detección de eventos no periódicos

Detectar un keylogger basándose en su periodicidad parece ser una forma extraña de hacerlo y usar un temporizador aleatorio para impedir que la detección también parezca extraña. Si estaba escribiendo un keylogger, parece más natural implementar algo así como una vez que el archivo de registro alcanza un cierto tamaño (por ejemplo, 50 kB), inicie uno nuevo y transfiera el archivo anterior, en lugar de enviarlo a un nivel fijo. Hay muchas transferencias de datos que deben ocurrir a intervalos periódicos, por lo que el simple hecho de que una transferencia sea periódica no significa mucho (por ejemplo, copias de seguridad en un NAS local, comprobación de actualizaciones, solicitudes de recuperación de correo, etc.)

Realmente, la mejor manera de detectar es que las conexiones de red no solicitadas están siendo establecidas por procesos que no está utilizando (por ejemplo, en linux, busque en lsof -i -n o netstat -p -n -t ) o no haya autorizado. También puede usar una herramienta como nethogs que recopilará activamente estadísticas sobre la cantidad de actividad de red que utiliza cada proceso.

Primero, necesitas destilar el patrón de comunicación y algunas características. Si tiene suerte, la exfiltración se destaca, por ejemplo, debido a la dirección de destino única, el pequeño tamaño de la conexión, la periodicidad, etc.

Para la detección, Bro sería su mejor apuesta aquí. Aquí hay dos puntos de partida:

1. Inspeccione los registros de conexión . Bro ha escrito un archivo llamado conn.log que tiene un resumen de una línea para cada conexión. Como NetFlow en los esteroides. Busque un host específico que haya realizado una conexión de salida y analice su marca de tiempo y la cantidad de bytes enviados. Este proceso podría comenzar así:

   bro-cut ts id.orig_h id.resp_h id.orig_p id.resp_p local_orig orig_bytes < conn.log \
       | awk '$2 == compromised_host && $6 == "T" && $7 < max_bytes'
   

   Pero luego tienes que continuar con el trabajo duro y filtrar. Este es un proceso iterativo que converge cuando tiene una verdad fundamental, es decir, tiene algunos ejemplos de tráfico malo conocido.

2. Escribir un script personalizado . Bro viene con un lenguaje de secuencias de comandos asíncrono, basado en eventos y Turing-complete. Por ejemplo, podría escribir un script que enganche el new_connection evento que se genera para cada nueva conexión TCP o UDP vista, instala un temporizador (por ejemplo, 1 hora) más algún estado, y luego verifica de nuevo al vencimiento del temporizador si las condiciones sostienen que usted cree que constituyen la exfiltración. Si ese es tu camino, dale una oportunidad y no dudes en consultarnos en la lista de correo de Bro , estamos felices de ayudar!

Aún puede profundizar en la capa de aplicación, por ejemplo, si sabe que el keylogger usa HTTP. Entonces Bro ofrece una gran cantidad de enlaces solo para ese protocolo.

En general, la detección de la disimulación desde el ángulo de la red es un problema difícil que implica ajustar los parámetros hasta que tenga una tasa práctica de falsos positivos.