איך מזהים שהמחשב נדבק בתוכנה זדונית? שתי חוקרות פיתחו שיטה חדשנית להגנה על המשתמשים בארגון

חוקרות באקמאי מציגות שיטה חדשה לזיהוי מקרי תקיפה בארגון באמצעות ניטור התנהגות המשתמש ברשת יחד עם למידת מכונה. באחד מהמקרים שזוהו, נדבק מחשב של משתמש פרטי ב-Zusy – תוכנה זדונית בגודל 20KB בלבד שמטרתה לגנוב פרטים פיננסיים אישיים

תמונה: Pexels

מאת חן צבאן ויעל דייהס

בין שלל האיומים שממתינים לנו בעולם הווירטואלי, יש לא מעט שיכולים לפגוע ולגרום נזק ממשי למשתמש הפרטי, בעיקר כאשר שיטות העבודה של ההאקרים רק הולכות ומשתכללות עם הזמן. על מנת להגן על המחשב, מומחי אבטחת מידע נדרשים להתפתח תמידית ולהיעזר בכלים איכותיים כדי לספק מעטפת הגנה מקיפה ואפקטיבית בפני איומי סייבר ומתקפות זדוניות שונות.

צוות מחקר באקמאי זיהה לאחרונה עשרות מקרי תקיפה באמצעות שיטת זיהוי חדשנית מבוססת למידת מכונה, שתפקידה לנטר את התנהגות המשתמש ברשת ולזהות התנהגות אוטומטית מחזורית חריגה. גישה זו ידועה בשם UEBA – User and Entity Behavioral Analytics.

במהלך פיתוח השיטה והטמעתה במוצרי החברה, זיהו החוקרות עשרות מקרי תקיפה. אחת מהן הייתה מחשב של משתמש פרטי שנדבק ב-Zusy – תוכנה מסוג סוס טרויאני המיועדת למערכת הפעלה windows. מטרתה של התוכנה הזדונית היא לבצע פעולות ריגול אחר המחשב ולגנוב מידע פיננסי פרטי ורגיש השייך למשתמש, כגון חשבונות בנק, פרטי כרטיס אשראי וסיסמאות.

וירוס קטן ועוצמתי

Zusy ידוע בשמות נוספים כמו Tinba או Tiny Banker Trojan, בשל גודלו הקטן באופן חריג – הווירוס שוקל רק כ-20kb. הוא אמנם קטן, אך ידוע כעוצמתי מאוד ואף נבחר לאחד מעשרת איומי הסייבר המרכזיים על פי Forbes לשנת 2020. Zusy ידוע במיוחד בשל הקושי לזהות אותו במחשב ובשל הנטייה שלו להתפשט במהירות ממחשב למחשב. תקיפה כזו מורכבת בדרך כלל משלושה שלבים כלליים:

  1. הדבקה – לעיתים קרובות ההדבקה תיעשה באמצעות פרסומות שמובילות לאתרים המכילים תוכן זדוני, קמפיינים של ספאם במייל ועוד.
  2. חיבור – התחלת התקשורת של המחשב המודבק עם שרת זדוני מרוחק. לדוגמה, כאשר המשתמש מנסה להיכנס לאתר הבנק, Zusy מבצע webinjects. המשמעות היא שבפני המשתמש הקורבן מוצג טופס מזויף המבקש למלא פרטים אישיים ופרטי כניסה לאתר. הפרטים הרגישים האלו נשלחים לשרת מרוחק של התוקף שאוסף את המידע ויכול להשתמש בו למטרות זדוניות.
  3. שליטה ובקרה – תקשורת השליטה של השרת הזדוני – לרוב מדובר ב-Command and Control -C&C עם המחשב הקורבן. לעיתים השרת בודק שהמחשב עדיין בשליטתו וממשיך לחלק לו פקודות ועדכונים להמשך התקיפה.

כמתואר באיור, בשלבי החיבור, השליטה והבקרה מתקיימת תקשורת רשת, באמצעות פרוטוקול DNS, בין המחשב הקורבן לשרת הזדוני תחת הרדאר. כלומר, המשתמש כלל לא ידע כי הוא נתון בסכנה. לעיתים, התקשורת הזו תהיה אוטומטית ומחזורית ועלולה להעיד על התנהגות זדונית חריגה בשל חדירה למחשב. התנהגות חשודה זו היא בדיוק התקשורת שהאלגוריתם שפותח ירצה לזהות.

לשם הזיהוי של חדירה כזו, פיתחנו יחד עם אוניברסיטת בן גוריון (מעבדת הסייבר של פרופ’ אסף שבתאי) אלגוריתם חדשני לזיהוי תקשורת זדונית אוטומטית ומחזורית עם השרת המרוחק, על ידי ניטור ובחינת התנהגות המשתמש וחיפוש אחר חריגות. האלגוריתם משתמש בלמידה חישובית ומשלב שימוש בגישה שנקראת UEBA – User and Entity Behavioral Analytics יחד עם מודל Deep Learning.

