Obfuscation:Postoje dvije strane svega

Kako otkriti i spriječiti napadače da koriste ove različite tehnike

Obfuscation:Postoje dvije strane svega je važna tehnika za zaštitu softvera koji nosi i rizike, posebno kada ga koriste autori zlonamjernog softvera. U ovom članku istražujemo zamračenje, njegove efekte i odgovore na nju.

Šta je Obfuscation?

Obfusacija je tehnika namjernog otežavanja čitanja informacija, posebno u kompjuterskom kodiranju. Važan slučaj upotrebe je zamagljivanje podataka, u kojem se osjetljivi podaci čine neprepoznatljivim kako bi se zaštitili od neovlaštenog pristupa. Za to se koriste različite metode.

Na primjer, često se prikazuju samo posljednje četiri cifre broja kreditne kartice, dok se preostale cifre zamjenjuju X-ovima ili zvjezdicama. Za razliku od toga, šifriranje uključuje pretvaranje podataka u nečitljiv oblik koji se može dešifrirati samo pomoću posebnog ključa.

Obfuscation u kodu

Kada je kompjuterski kod zamućen, koriste se složeni jezik i redundantna logika kako bi kod bio teško razumljiv. Cilj? Prevariti i ljudske čitaoce i programe kao što su dekompajleri. Da bi se to postiglo, dijelovi koda se šifriraju, metapodaci se uklanjaju ili se smislena imena zamjenjuju besmislenim. Umetanje neiskorištenog ili besmislenog koda je također uobičajena praksa da se prikrije pravi kod.

Takozvani obfuskator može automatizirati ove procese i modificirati izvorni kod tako da još uvijek radi, ali ga je teže razumjeti.

Druge metode zamagljivanja uključuju kompresiju cijelog programa, čineći kod nečitljivim i mijenjanje toka kontrole kako bi se stvorila nestrukturirana logika koja se teško održava.

Umetanje lažnog koda koji ne utječe na logiku ili rezultat programa također je uobičajeno.

Nekoliko tehnika se često kombinuje da bi se postigao višeslojni efekat i povećala sigurnost.

Druga strana

Nažalost, zamagljivanje nije samo zaštita, već je i izazov. Obfuskaciju ne koriste samo legitimni programeri softvera, već i autori zlonamjernog softvera. Cilj prikrivanja je anonimiziranje sajber napadača, smanjenje rizika od otkrivanja i skrivanje zlonamjernog softvera promjenom ukupnog potpisa i otiska prsta zlonamjernog koda – čak i ako je korisni teret poznata prijetnja. Potpis je heš, jedinstveni alfanumerički prikaz elementa zlonamjernog softvera. Potpisi se vrlo često heširaju, ali mogu biti i još jedan kratki prikaz jedinstvenog koda unutar malver elementa.

Umjesto da pokušava kreirati novi potpis modifikacijom samog zlonamjernog softvera, zamagljivanje se fokusira na mehanizme implementacije kako bi se zavarala antivirusna rješenja koja se oslanjaju na potpise. Uporedite ovo s korištenjem mašinskog učenja, prediktivne analize i umjetne inteligencije za poboljšanje odbrane.

Zamagljivanje, ili prerušavanje koda, može biti i “dobro” i “loše”. U slučaju “lošeg” prikrivanja, hakeri kombinuju različite tehnike da sakriju zlonamerni softver i kreiraju više slojeva maskiranja. Jedna od ovih tehnika su pakeri. Ovo su softverski paketi koji komprimiraju zlonamjerni softver kako bi sakrili njegovo prisustvo i učinili originalni kod nečitljivim. Zatim, tu su i kriptografi koji šifriraju zlonamjerni softver ili dijelove softvera kako bi ograničili pristup kodu koji bi mogao upozoriti antivirusne programe.

