Verbesserung der Erkennung von Living-Off-The-Land-Angriffen
Ein neuer Ansatz verbessert die Erkennung subtiler Cyberbedrohungen mit fortschrittlichen Datenmethoden.
― 6 min Lesedauer
Inhaltsverzeichnis
Cybersecurity ist ein mega wichtiger Aspekt der modernen Technologie, und es ist super wichtig zu verstehen, wie Angreifer Systeme ausnutzen, um sich zu verteidigen. Eine Methode, die Angreifer verwenden, ist "living-off-the-land", was bedeutet, dass sie legitime Tools nutzen, die schon auf einem System vorhanden sind. So können sie sich unter normalen Aktivitäten verstecken und unentdeckt bleiben. In diesem Artikel schauen wir uns an, wie man bösartige Aktivitäten, insbesondere mit Reverse Shells, durch fortgeschrittene Methoden erkennen kann, die die Daten zur Verbesserung von Erkennungsmodellen nutzen.
Living-Off-The-Land Angriffe
Living-off-the-land Angriffe beinhalten die Nutzung von bestehender Software auf einem kompromittierten Gerät, um schädliche Aktionen durchzuführen. Anstatt neue schädliche Software hochzuladen, manipulieren Angreifer legitime Anwendungen, um schädliche Befehle auszuführen. Das macht ihre Aktivitäten weniger auffällig, da sie normale Nutzungsmuster des Systems nachahmen.
Eine Reverse Shell ist eine spezielle Technik, die bei diesen Angriffen verwendet wird. Damit kann ein Angreifer auf ein entferntes System zugreifen, indem er die Kontrolle über eine kompromittierte Maschine übernimmt. Der Angreifer sendet Befehle von seinem eigenen Gerät und leitet die Shell-Operation über eine Netzwerkverbindung um. Viele gängige Anwendungen auf Systemen, sowohl Windows als auch Linux, können diese Funktionalität ermöglichen.
Angreifer, die diese Technik nutzen, sind unterschiedlich talentiert, von Amateur-Hackern bis zu fortgeschrittenen Gruppen, die von Regierungen unterstützt werden. Der Einsatz von Reverse Shells hat in jüngeren Konflikten, wie der laufenden Situation zwischen Russland und der Ukraine, Aufmerksamkeit erregt.
Die Herausforderung der Erkennung
Die Erkennung von Reverse Shell-Aktivitäten und anderen Living-off-the-land Taktiken ist herausfordernd. Die legitimen Befehle, die von Anwendungen ausgeführt werden, können die schädlichen maskieren, was es schwierig macht, sie ohne eine sorgfältige Analyse der Systemprotokolle zu identifizieren. Zudem können Bedrohungen Methoden verwenden, um ihre Aktivitäten zu verstecken, was zu vielen Fehlalarmen in Erkennungssystemen führt.
Auch wenn maschinelles Lernen potenzielle Lösungen bietet, um die Erkennung zu verbessern, können bestehende Modelle in Umgebungen, die von legitimen Aktivitäten geprägt sind, Schwierigkeiten haben. Viele Angriffe finden in einem seltenen Kontext statt, vermischt mit überwältigend normalen Befehlen, was dazu führt, dass Detektoren ineffektiv sind. Deshalb müssen menschliche Operatoren oft durch zahlreiche Fehlalarme sift, was in der realen Welt unpraktisch ist.
Verbesserung der Erkennung durch Datenaugmentation
Um diesen Herausforderungen zu begegnen, schlägt diese Forschung eine neue Methode vor, um realistische Datensätze für das Training von maschinellen Lernmodellen zu erstellen. Das Ziel ist es, die Fähigkeit der Erkennungsmodelle zu verbessern, Reverse Shell-Befehle genau zu identifizieren.
Die vorgeschlagene Methode führt ein Datenaugmentations-Framework ein. Dieser Ansatz erhöht die Beispiele von bösartigen Aktivitäten im Kontext legitimer Protokolle. Mit Informationen über bekannte Angriffe generieren die Forscher Datensätze, die sowohl echte Befehle als auch sorgfältig erstellte bösartige Beispiele enthalten.
