Este debate tem relevância considerável para o mundo da segurança informação. Muitos dos sistemas que construímos para proteger nossas redes, automaticamente, são contra arquivos infectados por vírus de quarentena ou para bloqueio ataques, e de fato, os ataques automatizados muitas vezes acontecem mais rapidamente do que a capacidade de reação dos seres humanos podem.
Sofisticação nas Técnicas Usadas pelos Atacantes
No entanto, os atacantes com suas táticas mais sofisticadas, provaram que eles podem efetivamente ser mais espertos que nossas máquinas. Certos tipos de malware evitam a detecção por software anti-vírus, enquanto exploits que têm como alvo as vulnerabilidades 0-day, conseguem dar um bypass em sistemas de detecção de intrusão do passado. Talvez, a fim de superar esses problemas, precisamos trazer as pessoas de volta para o loop no lado defensivo.
Desafios do Mundo Cibernético
O Workshop VizSec é uma conferência acadêmica internacional, que explora a intersecção de interfaces homem-máquina e os desafios de segurança cibernética, em busca do justo equilíbrio entre automação e visão humana. Estes assuntos são particularmente interessantes para a equipe da Lancope, onde Tom Cross, que exerce o cargo de Diretor de Security Research trabalha. "Criamos sistemas que permitem que operadores humanos possam entender melhor o que está acontecendo em suas redes de computadores, com o objetivo de detectar e analisar a atividade maliciosa que os sistemas de segurança, totalmente automatizados, possam ter perdido.
Para VizSec Workshop deste ano, a Lancope preparou algumas visualizações interessantes em relação à ocorrências de malware e comportamento de servidores de comando e controle. O objetivo é ver se é possível diferenciar, visualmente, certos tipos de comportamento de malware a partir de tráfego de rede legítimo. Os dados disponíveis a partir de pesquisa de malware da Lancope, sugerem que 85% a 95% das amostras de malware utilizam a porta TCP 80 para se comunicar com seus servidores de comando e controle. Dessa forma, houve a decisão de investigar outras portas UDP escolhidas pelas amostras restantes, para ver se existem padrões interessantes emergentes.
Servidores, Portas UDP e Heap Maps
"Nós demos uma olhada no comportamento de uma coleção de cerca de dois milhões de amostras únicas de malware, que estavam ativas entre 2010 e 2012, a partir de servidores de comando e controle. Estas amostras estenderam a mão para servidores de quase 150 mil pragas diferentes, e em mais de 100.000 portas UDP e TCP". Dessa maneira, foram criados heat maps que representam a popularidade relativa de cada porta. Cada pixel nas imagens que geraram, representa um único número de porta e a cor de cada pixel, representa o número de servidores de comando e controle, no conjunto de amostras utilizando essa porta.
A fim de criar um exemplo de tráfego legítimo ao comparar esses dados, há um acompanhamento de uma rede, e assim, foi recolhido o número suficiente de informações sobre as portas relacionadas aos computadores disponíveis na rede. Além disso, foram geradas imagens de que os dados também, e algumas distinções, foram imediatamente visíveis.
Portas de Comando e Controle Usadas por 2 Milhões de Amostras de Malware
Os autores de malware parecem preferir usar números de portas baixos, enquanto software legítimo, muitas vezes, usa as portas com numeração maior. Em geral, a conexão aos servidores de comando e controle foram agrupadas abaixo de 10.000 portas, enquanto que a densidade de portas abaixo de 10.000 utilizações na rede, foi relativamente baixa. A diferença é particularmente, evidente para as portas abaixo de 1024. As amostras de malware usaram as bastante conhecidas portas TCP, mas o tráfego legítimo usou apenas 166.
Do lado da UDP, 1018 "well know ports" foram usadas por malware, mas apenas 19 foram utilizadas na rede (cenário de legitimidade). Isto sugere que o uso de portas incomuns abaixo de 1024, é uma anomalia comportamental que pode valer a pena investigar - e isso pode indicar uma infecção por malware.
Saiba Mais:
[1] Net Security http://www.net-security.org/article.php?id=1909&p=2