211service.com
Mašīnmācīšanās algoritms ķemmē Darknet nulles dienas varoņdarbiem un atrod tos
2015. gada februārī Microsoft atklāja kritisku ievainojamību savā Windows operētājsistēmā, kas, iespējams, ļāva ļaunprātīgam uzbrucējam attālināti kontrolēt mērķa datoru. Problēma skāra dažādas Windows operētājsistēmas, tostarp Vista, 7, 8 un dažādas citas, kas paredzētas serveriem un mobilajiem datoriem.
Uzņēmums nekavējoties izdeva labojumu. Taču nepagāja ilgs laiks, līdz informācija par ievainojamību izplatījās hakeru kopienā.
Aprīlī kiberdrošības eksperti atklāja ļaunprātīgu izmantošanu, kas balstīta uz šo ievainojamību, pārdošanai darknet tirgū, kur pārdevējs prasīja aptuveni 15 000 USD. Jūlijā parādījās pirmā ļaunprogrammatūra, kas izmantoja šo ievainojamību. Šī ļaunprogrammatūra, Dyre Banking Trojas zirgs, bija paredzēta lietotājiem visā pasaulē, un tā tika izstrādāta, lai nozagtu kredītkaršu numurus no inficētiem datoriem.
Epizode sniedza galveno ieskatu ļaunprogrammatūras attīstībā. Tikai dažu mēnešu laikā hakeri ievainojamību bija pārvērtuši par ļaunprātīgu izmantošanu, piedāvājuši to pārdošanai un pēc tam pamanījuši, ka tā kļuva par ļaunprātīgu programmatūru, kas tika izlaista savvaļā.
Šajā gadījumā Microsoft uzzināja par ievainojamību, pirms to varēja izmantot un tādējādi izlaist ielāpu. Taču, ja ļaunprogrammatūra izmanto iepriekš nezināmas ievainojamības, sākotnējiem programmatūras īpašniekiem nekavējoties, burtiski nulles dienās, ir jāizstrādā ielāps, tādēļ nosaukums ir nulles dienas uzbrukumi.
Kiberdrošības ekspertu galvenais mērķis ir identificēt nulles dienas ļaunprātīgas darbības, pirms tās var pārvērst par ļaunprātīgu programmatūru. Un Ērikam Nunesam un draugiem no Arizonas štata universitātes Dyre Banking Trojas zirgs ir sniedzis nozīmīgu iedvesmu pilnīgi jaunai pieejai šāda veida kiberdrošībai.
Šodien šie puiši atklāj kiberdraudu izlūkošanas operāciju, kas izmanto mašīnmācīšanos, lai pētītu uzlaušanas forumus un tirgus tumšajā tīmeklī un dziļajā tīklā. Sistēma meklē pavedienus par jaunām ievainojamībām.
Un viņu jaunā sistēma sāk iespaidīgi. Pašlaik šī sistēma katru nedēļu apkopo vidēji 305 augstas kvalitātes brīdinājumus par kiberdraudiem, saka Nunes un citi.
Vispirms nedaudz fona. Hakeri un citi nelietīgi tipi mēdz slēpt savus forumus un tirgus vienā no diviem veidiem. Pirmā balstās uz plaši izmantoto Tor programmatūru, lai padarītu trafiku anonimizētu, kad tā šķērso internetu, un novērstu tās izsekošanu. To sauc par tumšo tīklu.
Vēl viena iespēja ir izmantot vietnes, kas mitinātas tīmekļa atvērtajā daļā, bet kuras nav indeksējušas meklētājprogrammas. Šis ir dziļais tīkls, un tajā var būt tikpat grūti orientēties.
Lai pārraudzītu hakeru darbību šajās vietās, Nunes un citi izstrādāja rāpuļprogrammu, kas apkopo informāciju no HTML lapām, kas mitinātas dziļajā tīklā un tumšajā tīklā. Acīmredzot šī darba galvenā daļa ir norādīt rāpuļprogrammu uz labākajām sākuma lapām, un tas ir jāveic cilvēkiem, kuri pārzina šīs lapas. Pēc tam komanda iegūst konkrētu informāciju par uzlaušanas darbībām, vienlaikus izmetot visu citu informāciju, kas attiecas uz narkotikām, ieročiem un tā tālāk.
Visbeidzot, viņi izmantoja mašīnmācības algoritmu, lai noteiktu attiecīgos produktus un tēmas, kas tiek apspriestas šajās vietnēs. Viņi to dara, ar roku marķējot 25 procentus datu, norādot, kas ir svarīgi un kas nav. Cilvēkam ir nepieciešama aptuveni viena minūte, lai marķētu piecus tirgus produktus vai divas tēmas forumā, taču to var samazināt, mašīnai mācoties. Pēc tam viņi apmāca algoritmu, izmantojot šo marķēto datu kopu, un pārbauda to ar pārējo.
Rezultāti rada interesantu lasīšanu. Izmantojot mašīnmācīšanās modeļus, mēs varam ļoti precīzi atsaukt atmiņā 92% produktu tirgos un 80% diskusiju forumos saistībā ar ļaunprātīgu uzlaušanu, saka Nunes un co.
Šis paņēmiens jau ir atklājis vairākas nelietīgas darbības. Darba grupa saka, ka 4 nedēļu laikā mēs atklājām 16 nulles dienas darbības, izmantojot tirgus datus. Tas ietvēra vienu nozīmīgu Android ekspluatāciju, kas tika piedāvāta par aptuveni 20 000 USD, un viena, kas ietver Internet Explorer 11, par aptuveni 10 000 USD.
Komanda arī kartēja sociālos tīklus, kas saistīti ar veidu, kā hakeri izmanto šos forumus un tirgus. Viņi saka, ka ir 751 lietotājs, kas darbojas vairāk nekā vienā tirgū, un min piemēru, kad viens pārdevējs bija aktīvs septiņos tirgos un vienā forumā, kas piedāvāja vairāk nekā 80 ar ļaunprātīgu uzlaušanu saistītus produktus.
Tas nepārprotami bija ienesīgs bizness. Pārdevēja vidējais vērtējums ir 4,7/5,0, ko novērtējuši klienti tirgū ar vairāk nekā 7000 veiksmīgiem darījumiem, kas norāda uz produktu uzticamību un pārdevēja popularitāti, saka Nunes un co.
Tas ir noderīgs solis uz priekšu cīņā pret kibernoziedzību. Tā kā sistēma pašlaik katru nedēļu atklāj vairāk nekā 300 kiberdraudus, tā jau ir piesaistījusi komerciālās pasaules uzmanību. Patiešām, komanda saka, ka tā pašlaik pārceļ sistēmu uz komerciālu partneri.
Ja komanda turpina atklāt nulles dienas ievainojamības, pirms tās tiek izstrādātas ļaunprātīgas programmatūras produktos, viņi var palīdzēt programmatūras īpašniekiem ātri izstrādāt ielāpus. Un tas ir nozīmīgs palīgs drošības ekspertiem.
Protams, šī būs daļa no kaķa un peles kiberdrošības spēles. Būs interesanti redzēt, kā hakeri maina savu uzvedību tagad, kad viņi zina, ka tiek sistemātiski uzraudzīti šādā veidā. Un, kad tas notiks, spēlē vēl būs atkārtojums.
Atsauce: arxiv.org/abs/1607.08583 : Darknet un Deepnet ieguve proaktīvai kiberdrošības draudu izlūkošanai