Botnets y aprendizaje automático: una historia de «escondite».

0 68 5 minutos de lectura

Por Leonidas Plagakis, ingeniero de seguridad, RiverSafe

Los autores de malware siempre han intentado actualizar su software y desarrollar sus técnicas para aprovechar las nuevas tecnologías y evitar las medidas de seguridad. Las botnets son un ejemplo perfecto de cómo los ciberdelincuentes se las han arreglado para lograrlo durante la última década.

Su amplia propagación y graves consecuencias han transformado las botnets en una de las amenazas más importantes y destructivas en el panorama de la ciberseguridad, ya que son responsables de muchos ataques a gran escala y de alto perfil. Ejemplos de ataques realizados por botnets incluyen denegación de servicio distribuida (DDoS), robo de datos personales o clasificados, campañas de spam, minería de criptomonedas y difusión de noticias falsas en plataformas de redes sociales.

Además, hay un aumento exponencial de los ataques que resultan de las ofertas de crimen como servicio, que generalmente incluyen botnets que se alquilan o venden a personas o grupos que carecen de experiencia o habilidades técnicas que desean realizar actividades nefastas. Por lo tanto, está claro que tomar medidas de seguridad contra botnets es crucial para el bienestar de una organización y la protección de los datos privados.

Una forma de categorizar las botnets es por la tecnología que adoptan para su mecanismo de comando y control (C&C). En términos de C&C, la arquitectura de una botnet puede ser centralizada (Figura 1) o descentralizada (Figura 2). En la primera categoría, los bots se comunican con uno o más servidores utilizando el modelo cliente-servidor. La primera generación de botnets centralizadas utilizó canales IRC para comunicarse con el servidor C&C.

Sin embargo, debido a la naturaleza de punto único de falla de las arquitecturas centralizadas, los delincuentes comenzaron a desarrollar botnets que se basaban en comunicaciones de igual a igual (P2P), superando el problema de la generación anterior de botnets. De hecho, las botnets P2P, que tienen la ventaja de la resistencia y la solidez, constituían una amenaza aún mayor para las organizaciones, pero también tienen dos inconvenientes importantes. Para empezar, su mantenimiento es muy difícil debido a la complejidad de su implementación y desarrollo y, en segundo lugar, dado que ya no hay un servidor central de C&C, es posible que el pastor ya no tenga el control total de la botnet.

La solución adoptada por los autores de malware fue volver al modelo de arquitectura centralizada. Sin embargo, no utilizaron el protocolo IRC para las comunicaciones entre el pastor y los bots; en su lugar, se utilizó el protocolo HTTP. La ventaja y la fuerza de esta solución es que el protocolo HTTP es comúnmente utilizado por aplicaciones y servicios web legítimos y no maliciosos. Por lo tanto, los atacantes pueden incrustar su tráfico en tráfico HTTP legítimo y no malicioso y ocultar los comandos C&C entre las actividades normales de la red. Esto le da a las botnets basadas en HTTP su gran ventaja, que es su capacidad para permanecer “bajo el radar” y realizar sus nefastas operaciones sin ser detectadas.

Muchos investigadores han dedicado sus esfuerzos al estudio y análisis de las redes de bots HTTP y a encontrar formas precisas de detectarlas. Un gran número de investigadores abordan el problema empleando técnicas de detección basadas en el comportamiento, ya que los sistemas tradicionales basados en firmas a menudo son fácilmente ignorados por las nuevas generaciones de malware. Más específicamente, el análisis del tráfico de la red y sus características (no necesariamente la carga útil de los paquetes) puede proporcionar información muy reveladora sobre si un flujo de red o un paquete es benigno o si es parte del mecanismo de C&C de una botnet, incluso en los casos en que el tráfico está encriptado. Ejemplos de características de tráfico que podrían resultar útiles son la duración del flujo, el número total de paquetes intercambiados en un flujo, la longitud del primer paquete en un flujo y la mediana de bytes de carga útil por paquete.

El aprendizaje automático juega un papel clave en este enfoque, ya que los sistemas de detección de redes de bots basados en el comportamiento generalmente se construyen utilizando un modelo de clasificación que se entrena en un conjunto de datos con características específicas (conjunto de características de red en nuestro caso). Este modelo de clasificación puede identificar de manera eficiente y precisa el tráfico generado por malware cuando se cumplen ciertos patrones de comportamiento.

Además de la clasificación, se podrían utilizar más herramientas de aprendizaje automático (por ejemplo, extracción de características) para que nuestro sistema sea lo más preciso y rápido posible. En general, los ataques novedosos implementados por versiones más nuevas o más avanzadas de malware existente se pueden prevenir con este enfoque, ya que este sistema de detección no se basa en firmas de malware.

