Dans un paysage de logiciels malveillants anti-IA et de kits C2 modulaires, la gigue de gaieté apporte une rigueur statistique à la capture des menaces post-compromis avant les étendues de dommages.
Les organisations pourraient bientôt être en mesure de détecter dans des «balises» furtives en temps réel, comme Cobalt Strike, Silver, Empire, Mythic et Havoc.
Varonis Threat Labs a dévoilé Jitter-Trap, une nouvelle technique intelligente qui prétend exploiter les propres tactiques douteuses des attaquants contre eux, détectant les cybercriminaux aléatoires utilisés pour rester cachés.
«Tirer parti de l’aléatoire (gigue) que les acteurs de menace introduisant intentionnellement pour échapper à la détection est définitivement une nouvelle approche pour détecter les communications de balises furtives utilisées dans les communications post-exploitation et commandement et contrain (C2) pendant les cyberattaques». le compromis initial. »
Selon Varonis, ces outils post-exploitation injectent des retards aléatoires (gigue) dans leurs enregistrements, dans l’espoir de se fondre avec un trafic normal. Ce hasard «naturel», cependant, laisse une empreinte digitale que la gigogne peut détecter et signaler.
Comment la gaieté renifle le motif caché
La gigue de Jitter creuse dans le calendrier des demandes de réseau faites par ces balises, découvrant des modèles statistiques uniformes qui apparaissent rarement dans un trafic authentique et les utilisent pour démasquer les menaces.
« Si les mathématiques peuvent transformer la tactique d’évasion d’un attaquant en un signal de détection, il serait très, très puissant de déterminer l’attaquant via cet indicateur de comportement », a ajouté Sarkar.
Les chercheurs de Varonis ont déclaré que ces balises fixaient un intervalle de base (sommeil) (par exemple, 60 secondes) et ajoutent une gigue (+ -20%), produisant des intervalles chronométrés uniformément distribués, entre 48 et 72s pour cette instance. La gigue de gaieté signale comme un signal rouge en utilisant des outils statistiques comme les tests de Kolmogorov-Smirnov et du chi carré.
« Le sommeil et la gigue sont des paramètres liés à la façon dont la balise gère ses intervalles de communication ou de« sondage »dans le contexte des cadres post-exploitation», a déclaré Masha Garmiza, chercheuse en sécurité chez Varonis, dans un article de blog. « Le paramètre de sommeil définit l’intervalle fixe de temps que la balise attendra pour vérifier la commande suivante. La gigue ajoute un hasard à la durée du sommeil, au lieu d’avoir un temps de sommeil fixe. »
Au-delà du timing, certaines balises randomisent la taille des charges utiles ou génèrent à chaque fois des URL semi-aléatoires, comme le montre Poshc2 ou Silver. Lorsque le rapport des URL uniques s’approche de 100%, il augmente une alarme comportementale, a déclaré Garmiza.
Transformer l’évasion en détection
Les balises représentent l’une des étapes les plus difficiles à détecter d’une attaque, permettant une communication furtive de commandement et de contrôle (C2) longtemps après le compromis initial, menaçant ainsi le vol de données, le mouvement latéral ou le déploiement des ransomwares.
Alors que les attaquants modifient les profils C2, remanient des charges utiles ou obscurcissent les binaires pour l’évasion contre les méthodes de détection statique, la bouteille tente une réinvention de la défense en se concentrant sur les métadonnées comportementales que les attaquants ne peuvent pas facilement déguiser.
« Même si les mesures de sécurité initiales ne reconnaissent pas et ne bloquent pas un échantillon de balise, la détection du trafic de balise pendant la phase post-exploitation reste cruciale », a ajouté Garmiza. «Jitter-Trap montre comment les modèles de hasard, souvent utilisés pour l’évasion, peuvent être mis à profit pour découvrir la présence d’un tel trafic.»
Le billet de blog a noté que, comme les modèles de type gigue se produisent rarement dans le trafic normal, seulement 4% par rapport à 8% pour un sondage cohérent, Jitter Trap se distingue comme un outil de détection de haute précision dans des environnements réels.
« La détection des modèles de cyberattaques est la première étape la plus cruciale dans la cybersécurité », a déclaré Pareekh Jain, PDG et analyste principal chez Pareekh Consulting. «Les processus prédéfinis de cybersécurité offrent une prévisibilité, permettant aux attaquants de planifier leurs mouvements. L’introduction de l’aléatoire dans ces processus peut améliorer la détection et la prévention précoces. C’est exactement ce que les solutions telles que le piège à bouts visent à faire – perturber la prévisibilité en injectant un hasard dans le système.»
