in

El proyecto de código abierto tiene como objetivo detectar ataques a los que viven fuera de la tierra.



Los atacantes que usan comandos del sistema estándar, una técnica conocida como Living Off the Land (LotL), durante un compromiso para evitar la detección por parte de los defensores y el software de seguridad de endpoints podrían ver sus actividades en el centro de atención si una de las empresas de software Adobe proporcionara este proyecto de aprendizaje automático. la semana está dando frutos.

El proyecto, llamado LotL Classifier, utiliza el aprendizaje supervisado y un conjunto de datos de código abierto de ataques del mundo real para extraer características de ciertos comandos, y luego clasifica el comando en función de las características extraídas utilizando el análisis humano como modelo. Luego, estas funciones se utilizan para determinar si el comando es bueno o malo y para marcar el comando con una serie de etiquetas que se pueden usar para la detección de anomalías.

Cada función en sí misma, como acceder al directorio / etc / shadow, que generalmente se almacena en hash de contraseña, o acceder a pastebin, puede parecer sospechosa, pero generalmente no es maliciosa, dice Andrei Cotaie, director técnico de inteligencia de seguridad y desarrollo de Adobe.

«La mayoría de las etiquetas solas, o tipos de etiquetas, tienen un FP alto [false positive] Tasa, pero cuando se combina y esa combinación se guía a través del algoritmo de aprendizaje automático, el clasificador puede lograr una mayor precisión «, dice, y agrega que Adobe se ha beneficiado del modelo de aprendizaje automático.» El clasificador LotL está listo para usarse en nuestro entorno y Según nuestra experiencia, el clasificador LotL genera varias advertencias por día al suprimir las advertencias recurrentes «.

Vivir en el campo se ha convertido en una táctica de ataque generalizada cuando se trata de empresas. Es probable que los ataques de malware comiencen con un comando de PowerShell o un comando de Windows Scripting Host (dos herramientas de administración comunes que pueden pasar desapercibidas) que con un ejecutable de malware más tradicional. En 2019, el Grupo de Respuesta a Incidentes de CrowdStrike descubrió que los ataques «libres de malware», otro nombre de LotL, superaron a los incidentes basados ​​en malware. Para el verano de 2021, constituían más de dos tercios de los incidentes investigados.

«Los atacantes intentan cada vez más alcanzar sus objetivos sin escribir malware en el endpoint mediante el uso de credenciales legítimas y herramientas integradas (se ganan la vida en la tierra): esfuerzos deliberados para evitar la detección de los productos antivirus tradicionales», explicó CrowdStrike en su » 2021 «. Informe de búsqueda de amenazas «.

El clasificador LotL utiliza un enfoque de aprendizaje automático supervisado para extraer características de un conjunto de datos de líneas de comando y luego construye árboles de decisión que comparan esas características con las conclusiones humanas. El conjunto de datos combina ejemplos «malos» de datos de código abierto, como informes de amenazas de la industria, y los ejemplos «buenos» provienen de Hubble, un marco de cumplimiento de seguridad de código abierto, así como las herramientas de reacción y detección de endpoints de Adobe.

El proceso de extracción de características genera etiquetas que se enfocan en archivos binarios, palabras clave, patrones de comando, rutas de directorio, información de red y la similitud del comando con patrones de ataque conocidos. Ejemplos de etiquetas sospechosas pueden ser una ruta de ejecución de comandos del sistema, un comando de Python o instrucciones que intentan iniciar un shell de terminal.

«El proceso de extracción de características está inspirado por expertos y analistas humanos: al analizar una línea de comando, las personas / humanos confían en ciertas señales, como qué binarios se están utilizando y a qué rutas se accede», dijo Adobe en su publicación de blog. «Luego, buscan rápidamente los parámetros y, si están disponibles en el comando, buscan nombres de dominio, direcciones IP y números de puerto».

Con estas etiquetas, el clasificador LotL utiliza un modelo de árbol forestal aleatorio que combina varios árboles de decisión para determinar si el código es malicioso o legítimo.

«Curiosamente, es precisamente debido a estos movimientos secretos que a menudo es muy difícil determinar cuáles de estas acciones son un administrador de sistema válido y cuáles son un atacante», dice en una publicación de blog.

El modelo de aprendizaje automático puede beneficiar a las organizaciones a través de una variedad de canales de análisis de amenazas, dice Cotaie de Adobe. Los cazadores de amenazas podrían usarlo como un servicio local o el modelo podría procesar datos de gestión de eventos e inteligencia de seguridad global (SIEM) para encontrar anomalías utilizando otra herramienta de código abierto publicada por Adobe, One-Stop Anomaly Shop (OSAS), feeds. El modelo tiene un componente para los sistemas Windows y otro separado para Linux, pero por lo demás es independiente del contexto.

«El clasificador está integrado en … One Stop Anomaly Shop (OSAS)», dice. «El proyecto principal puede modelar el comportamiento del sistema local o de grupo utilizando muchas funciones contextuales, y sus capacidades de detección de anomalías complementan el modelo de clasificador LotL».

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

La semana en ransomware – 12 de noviembre de 2021

Nuevas herramientas de seguridad para administrar la seguridad GraphQL