אבל נחזור לדוגמה של Zusy, בגרף הבא תוכלו לראות את מספר בקשות ה-DNS שנעשו על ידי המשתמש לעבר ה-C&C Servers לאורך הזמן. ניתן לראות כי האלגוריתם זיהה משתמש בעל תקשורת DNS אוטומטית חשודה שיוצאת בו-זמנית לעבר ארבעה דומיינים שונים המזוהים עם Zusy.

האיור הבא מתאר את מחקר התקשורת באמצעות השירות של VirusTotal. גלובוס כחול מסמל את שם הדומיין וקובץ אדום מסמל קובץ שסומן כזדוני המתקשר ל-IP של הדומיינים.

ניתן לראות כי ישנם שלושה קבצים ספציפיים המזוהים עם Zusy שסומנו כזדוניים ושיש להם קשר עם שלושה מהדומיינים שאליהם פונה המשתמש בצורה אוטומטית. הזיהוי של האלגוריתם, המתריע על קיומו של Zusy ברשת הנחקרת, התניע חקירה בארגון, וממנה עלה שישנן עוד אינדיקציות שעברו מתחת לרדאר המעידות שהמחשב אכן נדבק בווירוס.

זווית אחרת על תעבורת הרשת

במערכת הזיהוי הנתונה החוקרות משתמשות בטכניקה הנלקחת מתחום עיבוד אותות ששמה Power Spectral Density – PSD. הטכניקה הזו עוזרת לספק מבט מזווית אחרת על תעבורת הרשת של המשתמש, כאשר ממירים את התנהגות המשתמש ממישור הזמן למישור התדר.

איך זה קורה? כמצופה, עבור כל בקשת אינטרנט של משתמש יש שלושה שדות שעליהם מסתכלות החוקרות – המקור (המשתמש), היעד (כתובת הדומיין) וזמן הבקשה. באמצעות PSD ניתן להמיר את המידע מציר הזמן לציר התדר, משום שלערכים המתקבלים יש משמעות מבחינת המחזוריות במידע המקורי בציר הזמן. המשמעות של ערך גבוה של PSD כפונקציה של תדר בגרף תעיד על מחזוריות שקיימת בהתנהגות של המשתמש.

באיור הבא תוכלו לראות שני סוגים של משתמשים, האחד בעל התנהגות מחזורית וחשודה לעומת המשתמש השני בעל התנהגות תקינה.

כעת קיים תיאור להתנהגות של כל משתמש בצורת וקטור המורכב מערכים מספריים, שהם למעשה ערכי ה-PSD שהתקבלו. הווקטורים האלו ישמשו כקלט למודל חיזוי Deep Learning, שמטרתו היא להבדיל בין משתמשים שהתנהגותם תקינה ובין משתמשים עם התנהגות חריגה ופעילות זדונית סמויה.

הכתבה בחסות Akamai

Akamai היא פלטפורמת ה-CDN הגדולה בעולם, המשרתת בסביבות 30% מתעבורת האינטרנט הגלובלית. הטכנולוגיה של Akamai מאפשרת לספקי תוכן ולארגונים לספק חוויית משתמש מהירה ומאובטחת מכל מכשיר ומכל מקום בעולם.
ארכיטקטורת הקצה שלנו מייצרת את ההאצה והאבטחה שלקוחותינו צריכים ואנו החברה היחידה שמחברת באופן מיידי ובטוח מיליארדי אנשים, מכשירים ונתונים ב-Extreme Scale. הסביבה המהירה והייחודית שלנו מפגישה צוותים חכמים וחדשניים בתרבות שיתופית, פתוחה ותומכת.
ל-Akamai שבעים סייטים בעולם עם 250,000 שרתים בעולם, הסייט הישראלי מונה היום כ-200 עובדים וצפוי עוד לגדול! מוזמנים להיכנס כאן ולמצוא את המשרה הבא שלכם אצלנו!

כתבת אורחת

הגב

3 תגובות על "איך מזהים שהמחשב נדבק בתוכנה זדונית? שתי חוקרות פיתחו שיטה חדשנית להגנה על המשתמשים בארגון"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
מבין הכל
Guest

כמה חרטה
למידת מכונת
ציר התדר
טוב למחקר
המימוש כולה שאילתה בSQL

nope
Guest

גם פיצ’ר מדוייק מאוד שיכול לחסוך מיליונים של דולרים יכול להיכתב כIF פשוט
your point?

הסקרן
Guest

נהנתי מניפוח הנושא ומסגנון הפירוט המדמה את הטכניקה שביצעו כחדשני ומהפכני כשההפך הוא הנכון.

wpDiscuz

תגיות לכתבה: