Maskininlärningsalgoritm kammar mörkretsnätet för Zero Day Exploits och hittar dem

I februari 2015 identifierade Microsoft en kritisk sårbarhet i sitt Windows-operativsystem som potentiellt gjorde det möjligt för en illvillig angripare att fjärrstyra den riktade datorn. Problemet påverkade ett brett utbud av Windows-operativsystem inklusive Vista, 7, 8 och flera andra designade för servrar och mobila datorer.





Företaget utfärdade omedelbart en fix. Men det tog inte lång tid för detaljer om sårbarheten att spridas genom hackergemenskapen.

I april hittade cybersäkerhetsexperter en exploatering baserad på denna sårbarhet för försäljning på en darknet-marknadsplats där säljaren begärde cirka 15 000 $. I juli dök den första skadliga programvaran upp som använde denna sårbarhet. Denna del av skadlig programvara, Dyre Banking Trojan, riktade sig mot användare över hela världen och designades för att stjäla kreditkortsnummer från infekterade datorer.

Avsnittet gav en viktig inblick i hur skadlig programvara utvecklas. Inom loppet av bara några månader hade hackare förvandlat en sårbarhet till ett utnyttjande, erbjudit detta till försäljning och sedan sett det utvecklats till skadlig programvara som släpptes ut i naturen.



I det här fallet blev Microsoft medveten om sårbarheten innan den kunde utnyttjas och kunde därför släppa en patch. Men när skadlig programvara utnyttjar tidigare okända sårbarheter måste de ursprungliga programvaruägarna utveckla en patch omedelbart, bokstavligen på noll dagar, därav namnet zero day attacks.

Ett viktigt mål för cybersäkerhetsexperter är att identifiera zero day exploits innan de kan omvandlas till skadlig programvara. Och för Eric Nunes och kompisar vid Arizona State University har fallet med Dyre Banking Trojan gett viktig inspiration till ett helt nytt förhållningssätt till denna typ av cybersäkerhet.

Idag avslöjar dessa killar en insamlingsoperation för cyberthotsintelligens som använder maskininlärning för att studera hackingforum och marknadsplatser i mörka webben och djupnätet. Systemet letar efter ledtrådar om nya sårbarheter.



Och deras nya system har fått en imponerande start. För närvarande samlar detta system in i genomsnitt 305 högkvalitativa cyberhotsvarningar varje vecka, säger Nunes och co.

Först lite bakgrund. Hackare och andra skändliga typer tenderar att dölja sina forum och marknadsplatser på ett av två sätt. Den första förlitar sig på den mycket använda Tor-mjukvaran för att anonymisera trafiken när den passerar runt på Internet och förhindra att den spåras. Detta är känt som det mörka nätet.

Ett annat alternativ är att använda webbplatser som finns på den öppna delen av webben men inte indexeras av sökmotorer. Detta är det djupa nätet och kan vara lika svårt att navigera.



För att övervaka hackers aktivitet på dessa platser utvecklade Nunes och co en sökrobot för att samla in information från HTML-sidor som finns på det djupa nätet och det mörka nätet. Uppenbarligen är en viktig del av detta arbete att peka sökroboten på de bästa startsidorna, en uppgift som måste utföras av människor som är bekanta med dessa sidor. Teamet extraherar sedan specifik information om hackningsaktiviteter samtidigt som de kasserar all annan information som rör droger, vapen och så vidare.

Slutligen använde de en maskininlärningsalgoritm för att upptäcka relevanta produkter och ämnen som diskuteras på dessa webbplatser. De gör detta genom att märka 25 procent av data för hand, peka på vad som är relevant och vad som inte är det. Det tar en människa ungefär en minut att märka fem marknadsplatsprodukter eller att märka två ämnen på ett forum, men detta kan minskas allt eftersom maskinen lär sig. De tränar sedan algoritmen med denna märkta datamängd och testar den på resten.

Resultaten ger intressant läsning. Med hjälp av maskininlärningsmodeller kan vi återkalla 92 % av produkterna på marknadsplatser och 80 % av diskussionerna på forum som rör skadlig hackning med hög precision, säger Nunes och co.



Denna teknik har redan avslöjat ett antal skändliga aktiviteter. Under en 4 veckors period upptäckte vi 16 nolldagars utnyttjande från marknadsplatsdata, säger teamet. Detta inkluderade en betydande Android-exploatering som erbjuds för cirka 20 000 USD och en som involverar Internet Explorer 11 för cirka 10 000 USD.

Teamet kartlade också de sociala nätverk som är kopplade till hur hackare använder dessa forum och marknadsplatser. De säger att det finns 751 användare som finns på mer än en marknadsplats och ger exemplet med en leverantör som var aktiv på sju marknadsplatser och ett forum som erbjuder över 80 skadliga hackningsrelaterade produkter.

Detta var helt klart lukrativ affär. Säljaren har ett genomsnittligt betyg på 4,7/5,0, betygsatt av kunder på marknaden med mer än 7 000 framgångsrika transaktioner, vilket indikerar produkternas tillförlitlighet och leverantörens popularitet, säger Nunes och co.

Det är ett användbart steg framåt i kampen mot cyberbrottslighet. Eftersom systemet för närvarande upptäcker över 300 cyberhot varje vecka har det redan väckt uppmärksamhet från den kommersiella världen. Teamet säger faktiskt att det för närvarande övergår systemet till en kommersiell partner.

Om teamet fortsätter att upptäcka noll-day-sårbarheter innan de utvecklas i skadliga produkter, kan de hjälpa programvaruägare att snabbt utveckla patchar. Och det är till stor hjälp för säkerhetsexperter.

Naturligtvis kommer detta att vara en del av katt- och råttaleken cybersäkerhet. Det ska bli intressant att se hur hackare ändrar sitt beteende nu när de vet att de övervakas systematiskt på detta sätt. Och när det händer kommer det att finnas ännu en iteration i spelet.

Ref: arxiv.org/abs/1607.08583 : Darknet och Deepnet Mining för Proactive Cybersecurity Threat Intelligence

Dölj