Drugi metod je ubacivanje mrtvog koda. To uključuje umetanje beskorisnog koda u zlonamjerni softver da bi se prikrio izgled programa. Napadači također mogu koristiti modifikaciju naredbi, koja uključuje promjenu kodova naredbi u programima zlonamjernog softvera. Time se mijenja izgled koda, ali ne i njegovo ponašanje.

Zamagljivanje koda je, kao što smo vidjeli, samo prvi korak jer bez obzira na to koliko posla haker uloži u zamagljivanje koda kako bi zaobišao EDR, zlonamjerni softver mora komunicirati unutar mreže i sa vanjskim svijetom da bi bio “uspješan”. To znači da komunikacija također mora biti opfusirana. Za razliku od prošlosti, kada su mreže skenirane brzo, i pokušaji da se odmah izvuku podaci u terabajtnom opsegu odjednom, napadači danas komuniciraju tiše kako senzori i prekidači za alate za praćenje ne bi udarili.

Cilj da se IP adrese dobiju putem skeniranja, na primjer, sada se sporije prati kako bi ostao pod radarom. Izviđanje, u kojem akteri prijetnje pokušavaju prikupiti podatke o ciljanim žrtvama, npr. kroz njihovu mrežnu arhitekturu, također postaje sporiji i nejasniji.

Uobičajena metoda zamagljivanja je Exclusive OR (XOR). Ova metoda skriva podatke na način da ih mogu pročitati samo ljudi koji povezuju kod sa 0x55 XOR. ROT13 je još jedan trik u kome se slova zamjenjuju šifrom.

Eksplozije iz prošlosti:

• Dobro poznati primjer zamagljivanja je napad SolarWinds-a 2020. Hakeri su koristili zamagljivanje kako bi zaobišli odbranu i sakrili svoje napade.

• Još jedan interesantan primjer je PowerShell, Microsoft Windows alat koji napadači zloupotrebljavaju. Zlonamjerni softver koji koristi PowerShell prikriva svoje aktivnosti tehnikama kao što su kodiranje stringova, zamagljivanje komandi, dinamičko izvršavanje koda i još mnogo toga.

• Još jedan primjer je napad XLS.HTML. Ovdje su hakeri koristili razrađene tehnike zamagljivanja da sakriju svoje zlonamjerne aktivnosti. Promjenili su metode šifriranja najmanje deset puta u toku godine kako bi izbjegli otkrivanje. Njihova taktika uključivala je običan tekst, escape kodiranje, Base64 kodiranje, pa čak i Morzeov kod.

• U drugoj pretnji, napadači su iskoristili ranjivosti u ThinkPHP-u da izvrše udaljeni kod na serverima. Instalirali su skrivenu web ljusku nazvanu “Dama” koja je omogućila trajni pristup i dalje napade.

Zašto se ne treba oslanjati samo na potpise

Detekcija zasnovana na potpisima je kao stari prijatelj – pouzdana je kada su u pitanju poznate pretnje. Ali kada je riječ o novim, nepoznatim prijetnjama, to ponekad može biti u mraku. Evo nekoliko razloga zašto se ne biste trebali oslanjati isključivo na potpise:

• Autori zlonamjernih programa pravi su majstori skrivača. Koriste različite tehnike kako bi prikrili svoje zlonamjerne programe. Čak i male promjene u kodu mogu uzrokovati neuspjeh u detekciji potpisa.

• Sa polimorfnim zlonamjernim softverom, malver se ponaša kao kameleon. Stalno mijenja svoju strukturu kako bi izbjegao detekciju. Svaki put kad se izvršava, kod izgleda drugačije.

• Static signatures? Nema sanse! Metamorfni zlonamjerni softver je još teži. Prilagođava se tokom izvršavanja i dinamički mijenja svoj kod, što ga čini gotovo nemogućim uhvatiti statičkim potpisima.

• Takođe, eksploatacije nultog dana ponašaju se kao „novo dete u bloku“: sveže su i nepoznate, a sistemi zasnovani na potpisima nemaju šanse da ih prepoznaju.