Como era de esperar, los atacantes comenzaron a buscar formas y técnicas que les permitieran superar el progreso de los sistemas de detección y evitar la detección basada en el comportamiento. El aprendizaje automático adverso es una técnica emergente que, entre otras, podría apuntar y evadir los sistemas de seguridad que utilizan el aprendizaje automático para hacer frente a actividades maliciosas.

Normalmente, su funcionalidad se basa en aprovechar las debilidades del clasificador. Por ejemplo, puede haber un espacio de instancias (es decir, flujos / paquetes) que el clasificador podría no ser capaz de describir bien, por lo que las instancias que pertenecen a ese espacio se clasificarán erróneamente. Otro tipo de ataque que se puede realizar contra sistemas basados en el aprendizaje automático es cuando los adversarios intentan atacar la fase de entrenamiento de la clasificación; es decir, intentan inyectar datos de entrenamiento contradictorio en el modelo de clasificación.

Esto eventualmente conduce a un modelo que etiqueta las instancias maliciosas incorrectamente como no maliciosas, aumentando así el número de falsos negativos y dejando al sistema vulnerable.

Las técnicas de ofuscación utilizadas por los atacantes también deben tenerse en cuenta al implementar sistemas de detección basados en el comportamiento. Más específicamente, los atacantes pueden intentar convertir el valor de ciertos atributos y características de los flujos de tráfico de red que son indicativos de actividad maliciosa, en valores que son típicos y normales para los flujos no maliciosos, evadiendo así las medidas de seguridad.

Por lo tanto, si el sistema de clasificación utiliza las funciones ocultas, los flujos maliciosos tendrán una mayor probabilidad de eludir el sistema de detección.

Para concluir, una mejor práctica para las organizaciones en términos de seguridad es estar siempre al día con las tendencias actuales en el panorama de las amenazas cibernéticas, ya que es un campo que cambia constante y radicalmente. El aprendizaje automático ha demostrado ser un aliado extremadamente poderoso en la batalla contra ciertos tipos de malware y actualmente parece ser el método ideal para mantenerse al día con la evolución de las amenazas, tanto en términos de precisión de detección como de eficiencia.

Por supuesto, los sistemas basados en el comportamiento tienen el inconveniente de los falsos positivos, pero los beneficios de este enfoque son más que suficientes para ignorar esa desventaja. Sin embargo, al emplear sistemas basados en el comportamiento, las organizaciones no deben pasar por alto la complejidad y dificultad de construir tales sistemas y las advertencias que vienen con esta solución, algunas de las cuales se mencionaron anteriormente (es decir, aprendizaje automático adverso, ofuscación de funciones).

La experiencia técnica, junto con la paciencia y la capacidad de obtener conocimientos, son probablemente los valores más importantes con los que los profesionales y las organizaciones deben estar equipados para implementar y administrar con éxito sistemas tan complejos que los ayudarán a adaptarse al panorama de amenazas actual y continuar operando en un entorno seguro.

Botnets y aprendizaje automático: una historia de «escondite».

Deja una respuesta Cancelar la respuesta

¿Hacia dónde se dirige el mundo de la ciberseguridad en 2020?

Cómo ver Netflix gratis para siempre

Yara Gambirasio: las etapas de la amarilla hasta la captura del presunto culpable

Estúpidos trucos terminales: el loro de baile de ASCII Party

Efecto Instagram pelado

Cómo comprobar qué versión de PostgreSQL se está ejecutando desde CLI

Lista de los mejores canales de Telegram 2023

Cómo ver la televisión sin antena

Cómo eliminar Microsoft AutoUpdate de Mac

Cómo eliminar el icono de círculo con + signo en Android

Cómo descargar videos de YouTube con subtítulos

Las soluciones de todos los capítulos de Adventure Escape Mysteries

Cómo otorgar privilegios de root a un usuario en Linux

Problemas para cargar el teléfono: triángulo amarillo con signo de interrogación

Cómo instalar Eclipse IDE en Ubuntu 20.04

Cómo ver IPTV con VLC: guía completa

Publicaciones relacionadas

El impulso de cifrado de las empresas de tecnología es ‘bueno para los federales’, según un estudio de Harvard

Resumen diario de noticias – 1 de noviembre de 2013

James Fisher and Son «Sin indicación» de datos perdidos durante un ciberataque

Fred Touchette en macros maliciosas

Deja una respuesta Cancelar la respuesta

¿Hacia dónde se dirige el mundo de la ciberseguridad en 2020?