- A+
亚利桑那州立大学(ASU)的团队研究人员正在爬行Darkweb搜索主动网络安全威胁情报零天。可以发现零日漏洞就像爬行Darkweb一样容易吗?
亚利桑那州立大学(ASU)的安全研究人员这么认为,他们已经看到了一些成功。 在一篇名为“Darknet和Deepnet Mining for Proactive Cybersecurity Threat Intelligence”的论文中,10位共同作者的小组概述了通过刮擦和解析已知的所谓Darkweb,以编程方式识别零日攻击之前的可能性。和Deepweb论坛。 根据该研究,各种数据挖掘和机器学习技术可用于分析讨论销售恶意代码的论坛中的讨论,以换取比特币,初步结果令人鼓舞。
作为一个例子,本文重点介绍了FireEye在去年7月发现的Dyre Trojan。
2015年2月,Microsoft报告了Windows远程执行代码漏洞MS15-010。 根据该团队的研究,在2015年4月之前,该漏洞不存在任何已知的漏洞利用,当时利用此漏洞的漏洞利用(Dyre)在Darknet市场网站上出现48 BTC,或10,000美元 - 15,000美元。 利用这些信息,研究人员努力设计一个自动化的过程,从这些市场收集信息,并搜索可以过滤和分类为可能出售的恶意代码的关键字。 迄今为止的结果令人印象深刻。
该团队目前正在追踪27个市场和21个论坛,销售从可卡因到最新的Adobe漏洞的任何东西 - 而这正是它所面临的挑战。
在这些网站上收集的大部分信息都是以与网络安全无关的非结构化数据的形式出现的。 例如,单词“SALE”可能拼写错误,导致自动系统简单地跳过这个拼写错误的单词作为噪音。
当然,另一个挑战是单词变化,特别是那些常见的黑客白话,例如“S4L3”。虽然存在这些挑战,但团队已经证明自动化在识别野外探测的零日漏洞中具有一定的价值。一天的攻击持续四周。 尽管取得了初步成功,零日狩猎的自动化仍然是一个新颖的想法。
现在已经讨论了网络杀戮链的左侧一年多的讨论话题,许多团体都集中精力在侦察前阶段收集情报; 到目前为止,这些方法的结果好坏参半。
寻求使用自动收集技术的网络情报界面临的最大挑战之一是论坛本身的不断变化。
网络犯罪者越来越意识到他们可以对目标做些什么,目标可以对他们做些什么。 这种改变技术的猫捉老鼠游戏只会增加对手的态势感知,迫使他们改变自己的行为。 论坛变得越来越难以获得,并且正在建立复杂的审查程序以清除网络研究人员和执法部门,意图在他们遇到第一批受害者之前停止零日。
2013年,FBI推翻了所谓的丝绸之路,这是一个非法的市场,销售从海洛因到杀手的所有东西。 法院文件显示,联邦调查局在拆除时使用了许多传统的调查技术,但也使用网络作为拆除丝绸之路所建立的网络的工具。
总的来说,该行动在BTC中扣押了400万美元,并导致被指控的运营商Ross Ulbricht被捕。 尽管有FBI的努力,丝绸之路已被重新推出为“丝绸之路3.0”,支持该项目的人士宣称这个新版本已经“经历了大规模的安全升级和改良设计”,可能会让联邦窥探者不得不四处寻找。
不仅是网络犯罪分子使自动化技术变得困难,威胁形势的变化也迫使网络智能的传输方式发生变化。 攻击的范围也在不断发展。
FireEye的新首席执行官凯文·曼迪亚(Kevin Mandia)指出,“ 由于目前的威胁环境转向较小范围的违规行为,一些组织可能会选择优于最佳检测方式。 “这种态度的转变可以抑制研究和开发项目的开支,寻找未知的零日,支持弹性和事故响应,杀伤链的权利,与ASU团队认为可以产生影响的地方完全相反。
根据他们的论文,ASU研究人员目前正在购买他们的系统,为他们的研究寻找额外的资金,为什么不呢? 他们的收集和解析系统不仅收集零天,还每周收集300多个高质量的网络威胁警告,使其成为可操作信息的宝贵来源。 希望ASU项目能找到一个能够使他们的系统成熟的家园。 未来的迭代可能包括收集和分析在黑暗和深层网络中出售的其他类型的信息,如被盗的信用卡信息,健康记录和其他犯罪活动。
他们的收集和解析系统不仅收集零天,还每周收集300多个高质量的网络威胁警告,使其成为可操作信息的宝贵来源。 希望ASU项目能找到一个能够使他们的系统成熟的家园。 未来的迭代可能包括收集和分析在黑暗和深层网络中出售的其他类型的信息,如被盗的信用卡信息,健康记录和其他犯罪活动。
希望ASU项目能找到一个能够使他们的系统成熟的家园。 未来的迭代可能包括收集和分析在黑暗和深层网络中出售的其他类型的信息,如被盗的信用卡信息,健康记录和其他犯罪活动。
出处:http://securityaffairs.co/
