador confiable creará tráfico sin un valor de agente de usuario.

Analizar la carga útil
Dicho esto, no queremos limitar nuestra búsqueda de bots «malos» solo a los protocolos HTTP y TLS. También hemos observado muestras de malware conocidas que utilizan protocolos desconocidos patentados sobre puertos conocidos y estos podrían marcarse mediante la identificación de la aplicación.

Además, la dirección del tráfico (entrante o saliente) tiene un valor significativo aquí. Los dispositivos que están conectados directamente a Internet están constantemente expuestos a operaciones de escaneo y, por lo tanto, estos bots deben considerarse como escáneres entrantes. Por otro lado, la actividad de escaneo que sale es un dispositivo infectado con un bot de escaneo. Esto podría ser perjudicial para el objetivo que se escanea y pone en riesgo la reputación de la dirección IP de la organización.

Determinar el riesgo de un objetivo
Hasta ahora, hemos buscado indicadores de bot en la frecuencia de las comunicaciones cliente-servidor y en el tipo de clientes. Ahora, pasemos a otra dimensión: el destino o el objetivo. Para determinar objetivos maliciosos, considere dos factores: la reputación del objetivo y la popularidad del objetivo.

La reputación de destino calcula la probabilidad de que un dominio sea malicioso en función de la experiencia obtenida de muchos flujos. La reputación se determina mediante servicios de terceros o mediante el autocalculo al observar cada vez que los usuarios informan que un objetivo es malicioso.

Sin embargo, con demasiada frecuencia, las fuentes simples para determinar la reputación de los objetivos, como los feeds de reputación de URL, por sí solas son insuficientes. Cada mes, se registran millones de dominios nuevos. Con tantos dominios nuevos, los mecanismos de reputación de dominio carecen de un contexto suficiente para clasificarlos adecuadamente, entregando una alta tasa de falsos positivos.

La detección de bots a través de redes IP no es una tarea fácil, pero se está convirtiendo en una parte basic de la práctica de seguridad de la crimson y la caza de malware específicamente. Al combinar las cinco técnicas que hemos presentado aquí, puede detectar bots maliciosos de manera más eficiente.

Para gráficos detallados y ejemplos prácticos sobre la aplicación de esta metodología, ven aquí.

Contenido relacionado:

Echa un vistazo a The Edge, la nueva sección de Dark Examining para obtener características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «¿Qué hay en un WAF?»

Avidan Avraham es un investigador de seguridad en Cato Networks. Avidan tiene un gran interés en la ciberseguridad, desde el sistema operativo interno y la ingeniería inversa, hasta el análisis de protocolos de purple y la detección de tráfico malicioso. Avidan también es un entusiasta del big details y el aprendizaje automático que … Ver biografía completa

Más thoughts





Resource link