211service.com
Algoritmo de aprendizaje automático busca en la Darknet exploits de día cero y los encuentra
En febrero de 2015, Microsoft identificó una vulnerabilidad crítica en su sistema operativo Windows que potencialmente permitía que un atacante malicioso controlara de forma remota la computadora objetivo. El problema afectó a una amplia variedad de sistemas operativos Windows, incluidos Vista, 7, 8 y varios otros diseñados para servidores y computadoras móviles.
La compañía inmediatamente emitió una solución. Pero los detalles de la vulnerabilidad no tardaron en difundirse entre la comunidad de hackers.
En abril, los expertos en seguridad cibernética encontraron un exploit basado en esta vulnerabilidad a la venta en un mercado de darknet donde el vendedor pedía alrededor de $15,000. En julio apareció el primer malware que utilizaba esta vulnerabilidad. Esta pieza de malware, el troyano bancario Dyre, se dirigió a usuarios de todo el mundo y fue diseñado para robar números de tarjetas de crédito de las computadoras infectadas.
El episodio proporcionó una perspectiva clave sobre la forma en que evoluciona el malware. En el espacio de solo unos meses, los piratas informáticos convirtieron una vulnerabilidad en un exploit, lo ofrecieron a la venta y luego vieron que se convirtió en malware que se lanzó a la naturaleza.
En este caso, Microsoft se dio cuenta de la vulnerabilidad antes de que pudiera ser explotada y, por lo tanto, pudo lanzar un parche. Pero cuando el malware explota vulnerabilidades previamente desconocidas, los propietarios originales del software tienen que desarrollar un parche de inmediato, literalmente en cero días, de ahí el nombre de ataques de día cero.
Un objetivo clave para los expertos en ciberseguridad es identificar los exploits de día cero antes de que puedan convertirse en malware. Y para Eric Nunes y sus amigos de la Universidad Estatal de Arizona, el caso del troyano bancario Dyre ha brindado una inspiración importante para un enfoque completamente nuevo de este tipo de seguridad cibernética.
Hoy, estos muchachos presentan una operación de recopilación de inteligencia sobre amenazas cibernéticas que utiliza el aprendizaje automático para estudiar foros y mercados de piratería en la web oscura y la red profunda. El sistema busca pistas sobre vulnerabilidades emergentes.
Y su nuevo sistema ha tenido un comienzo impresionante. Actualmente, este sistema recopila en promedio 305 advertencias de amenazas cibernéticas de alta calidad cada semana, dicen Nunes y compañía.
Primero algunos antecedentes. Los piratas informáticos y otros tipos nefastos tienden a ocultar sus foros y mercados de una de dos maneras. El primero se basa en el software Tor ampliamente utilizado para anonimizar el tráfico a medida que pasa por Internet y evitar que sea rastreado. Esto se conoce como la red oscura.
Otra opción es utilizar sitios web alojados en la parte abierta de la Web pero no indexados por los motores de búsqueda. Esta es la red profunda y puede ser igualmente difícil de navegar.
Para monitorear la actividad de los piratas informáticos en estos lugares, Nunes y compañía desarrollaron un rastreador para recopilar información de las páginas HTML alojadas en la red profunda y la red oscura. Obviamente, una parte clave de este trabajo es señalar al rastreador las mejores páginas de inicio, una tarea que deben realizar personas familiarizadas con estas páginas. Luego, el equipo extrae información específica sobre actividades de piratería mientras descarta toda otra información relacionada con drogas, armas, etc.
Finalmente, utilizaron un algoritmo de aprendizaje automático para detectar productos y temas relevantes que se discutían en estos sitios. Lo hacen etiquetando el 25 por ciento de los datos a mano, señalando qué es relevante y qué no. A un ser humano le toma alrededor de un minuto etiquetar cinco productos del mercado o etiquetar dos temas en un foro, pero esto se puede reducir a medida que la máquina aprende. Luego entrenan el algoritmo utilizando este conjunto de datos etiquetados y lo prueban en el resto.
Los resultados hacen una lectura interesante. Con el uso de modelos de aprendizaje automático, podemos recordar el 92 % de los productos en los mercados y el 80 % de las discusiones en los foros relacionados con la piratería maliciosa con alta precisión, dice Nunes y compañía.
Esta técnica ya ha revelado una serie de actividades nefastas. Durante un período de 4 semanas, detectamos 16 exploits de día cero en los datos del mercado, dice el equipo. Esto incluyó un exploit importante de Android que se ofreció por alrededor de $ 20,000 y uno que involucró a Internet Explorer 11 por alrededor de $ 10,000.
El equipo también mapeó las redes sociales asociadas con la forma en que los piratas informáticos usan estos foros y mercados. Dicen que hay 751 usuarios que están presentes en más de un mercado y dan el ejemplo de un proveedor que estuvo activo en siete mercados y un foro que ofrece más de 80 productos relacionados con la piratería maliciosa.
Este era claramente un negocio lucrativo. El proveedor tiene una calificación promedio de 4.7/5.0, calificada por clientes en el mercado con más de 7000 transacciones exitosas, lo que indica la confiabilidad de los productos y la popularidad del proveedor, dice Nunes y compañía.
Es un paso útil en la lucha contra el ciberdelito. Con el sistema detectando actualmente más de 300 amenazas cibernéticas cada semana, ya ha atraído la atención del mundo comercial. De hecho, el equipo dice que actualmente está haciendo la transición del sistema a un socio comercial.
Si el equipo continúa detectando vulnerabilidades de día cero antes de que se desarrollen en productos de malware, pueden ayudar a los propietarios de software a desarrollar parches rápidamente. Y eso es una ayuda importante para los expertos en seguridad.
Por supuesto, esto será parte del juego del gato y el ratón de la ciberseguridad. Será interesante ver cómo los piratas informáticos cambian su comportamiento ahora que saben que están siendo monitoreados sistemáticamente de esta manera. Y cuando eso suceda, todavía habrá una iteración en el juego.
Ref: arxiv.org/abs/1607.08583 : Darknet y Deepnet Mining para inteligencia proactiva sobre amenazas de ciberseguridad