Surveillance des forums de hacking underground pour la cybersécurité
Suivre les discussions aide à détecter les menaces tôt et à élaborer des stratégies de défense.
― 6 min lire
Table des matières
- L'Importance de la Détection Précoce
- Forums Underground vs. Bases de Données Publiques
- Le Dataset CrimeBB
- Comprendre les Catégories
- Le Besoin d'Analyse Automatisée
- Tendances dans les Forums de Hacking
- Tarification des Exploits
- Suivre l'Exploitation des Failles
- Utilisation de Classifieurs pour la Détection des Menaces
- La Valeur de Comprendre les Fils
- Mettre les Résultats à Profit
- Conclusion
- Source originale
- Liens de référence
Internet est devenu un endroit où les hackers peuvent partager des infos et des outils pour exploiter des failles informatiques. Ça crée des risques pour tout le monde qui utilise Internet, des utilisateurs lambda aux grandes entreprises. En regardant ce qui se parle sur les forums de hacking underground, on peut mieux comprendre comment ces failles sont utilisées dans la vraie vie. Cette compréhension peut nous aider à nous défendre contre les attaques avant qu'elles n'arrivent.
L'Importance de la Détection Précoce
Quand les hackers utilisent des outils pour exploiter les failles, ils peuvent accéder sans autorisation aux systèmes et voler des infos sensibles. Savoir ce qui se passe tôt est crucial pour prévenir les attaques. Donc, surveiller les forums underground peut aider à garder un œil sur les discussions sur les failles et comment elles pourraient être exploitées.
Forums Underground vs. Bases de Données Publiques
Des bases de données publiques comme ExploitDB offrent des infos précieuses sur comment exploiter des failles. Cependant, les forums de hacking underground ont souvent des infos encore plus récentes. Ces forums contiennent des discussions sur les dernières Exploitations et incluent aussi des infos sur les prix et des instructions pour rendre les attaques difficiles à détecter. En se concentrant sur ce que les utilisateurs disent dans ces forums, on peut mieux comprendre comment prévenir et réagir aux menaces.
Le Dataset CrimeBB
Pour étudier les forums de hacking underground, les chercheurs peuvent analyser un dataset appelé CrimeBB, qui contient des posts de divers forums underground. Ce dataset peut aider à identifier les discussions liées aux failles connues. Il permet aux chercheurs de construire un modèle d'Apprentissage automatique pour classer les fils de discussion en catégories comme "Proof-of-Concept," "Weaponization," ou "Exploitation." En traitant ces fils, ils peuvent déclencher des alertes basées sur leur contenu.
Comprendre les Catégories
- Proof-of-Concept (PoC) : Les fils dans cette catégorie contiennent généralement des guides, des tutoriels, ou des discussions visant à construire un exploit de base dans un environnement contrôlé.
- Weaponization : Cette catégorie inclut des discussions sur des exploits entièrement fonctionnels ou matures, indiquant que l'exploit est prêt à être utilisé contre une cible.
- Exploitation : Ces fils mentionnent des attaques réelles ou des techniques utilisées pour exploiter des failles. Ils discutent souvent de comment rendre les exploits indétectables ou parlent de groupes de hackers spécifiques impliqués dans ces activités.
Le Besoin d'Analyse Automatisée
Avec le nombre de posts sur les failles qui augmente, il devient de plus en plus difficile de tout monitorer manuellement. Des systèmes automatisés peuvent aider à traiter et analyser rapidement ces posts, permettant des temps de réponse plus rapides face aux menaces émergentes. Le modèle d'apprentissage automatique peut classer et étiqueter les posts en fonction de leur contenu, permettant aux chercheurs de se concentrer sur les discussions les plus critiques.
Tendances dans les Forums de Hacking
L'analyse des posts du dataset CrimeBB montre diverses tendances dans les forums underground. Par exemple, les utilisateurs ont tendance à discuter des failles qui ont été divulguées dans un certain laps de temps. La plupart des discussions ont lieu peu après qu'une faille soit rendue publique, indiquant une forte corrélation entre la divulgation de la faille et les discussions sur l'exploitation.
Dans certains forums, les utilisateurs ne partagent pas seulement des connaissances ; ils échangent aussi des hacks et des outils, facilitant ainsi les cyberattaques pour les personnes moins habiles. Cela crée une situation où même les personnes avec des compétences limitées peuvent s'engager dans des activités malveillantes.
Tarification des Exploits
Un autre aspect intéressant des forums underground est la tarification des exploits. Les prix peuvent varier de souscriptions à bas coût à des outils chers. Par exemple, les prix dans les forums CrimeBB sont généralement plus bas que ceux des forums russes. Cela est probablement dû à des différences dans l'accès des utilisateurs et à la maturité des exploits discutés.
Suivre l'Exploitation des Failles
Comprendre combien de temps il faut pour que des infos sur les failles apparaissent sur ces forums est essentiel pour évaluer les risques. Par exemple, les chercheurs peuvent regarder le délai entre la publication d'une faille et sa discussion dans les forums underground. Cela peut donner des infos sur la rapidité avec laquelle les menaces évoluent et informer les stratégies de gestion des correctifs.
