Monitorare i forum di hacking sotterranei per la cybersecurity
Tenere d'occhio le discussioni aiuta a rilevare minacce in anticipo e a pianificare strategie di difesa.
― 5 leggere min
Indice
- L'importanza della rilevazione anticipata
- Forum Underground vs. Database Pubblici
- Il Dataset CrimeBB
- Comprendere le Categorie
- La Necessità di Analisi Automatica
- Tendenze nei Forum di Hacking
- Prezzi degli Exploit
- Tenere traccia dello Sfruttamento delle Vulnerabilità
- Usare Classificatori per la Rilevazione delle Minacce
- Il Valore di Comprendere i Thread
- Mettere in Pratica i Risultati
- Conclusione
- Fonte originale
- Link di riferimento
Internet è diventato un posto dove gli hacker possono scambiarsi info e strumenti per sfruttare le vulnerabilità dei computer. Questo crea rischi per chiunque usi la rete, dagli utenti normali alle grandi aziende. Esaminando cosa si dice nei forum di hacking underground, possiamo capire meglio come queste vulnerabilità vengono usate nella vita reale. Questa comprensione può aiutarci a difenderci dagli attacchi prima che accadano.
L'importanza della rilevazione anticipata
Quando gli hacker usano strumenti per sfruttare vulnerabilità, possono ottenere accesso non autorizzato ai sistemi e rubare informazioni sensibili. Scoprire queste attività in anticipo è fondamentale per prevenire gli attacchi. Quindi, monitorare i forum underground può aiutare a tenere d'occhio le discussioni sulle vulnerabilità e su come potrebbero essere sfruttate.
Forum Underground vs. Database Pubblici
Database pubblici come ExploitDB offrono informazioni preziose su come sfruttare le vulnerabilità. Tuttavia, i forum di hacking underground spesso hanno info ancora più tempestive. Questi forum contengono discussioni sugli exploit più recenti e includono anche informazioni su prezzi e istruzioni per rendere gli attacchi difficili da rilevare. Concentrandoci su cosa dicono gli utenti in questi forum, possiamo capire meglio come prevenire e rispondere alle minacce.
Il Dataset CrimeBB
Per studiare i forum di hacking underground, i ricercatori possono analizzare un dataset chiamato CrimeBB, che include post provenienti da vari forum underground. Questo dataset può aiutare a identificare discussioni relative a vulnerabilità conosciute. Permette ai ricercatori di costruire un modello di machine learning per classificare i thread del forum in categorie come "Proof-of-Concept", "Weaponization" o "Exploitation". Elaborando questi thread, possono attivare avvisi basati sul loro contenuto.
Comprendere le Categorie
- Proof-of-Concept (PoC): I thread in questa categoria di solito contengono guide, tutorial o discussioni volte a costruire un exploit di base in un ambiente controllato.
- Weaponization: Questa categoria include discussioni su exploit completamente funzionanti o maturi, che indicano che l'exploit è pronto per essere usato contro un obiettivo.
- Exploitation: Questi thread menzionano attacchi reali o tecniche usate per sfruttare vulnerabilità. Spesso discutono di come rendere gli exploit non rilevabili o parlano di specifici gruppi di hacker coinvolti in queste attività.
La Necessità di Analisi Automatica
Man mano che cresce il numero di post che discutono le vulnerabilità, diventa sempre più difficile monitorare tutto manualmente. I sistemi automatici possono aiutare a elaborare e analizzare questi post rapidamente, consentendo tempi di risposta più rapidi alle minacce emergenti. Il modello di machine learning può classificare e etichettare i post in base al loro contenuto, permettendo ai ricercatori di concentrarsi sulle discussioni più critiche.
Tendenze nei Forum di Hacking
L'analisi dei post del dataset CrimeBB mostra varie tendenze nei forum underground. Ad esempio, gli utenti tendono a discutere vulnerabilità che sono state divulgate in un determinato periodo di tempo. La maggior parte delle discussioni avviene subito dopo che una vulnerabilità è resa pubblica, indicando una forte correlazione tra la divulgazione della vulnerabilità e le discussioni sugli exploit.
In alcuni forum, gli utenti non si limitano a condividere conoscenze; stanno anche scambiando hack e strumenti, rendendo più facile per individui con meno competenze condurre attacchi informatici. Questo crea una situazione in cui anche persone con abilità limitate possono impegnarsi in attività dannose.
Prezzi degli Exploit
Un altro aspetto interessante dei forum underground è il prezzo degli exploit. I prezzi possono variare da abbonamenti a basso costo a strumenti costosi. Ad esempio, i prezzi nei forum CrimeBB sono generalmente più bassi rispetto a quelli nei forum russi. Questo è probabilmente dovuto a differenze nell'accesso degli utenti e alla maturità degli exploit discussi.
