Исследователи разработали способ обнаружения вредоносов внутри зашифрованного трафика
08.07.2016
Группа исследователей из компании Cisco сумела разработать способ определения вредоносного трафика, передаваемого внутри TLS соединения. При этом исследователям не пришлось расшифровывать данные.
В представленном исследовании Блейк Андерсон (Blake Anderson), Субарти Пол (Subharthi Paul) и Дэвид МакГрю (David McGrew) объяснили, каким образом возможно обнаружить следы вредоносного трафика внутри TLS-потока.
Исследователи проанализировали тысячи образцов 18 семейств вредоносного ПО, десятки тысяч вредоносных пакетов и миллионы перехваченных зашифрованных пакетов, передаваемых в корпоративных сетях. Ученые уточняют, придуманный способ обнаружения вредоносной деятельности может применяться исключительно в корпоративных сетях и не подходит для интернет-провайдеров.
Принципы обнаружения вредоносной деятельности основываются на анализе доступных данных при перехвате сетевого трафика: clientHello и serverHello сообщений, идентификаторов, используемой версии протокола TLS, метаданных потока (количество передаваемых байт, пакетов, номера портов, длительность соединения), последовательности длины пакетов и периодичности, распределении байт внутри потока и информации из TLS-заголовка.
По словам исследователей, достаточно проанализировать поток передаваемых данных для обнаружения активности большинства существующих семейств вредоносов. Также возможно определить семейство по структуре передаваемых данных, даже при использовании одинаковых параметров TLS-соединений.
Алгоритмы, описанные исследователями, позволяют достоверно определить активность следующих семейств вредоносов: Bergat, Deshacop, Dridex, Dynamer, Kazy, Parite, Razy, Zedbot и Zusy.
Точность определения вредоносного трафика внутри зашифрованных данных достигает 90.3% для каждой семьи вредоносов при анализе одного сетевого потока, и 93.2% при анализе всех сетевых потоков в течение 5-минутного окна.
