Investigadores de China han utilizado la naturaleza de ‘caja negra’ de las redes neuronales para idear un método novedoso para que las botnets maliciosas se comuniquen con sus servidores de Comando y Control (C&C) a través de Twitter de una manera que los investigadores de seguridad no puedan exponer, y podría dificultar el cierre de sus operaciones.
el actualizado papel lanzado el 2 de agosto se llama DeepC2: Comando y control de botnet encubierto impulsado por IA en OSN.
El método propuesto, probado con éxito en una prueba en Twitter, entrena una red neuronal para identificar la cuenta de Twitter controlada por una entidad C&C en función de su ícono de usuario de Twitter. Una vez que la cuenta de mando ha sido ‘autenticada’ por la red neuronal, los comandos ocultos en sus tweets aparentemente inocuos pueden ser ejecutados por el ejército de computadoras que han sido infectadas con la botnet.
Fuente: https://arxiv.org/abs/2009.07707
Una botnet es un grupo de computadoras que se han visto comprometidas para que puedan ser ordenadas por malos actores ubicados centralmente para realizar varios tipos de ataques cibernéticos de origen colectivo, incluidas incursiones DDoS, minería de criptomonedas y campañas de spam.
La lucha por el anonimato de C&C
Cada computadora comprometida en la ‘orquesta’ de botnet requiere una dirección central de los creadores del malware y, por lo tanto, debe comunicarse de alguna manera con un servidor C&C. Sin embargo, esto ha significado tradicionalmente que los investigadores de seguridad pudieron aplicar ingeniería inversa a la infección de botnet individual y exponer las URL de los servidores C&C, generalmente codificadas en la infección.
Una vez que se conoció el dominio de C&C maligno, fue posible bloquearlo a nivel de red e investigar sus orígenes en busca de acciones legales.
En los últimos años, la tendencia de los servidores C&C ha se desvió desde direcciones dedicadas basadas en dominios http hasta el uso de servicios web populares como Gmail, Twitter, servicios de portapapeles en línea y una variedad de redes sociales en línea (OSN).
En 2015 se reveló que la puerta trasera de malware Hammertoss estaba usando Twitter, GitHub y servicios de almacenamiento en la nube para estos fines; en 2018, que la herramienta de administración remota (RAT) HeroRat usado el protocolo de mensajería de Telegram para los mismos fines; y que en 2020 el malware ComRAT del Grupo Turla había migró al uso de Gmail como marco de comunicaciones.
Sin embargo, estos enfoques aún requieren algún tipo de información de identificación codificada en el software que infecta, lo que lo hace detectable, aunque a menudo con cierta dificultad, por parte de las iniciativas de seguridad. En tales casos, la naturaleza explicable de los comandos maliciosos y la identificación de las identificaciones de los usuarios pueden permitir que estos canales se cierren, por lo general, deshabilitando la botnet dependiente.
Identificadores secretos
El método DeepC2 propuesto por los investigadores chinos hace que la ingeniería inversa de la información de identificación de C&C sea prácticamente imposible, ya que todo lo que revelará el código es un algoritmo de red neuronal opaca que no se puede volver a implementar fácilmente en su versión altamente optimizada (es decir, efectivamente “compilada”). ‘) formulario.
En DeepC2, el bot localiza al ‘botmaster’ buscando un avatar de usuario específico (en temas de actualidad, de modo que el bot no necesita rastrear todo Twitter) cuyas funciones de alto nivel se han codificado en su red neuronal. Los autores del malware seleccionan imágenes de íconos adecuadas antes del despliegue de la campaña y entrenan a la red neuronal en estos. Los vectores de características derivados y la propia red neuronal se distribuyen como parte de la carga útil maliciosa.
Cuando el servidor de C&C publica un nuevo comando, la mano que lo guía elige algunos temas de actualidad en Twitter (o en cualquier red social que se esté explotando) y genera publicaciones aparentemente ordinarias en las redes sociales que contienen comandos incrustados. La actualidad de la tendencia lleva las publicaciones a una prominencia detectable, de modo que los bots puedan acceder fácilmente a nuevos comandos rastreando la red social.
Flujo de trabajo de DeepC2.
Para evitar la detección, cada ícono de Twitter y cuenta asociada se usa como un mecanismo de C&C solo una vez en DeepC2, y el sistema pasa a un nuevo identificador OSN de C&C preestablecido después de este evento. Además, los bots eliminarán la información vectorial utilizada que los ayudó a identificar los avatares de C&C después de un uso (un comando enviado), para impedir aún más la reproducción mediante métodos de seguridad forense.
Ofuscación de comandos C&C
Como ayuda adicional a la ofuscación, DeepC2 incluye un método para evitar la detección de comandos explícitos en los mensajes de Twitter mediante el uso de colisión de hash y aumento mejorado de datos (EDA), este último basado en trabajar de Protago Labs Research en 2019, en colaboración con Dartmouth College y la Universidad de Georgetown.
Una colisión de hash ocurre cuando dos datos diferentes tienen una suma de verificación idéntica, es decir, cuando cada dato distinto tiene un perfil matemáticamente equivalente, un escenario poco frecuente que puede explotarse, en este caso, para crear significantes de comando a partir de contenido de texto aparentemente inocente.
Los bots buscan estos hashes preprogramados en la salida de las redes sociales de las cuentas que ha podido identificar como servidores C&C en función de los íconos de avatar reconocidos. Dado que los tweets generados por el comandante de C&C tendrán alguna relevancia contextual para el flujo de temas de destino, son difíciles de identificar como anomalías, lo que oculta la intención de las publicaciones.
Aunque los datos de texto aumentados pueden no ser gramaticalmente correctos, la inconsistencia gramatical de las publicaciones en Twitter (y otras redes sociales) oculta efectivamente estos “fallos” en la comprensión.
El botmaster transmite las direcciones IP a los bots dividiendo la URL en dos hashes separados con colisión de hash, que los bots remotos identifican y concatenan en una dirección IP comprensible.
Los investigadores utilizaron siete servidores privados virtuales para simular ubicaciones geodiversas. Los avatares de los objetivos se derivaron de 40 fotos tomadas con teléfonos móviles, que luego se convirtieron en vectores durante el entrenamiento. Posteriormente, los bots se colocaron en posición con el modelo entrenado y los datos vectoriales.
Todos los comandos en el experimento fueron recibidos y analizados con éxito por las redes de bots virtualizados, aunque con cierta redundancia en la difusión de mensajes, ya que el sistema no puede estar completamente seguro de que cada instancia de un mensaje se recibirá de un tweet en particular.
En términos de contramedidas, los investigadores señalan que la frecuencia automatizada de la forma en que los bots “esclavos” rastrean Twitter en busca de mensajes de C&C, y la forma en que el servidor de C&C itera a través de una serie de publicaciones, podría representar una firma identificable que podría abordarse mediante nuevos tipos de marcos de protección.
Además, los OSN podrían calcular las diferencias visuales muy específicas que se integran en una serie de iconos de avatar de C&C y desarrollar métodos para generar alertas en función de esos criterios.