Der Augmentierungsprozess beginnt mit einem Basisdatensatz, der aus Unternehmensnetzwerken gesammelt wurde. Dieser Datensatz enthält eine grosse Menge an legitimen Aktivitäten, die typischerweise von Systemen produziert werden. Um ihn zu verbessern, werden Angriffsvorlagen in den Datensatz eingefügt, wodurch vielfältige Darstellungen potenzieller Bedrohungen geschaffen werden, während eine Verbindung zu normalen Abläufen aufrechterhalten wird.
Experimentierung und Datensatzcreation
Die Forscher führten umfangreiche Tests durch, um herauszufinden, welche Modelle und Techniken am besten mit dem augmentierten Datensatz funktionieren. Sie konzentrierten sich auf 14 verschiedene Setups und berücksichtigten dabei verschiedene Modelle und Techniken zur Merkmals-Extraktion.
Ein bedeutender Teil der Studie bestand darin, realistische Datensätze zu erstellen, indem sie Kommandoreihen-Daten, die in Echtzeit auf Linux-Systemen aufgezeichnet wurden, aggregierten. Die Forscher sammelten Millionen von Ereignissen innerhalb eines begrenzten Zeitraums und filterten sowie organisierten sie, um sicherzustellen, dass sie typisches Systemverhalten genau repräsentieren.
Die verwendeten Angriffsvorlagen zur Augmentierung stammen aus bekannten Methoden der Reverse Shell-Ausnutzung. Jede Vorlage enthält Platzhalter, die Variationen in der Befehlsstruktur ermöglichen, wodurch die generierten Befehle vielfältig, aber funktional bleiben.
Ergebnisse zur Modellleistung
Nach der Erstellung des Datensatzes trainierten die Forscher maschinelle Lernmodelle mit verschiedenen Konfigurationen. Sie analysierten die Effektivität jeder Kombination, um zu sehen, welches Setup die besten Ergebnisse bei der Erkennung bösartiger Aktivitäten lieferte.
Ein Höhepunkt der Forschung war die Leistung traditioneller Modelle des maschinellen Lernens, insbesondere von Gradient Boosting Decision Trees (GBDT). Diese Methode zeigte bemerkenswerte Fähigkeiten, zwischen normalen und bösartigen Befehlen zu unterscheiden, und erzielte eine hervorragende True Positive-Rate bei gleichzeitig niedriger False Positive-Rate.
Darüber hinaus bemerkten die Forscher, dass das blosse Injizieren von bösartigen Befehlen in den Datensatz ohne angemessene Augmentierung keine effektiven Erkennungsmodelle hervorbrachte. Die Effektivität, eine Vielzahl von bösartigen Befehlsdarstellungen zu nutzen, war entscheidend für die Verbesserung der Vorhersageleistung.
Robustheit der Modelle
Neben der Verbesserung der Erkennung durch Datenaugmentation befasste sich die Forschung auch mit der Robustheit der Modelle gegenüber möglichen Angriffen, die Gegner anwenden könnten. Die Effektivität der Modelle des maschinellen Lernens kann schwächer werden, wenn Angreifer Daten manipulieren, um der Erkennung zu entkommen.
Die Forscher stellten die Hypothese auf, dass ein modellagnostische Bedrohung besteht, bei der ein Angreifer die Trainingsdaten beeinflussen könnte, indem er absichtlich Rauschen einführt, um die Leistung der Modelle zu verschlechtern. Sie simulierten verschiedene Szenarien, um zu sehen, wie gut ihre Modelle solchen Angriffen standhalten könnten.
Die Experimente zeigten, dass obwohl viele Modelle effektiv blieben, einige anfälliger waren als andere. GBDT-Modelle wiesen eine grössere Widerstandsfähigkeit gegen gegnerisches Rauschen auf als einige neuronale Netzwerkmodelle, was sie zu einer robusten Wahl für diese Aufgabe machte.