Utilisation de Classifieurs pour la Détection des Menaces
Pour identifier des menaces potentielles dans les forums underground, des classifieurs d'apprentissage automatique peuvent être utilisés. Ces classifieurs peuvent être formés pour faire la distinction entre différents types de fils en fonction de leur contenu. En utilisant diverses techniques d'encodage, comme le Bag-of-Words ou le Term Frequency-Inverse Document Frequency, les chercheurs peuvent extraire des caractéristiques utiles du texte pour la classification.
Les classifieurs peuvent atteindre des taux d'exactitude élevées, permettant un filtrage efficace des fils d'exploitation. La meilleure performance vient souvent de modèles plus complexes comme les forêts aléatoires, tandis que les modèles plus simples, comme les arbres de décision, sont plus faciles à interpréter.
La Valeur de Comprendre les Fils
Analyser le contenu des fils de forum peut donner des aperçus sur le paysage actuel des menaces cybernétiques. Par exemple, les mots-clés utilisés dans les discussions peuvent révéler quels types d'exploits sont populaires chez les hackers. Suivre ces mots-clés peut aider les équipes de sécurité à rester en avance sur les attaques potentielles.
Mettre les Résultats à Profit
En tirant parti des insights obtenus en analysant les forums de hacking underground, les experts en sécurité peuvent améliorer leurs défenses. Ils peuvent adapter leurs stratégies en fonction des dernières tendances et discussions, rendant finalement Internet plus sûr pour tout le monde. Comprendre les motivations et les méthodes des hackers peut guider le développement d'outils et de pratiques qui dissuadent la cybercriminalité.
Conclusion
L'étude des forums de hacking underground est cruciale pour comprendre comment les failles sont exploitées dans des scénarios réels. En analysant les discussions qui ont lieu, les chercheurs peuvent obtenir une image plus claire des menaces existantes et comment les contrer efficacement. Alors que la technologie continue d'évoluer, les méthodes utilisées par les hackers le feront aussi, rendant la recherche continue dans ce domaine critique pour sécuriser les systèmes et protéger les utilisateurs.
En résumé, examiner le contenu des forums underground offre des insights précieux sur les motivations et les actions des hackers. En utilisant l'apprentissage automatique pour classifier les discussions et suivre les tendances, on peut améliorer nos défenses contre les menaces cybernétiques et aider à maintenir un environnement Internet stable pour tout le monde.
Titre: Cream Skimming the Underground: Identifying Relevant Information Points from Online Forums
Résumé: This paper proposes a machine learning-based approach for detecting the exploitation of vulnerabilities in the wild by monitoring underground hacking forums. The increasing volume of posts discussing exploitation in the wild calls for an automatic approach to process threads and posts that will eventually trigger alarms depending on their content. To illustrate the proposed system, we use the CrimeBB dataset, which contains data scraped from multiple underground forums, and develop a supervised machine learning model that can filter threads citing CVEs and label them as Proof-of-Concept, Weaponization, or Exploitation. Leveraging random forests, we indicate that accuracy, precision and recall above 0.99 are attainable for the classification task. Additionally, we provide insights into the difference in nature between weaponization and exploitation, e.g., interpreting the output of a decision tree, and analyze the profits and other aspects related to the hacking communities. Overall, our work sheds insight into the exploitation of vulnerabilities in the wild and can be used to provide additional ground truth to models such as EPSS and Expected Exploitability.
Auteurs: Felipe Moreno-Vera, Mateus Nogueira, Cainã Figueiredo, Daniel Sadoc Menasché, Miguel Bicudo, Ashton Woiwood, Enrico Lovat, Anton Kocheturov, Leandro Pfleger de Aguiar
Dernière mise à jour: 2023-08-03 00:00:00
Langue: English
Source URL: https://arxiv.org/abs/2308.02581
Source PDF: https://arxiv.org/pdf/2308.02581
Licence: https://creativecommons.org/licenses/by/4.0/
Changements: Ce résumé a été créé avec l'aide de l'IA et peut contenir des inexactitudes. Pour obtenir des informations précises, veuillez vous référer aux documents sources originaux dont les liens figurent ici.
Merci à arxiv pour l'utilisation de son interopérabilité en libre accès.
Liens de référence
- https://www.overleaf.com/8783824662mqvswxgxffdt
- https://docs.google.com/document/d/1jxv6cSzCrfDqsRbuHDsPi7aQTby9edW_zxXsX9MimpQ/edit?usp=sharing
- https://www.overleaf.com/5568714299mvryswkcnqyn
- https://www.overleaf.com/5661437471ykjsswwbnwyx
- https://www.overleaf.com/1945565742bdfgcxggnfdg
- https://drive.google.com/drive/folders/184juXWCPiQmUimj4B5B9WOe2nw812l46?usp=sharing
- https://tinyurl.com/crimebbpaper
- https://portswigger.net/daily-swig/million-dollar-bug-bounties-the-rise-of-record-breaking-payouts