Tenere traccia dello Sfruttamento delle Vulnerabilità
Comprendere quanto tempo impiega a emergere info sulle vulnerabilità in questi forum è essenziale per valutare i rischi. Ad esempio, i ricercatori possono guardare il divario tra quando una vulnerabilità viene pubblicata e quando viene discussa nei forum underground. Questo può fornire spunti su quanto velocemente si evolvono le minacce e informare le strategie di gestione delle patch.
Usare Classificatori per la Rilevazione delle Minacce
Per identificare potenziali minacce nei forum underground, si possono utilizzare classificatori di machine learning. Questi classificatori possono essere addestrati a distinguere tra diversi tipi di thread in base al loro contenuto. Utilizzando varie tecniche di codifica, come Bag-of-Words o Term Frequency-Inverse Document Frequency, i ricercatori possono estrarre caratteristiche utili dal testo per la classificazione.
I classificatori possono raggiungere alti tassi di precisione, consentendo un filtraggio efficace dei thread di sfruttamento. Le migliori prestazioni spesso derivano da modelli più complessi come le foreste casuali, mentre modelli più semplici, come gli alberi decisionali, sono più facili da interpretare.
Il Valore di Comprendere i Thread
Analizzare il contenuto dei thread del forum può fornire indizi sul panorama attuale delle minacce informatiche. Ad esempio, le parole chiave usate nelle discussioni possono rivelare quali tipi di exploit sono popolari tra gli hacker. Monitorare queste parole chiave può aiutare i team di sicurezza a rimanere un passo avanti rispetto agli attacchi potenziali.
Mettere in Pratica i Risultati
Sfruttando le intuizioni ottenute dall'analisi dei forum di hacking underground, gli esperti di sicurezza possono migliorare le loro difese. Possono adattare le loro strategie basandosi sulle ultime tendenze e discussioni, contribuendo a rendere Internet un posto più sicuro per tutti. Comprendere le motivazioni e i metodi degli hacker può guidare lo sviluppo di strumenti e pratiche che disincentivano il crimine informatico.
Conclusione
Lo studio dei forum di hacking underground è cruciale per capire come le vulnerabilità vengano sfruttate in scenari reali. Analizzando le discussioni che si tengono, i ricercatori possono ottenere un quadro più chiaro delle minacce esistenti e di come contrastarle efficacemente. Man mano che la tecnologia continua a evolversi, anche i metodi usati dagli hacker si evolveranno, rendendo la ricerca continua in questo campo fondamentale per proteggere i sistemi e gli utenti.
In sintesi, esaminare il contenuto dei forum underground offre preziose intuizioni sulle motivazioni e azioni degli hacker. Utilizzando il machine learning per classificare le discussioni e monitorare le tendenze, possiamo migliorare le nostre difese contro le minacce informatiche e aiutare a mantenere un ambiente Internet stabile per tutti.
Titolo: Cream Skimming the Underground: Identifying Relevant Information Points from Online Forums
Estratto: This paper proposes a machine learning-based approach for detecting the exploitation of vulnerabilities in the wild by monitoring underground hacking forums. The increasing volume of posts discussing exploitation in the wild calls for an automatic approach to process threads and posts that will eventually trigger alarms depending on their content. To illustrate the proposed system, we use the CrimeBB dataset, which contains data scraped from multiple underground forums, and develop a supervised machine learning model that can filter threads citing CVEs and label them as Proof-of-Concept, Weaponization, or Exploitation. Leveraging random forests, we indicate that accuracy, precision and recall above 0.99 are attainable for the classification task. Additionally, we provide insights into the difference in nature between weaponization and exploitation, e.g., interpreting the output of a decision tree, and analyze the profits and other aspects related to the hacking communities. Overall, our work sheds insight into the exploitation of vulnerabilities in the wild and can be used to provide additional ground truth to models such as EPSS and Expected Exploitability.
Autori: Felipe Moreno-Vera, Mateus Nogueira, Cainã Figueiredo, Daniel Sadoc Menasché, Miguel Bicudo, Ashton Woiwood, Enrico Lovat, Anton Kocheturov, Leandro Pfleger de Aguiar
Ultimo aggiornamento: 2023-08-03 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2308.02581
Fonte PDF: https://arxiv.org/pdf/2308.02581
Licenza: https://creativecommons.org/licenses/by/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.
Link di riferimento
- https://www.overleaf.com/8783824662mqvswxgxffdt
- https://docs.google.com/document/d/1jxv6cSzCrfDqsRbuHDsPi7aQTby9edW_zxXsX9MimpQ/edit?usp=sharing
- https://www.overleaf.com/5568714299mvryswkcnqyn
- https://www.overleaf.com/5661437471ykjsswwbnwyx
- https://www.overleaf.com/1945565742bdfgcxggnfdg
- https://drive.google.com/drive/folders/184juXWCPiQmUimj4B5B9WOe2nw812l46?usp=sharing
- https://tinyurl.com/crimebbpaper
- https://portswigger.net/daily-swig/million-dollar-bug-bounties-the-rise-of-record-breaking-payouts