Evasionstechniken und zukünftige Arbeiten
Es gibt verschiedene Techniken, um Erkennungssysteme zu umgehen, die die Forscher in ihren Tests untersuchten. Sie führten harmlose Befehle in bösartige ein, um zu sehen, wie gut die Modelle trotzdem Bedrohungen identifizieren konnten. Die Ergebnisse zeigten, dass das Verwenden von adversarialem Training die Fähigkeiten der Modelle zur Handhabung solcher Manipulationen effektiv verbesserte.
Die Forschung wies auch auf Einschränkungen ihres aktuellen Ansatzes hin. Der Datensatz und das Modell könnten bestimmte Merkmale unbekannter Techniken übersehen oder bösartige Aktionen in komplexeren Befehlen nicht erkennen. Zukünftige Arbeiten könnten diese Forschung auf andere Betriebssysteme und Methoden ausweiten.
Fazit
Die Erkennung von Living-off-the-land Angriffe mit Reverse Shells stellt eine erhebliche Herausforderung in der Cybersicherheit dar. Doch durch den Einsatz fortschrittlicher Datenaugmentierungsmethoden und die Verbesserung von Trainingsdatensätzen können maschinelle Lernmodelle besser gerüstet sein, um diese subtilen Bedrohungen zu identifizieren.
Während sich die Landschaft der Cyberbedrohungen weiterhin entwickelt, werden fortlaufende Forschungen und Verbesserungen bei den Erkennungstechniken entscheidend sein, um Systeme gegen geschickte Gegner zu verteidigen. Durch gemeinsame Anstrengungen und die Nutzung von Fachwissen können wir die Erkennungssysteme für eine sicherere digitale Umgebung verbessern.
Titel: Robust Synthetic Data-Driven Detection of Living-Off-the-Land Reverse Shells
Zusammenfassung: Living-off-the-land (LOTL) techniques pose a significant challenge to security operations, exploiting legitimate tools to execute malicious commands that evade traditional detection methods. To address this, we present a robust augmentation framework for cyber defense systems as Security Information and Event Management (SIEM) solutions, enabling the detection of LOTL attacks such as reverse shells through machine learning. Leveraging real-world threat intelligence and adversarial training, our framework synthesizes diverse malicious datasets while preserving the variability of legitimate activity, ensuring high accuracy and low false-positive rates. We validate our approach through extensive experiments on enterprise-scale datasets, achieving a 90\% improvement in detection rates over non-augmented baselines at an industry-grade False Positive Rate (FPR) of $10^{-5}$. We define black-box data-driven attacks that successfully evade unprotected models, and develop defenses to mitigate them, producing adversarially robust variants of ML models. Ethical considerations are central to this work; we discuss safeguards for synthetic data generation and the responsible release of pre-trained models across four best performing architectures, including both adversarially and regularly trained variants: https://huggingface.co/dtrizna/quasarnix. Furthermore, we provide a malicious LOTL dataset containing over 1 million augmented attack variants to enable reproducible research and community collaboration: https://huggingface.co/datasets/dtrizna/QuasarNix. This work offers a reproducible, scalable, and production-ready defense against evolving LOTL threats.
Autoren: Dmitrijs Trizna, Luca Demetrio, Battista Biggio, Fabio Roli
Letzte Aktualisierung: 2024-12-16 00:00:00
Sprache: English
Quell-URL: https://arxiv.org/abs/2402.18329
Quell-PDF: https://arxiv.org/pdf/2402.18329
Lizenz: https://creativecommons.org/licenses/by/4.0/
Änderungen: Diese Zusammenfassung wurde mit Unterstützung von AI erstellt und kann Ungenauigkeiten enthalten. Genaue Informationen entnehmen Sie bitte den hier verlinkten Originaldokumenten.
Vielen Dank an arxiv für die Nutzung seiner Open-Access-Interoperabilität.