Svartelisting av domenenavn brukt av trusselaktører er ikke lenger tilstrekkelig.

DGA

Slåss mot angripernes algoritmer med egne algoritmer

– Vi har knekket koden, sier Tore Terjesen i NTT Com Security.

Domene-genererende algoritmer (DGA) er, som begrepet antyder, algoritmer eller matematiske formler og beregningsoppgaver, brukt for å kalkulere en mengde med domenenavn.

Det er én av flere teknikker forfattere av ondsinnet programvare har tatt i bruk de siste årene for å unngå svartelisting, for å unngå oppdagelse, samt for å kunne opprettholde forsyningslinjene – i form av kontakt mellom infiserte maskiner og kommandoservere.

Fremfor å hardkode domenenavn eller IP-adresser i skadevaren, blir skadevaren utstyrt med en DGA-mekanisme som forsøker å «ringe hjem» til auto-genererte domenenavn. Slike kan det være enorme mengder av.

Les også: Utnytter ukjent Flash-hull i angrep mot departementer

Millioner av domener

En tidlig utgave av dataormen Conficker, som herjet pc-er i Norge og verden rundt tilbake i 2009, genererte først 250 domenenavn hver dag. Angriperne sørget senere for å forbedre teknikken i flere runder, slik at ormen raskt genererte 50.000 domenevarianter daglig.

Merk at dette er potensielle knutepunkter. Knapt noen av disse domenene er registrert eller i faktisk bruk. Men angriperen kan velge å registrere ett eller flere av dem, for slik å få kontakt med de infiserte klientene.

I fjor høst skal Conficker ha kommet opp i mer enn 1 million domenenavn den forsøker å kommunisere med. Da sier det seg selv at URL-filtre eller svartelisting av domenene er lite hensiktsmessig.

Noen av de utallige domenene kan for eksempel se slik ut:

uosqmakeosgssquc.org
uuosqmakeosgssquc.org
uosqmakeosgssquc.com

MELDTE SEG INN I BOTNETT: Tore Terjesen leder Secode sitt overvåkingssenter utenfor Arendal.
Tore Terjesen leder security labs i NTT Com Security. Bilde: Marius Jørgenrud
– Disse domenene brukes bare én gang og dermed er svartelister ubrukelige. Dette er mye vanskeligere å håndtere enn man skulle tro. Problemet har vært lav treffrate eller et høyt antall falske alarmer, forklarer Tore Terjesen i NTT Com Security.

Husker du? Conficker skapte kaos for det norske politiet

– Knekker koden

Han hevder at de er først i bransjen med det han kaller en fullgod løsning.

– Leverandørene i sikkerhetsindustrien har ikke klart å knekke koden. Vi har derimot løst problemet selv ved å implementere deteksjon av DGA-domener gjennom å utvikle algoritmer ved hjelp av «supervised machine learning». Vi har altså implementert deteksjon i sanntid av DGA-domener som er uavhengig av signaturfiler og svartelister, sier Terjesen.

For å dra nytte av dette må de har tilgang til DNS-loggene eller -forespørslene, for eksempel via DNS, proxy eller sikkerhetsløsninger som overvåker nettverkstrafikken.

Terjesen hevder at andelen såkalte falske positive er veldig lav.

– False positives finnes, men det lille antallet håndteres i plattformen i sammenheng med andre kundedata og datamodeller slik at kun et lite antall til slutt treffer sikkerhetssentralens analytiker for manuell verifikasjon. Dermed får aldri kundene hendelsesrapporter basert på falske alarmer, sier han.

I disse dager: 364.000 nordmenn får opplæring i datasikkerhet

Katt og mus

Det foregår en «katt-og-mus»-jakt der trusselaktører stadig kommer opp med bedre og mer finurlige angrepsteknikker, metoder for å unngå oppdagelse, samt for å beholde kontroll med infiserte enheter.

Et av flere forholdsvis nye mottiltak er da maskinlæring og algoritmer som bekjemper virusmakernes algoritmer.

– Vi har en egenutviklet plattform og analysemotor som gjør det mulig for oss å løse utfordringer med trusselbildet ved å anvende forskjellige teknikker. ML-variantene vi jobber med egner seg for visse type trusler. Andre metoder brukes der det er hensiktsmessig. For eksempel jobber vi med andre ML-metoder for å lage generell deteksjon av «exploit kits» (skadevare) som fungerer selv om eieren av exploit-kitet endrer på parametere/struktur i URL-en. Dermed går vi bort fra regulære uttrykk/signaturer som hele tiden må oppdateres, sier Terjesen.

Internt har vi kjørt «Threat Emulation» i mange år allerede. Nå kan også kundene våre bruke dette, og være med på å dele informasjon. Det er viktig å dele informasjon om skadevare raskt i dagens sikkerhetssituasjon, sier Christian Sandberg, sikkerhetsekspert i Check Point.
Maskinlæring brukt i kampen mot skadevare er ikke noe nytt, sier Christian Sandberg, som er Head of Threat Prevention Engineering for Check Point i Europa. Bilde: Marius Jørgenrud

Flere er på banen

Cisco er en annen aktør som forsker på bekjempelse av DGA. De oppgir at reverse-engineering (omvendt utvikling) av DGA-algortimene kan være svært effektivt som metode, men at det er tidkrevende. En annen strategi er å analysere statistiske og språklige egenskaper i domenenavnene som genereres.

Påstanden om at NTT Com Security har laget den første sanntidsgjenkjenning av DGA-genererte domenenavn, blir mått med en viss skepsis hos andre i bransjen.

– Generelt i sikkerhetsmarkedet så er ikke sanntidsdeteksjon av DGA noe nytt. Vi har gjort dette siden april 2012 ved hjelp av maskinlæring, som ser på hvordan DNS-forespørsler gjøres og hva svaret er fra DNS-serveren, uten hjelp av signaturer og svartelister. Andre sikkerhetsprodusenter gjør det samme eller på en annen måte. Problemet er at mange bedrifter ikke bruker slike løsninger, så NTT må basere seg på deteksjon fra proxy og DNS-logger, noe som for meg fremstår mer som en «workaround». Om metodene deres er like gode, tilsvarende eller bedre avhenger av mange ulike faktorer, sier Christian Sandberg, europeisk sikkerhetsekspert i Check Point.

Les også: UD rammet av trojaner. Klarer ikke å rense pc-ene sine

Til toppen