• Osim toga, kada rješenje bazirano na potpisu vrati previše lažnih pozitivnih rezultata, ono postaje neefikasno. Previše lažnih upozorenja u svakodnevnom poslovanju utiče na vaš bezbednosni tim i gubi dragocene resurse.

• Ukratko, otkrivanje potpisa, na primjer, u EDR-u, je koristan alat, ali nije dovoljno samo po sebi da odbije sve prijetnje. Sveobuhvatnija sigurnosna strategija koja također uključuje analizu ponašanja, mašinsko učenje i druge moderne tehnike je od suštinskog značaja.

Zašto su NDR alati toliko važni

IDS rješenja bazirana na anomalijama su kao detektivi koji paze na normalno ponašanje sistema i alarmiraju kada otkriju neuobičajenu aktivnost. Ali alati za otkrivanje i reagovanje mreže (NDR) čak idu i korak dalje: oni se stalno prilagođavaju kako bi ostali korak ispred promenljivog pejzaža sajber pretnji i nude značajno viši nivo sigurnosti od tradicionalnih pristupa zasnovanih na potpisima kroz svoju naprednu analizu i integraciju. Oni su u stanju otkriti i odbraniti se od poznatih i nepoznatih prijetnji.

Evo kako oni to rade:

• Analiza ponašanja: NDR alati prate mrežni promet i analiziraju ponašanje. Oni otkrivaju neobične obrasce koji bi mogli ukazivati ​​na komunikaciju upravljanja i upravljanja (C&C), kao što je nepravilan prijenos podataka.

• Nadgledanje protokola: Oni ispituju HTTP zahtjeve, DNS promet i druge protokole kako bi otkrili sumnjivo ponašanje ili komunikaciju koja može biti povezana sa prikrivenim zlonamjernim softverom.

• Analiza metapodataka: NDR alati analiziraju metapodatke kako bi otkrili neobične obrasce koji ukazuju na sumnjivu aktivnost. Modeli strojnog učenja pomažu identificirati tipične tehnike zamagljivanja koje su vidljive kroz sumnjivo ponašanje u mrežnom prometu.

• Dugoročno praćenje komunikacije: Kako je zamagljivanje komunikacije sada ključno za hakere, budući da usvajaju sporije i skrivenije tehnike kako bi izbjegli otkrivanje i prikupljanje podataka unutar i izvan mreža, korisno je da NDR gleda i na duže vremenske periode, npr. 3 dana, pored svoje sposobnosti da izvrši serijska pokretanja, npr. u roku od nekoliko minuta, kako bi imali uporedne vrijednosti i pratili i otkrivali nepravilnosti, a upozorenje u realnom vremenu bi dovelo do velikog broja upozorenja ako se skeniranje sa pingom detektuje svake minute ili tako. Ali da li je svaki ping napad? Sigurno ne!

• Mitre ATT&CK i ZEEK : Ovi protokoli pružaju vrijedan uvid u prijetnje koje koriste zamagljivanje. Njihova integracija sa NDR alatima značajno poboljšava mogućnosti otkrivanja pretnji.

• Dijeljenje podataka o prijetnjama: NDR alati dijele podatke o prijetnjama s drugim sigurnosnim rješenjima. Ovo omogućava brže otkrivanje poznatih tehnika zamagljivanja i sumnjivog ponašanja. Integracija sa EDR alatima omogućava im da povežu sumnjivu aktivnost na krajnjim tačkama sa mrežnim saobraćajem, što značajno poboljšava bezbednosnu analizu.

Za više o tome zašto je NDR ključni sigurnosni alat i kako otkriva čak i najnaprednije prijetnje i složene oblike zamagljivanja, preuzmite našu bijelu knjigu o naprednoj detekciji trajnih prijetnji (APT).

Izvor;The Hacker News