Slide 1
การตรวจจับบอตเน็ตของ Sangfor

ความเป็นมา

ไม่มีแฮ็กเกอร์ที่เชี่ยวชาญคนไหนจะทำการโจมตีโดยใช้ที่อยู่ IP ส่วนตัว เว้นแต่ว่าพวกเขาต้องการถูกจับได้ แฮ็กเกอร์จะทำการสั่งกองทัพบอตเน็ตให้ทำสิ่งที่เป็นอันตราย เช่น DDoS การติดแรนซัมแวร์ หรือการสแกนเครือข่าย เพื่อเพิ่มผลกระทบและทำให้ผลการโจมตีอยู่ยาวนานขึ้น

Command and Control คือตัวสื่อสารหลักที่ใช้ในการควบคุมบอตเน็ต ในขณะที่เครือข่าย C&C นี้เคยทำงานจากที่อยู่ IP แบบคงที่ แต่แฮกเกอร์ได้ตอบสนองต่อความก้าวหน้าด้านความปลอดภัยที่มีความซับซ้อนมากขึ้น ด้วยการเปลี่ยนอัลกอริทึมการสร้างโดเมน (DGA) เป็นเซิร์ฟเวอร์ C&C บอตเน็ตจะสื่อสารกับเซิร์ฟเวอร์ C&C โดยการส่งชื่อโดเมนแบบไดนามิก ซึ่งมีการกำหนดไว้ล่วงหน้า ผ่านอัลกอริทึมที่แฮ็กเกอร์รู้จักเท่านั้น คำขอ DNS เหล่านี้จะมีการเปลี่ยนแปลงอย่างรวดเร็วและบ่อยครั้ง ทำให้การใช้ไฟร์วอล์และการตรวจจับข้อมูลแบบอัจฉริยะแบบเดิมสามารถตรวจพบได้ยากเป็นอย่างยิ่ง
*รูปภาพทางด้านขวามาจาก virustotal.com (มีนาคม 2018)

Background

จำนวนมหาศาล

Sangfor ใช้การเรียนรู้เชิงลึกเพื่อแยกชื่อโดเมนที่เป็นความลับออกมาเป็นเวกเตอร์ ซึ่งแตกต่างจากเทคนิคการประมวลผลภาษาธรรมชาติอื่น ๆ ที่เน้นการพิจารณาถึงมัลแวร์ที่เป็นอันตรายเป็นหลัก โมเดลการเรียนรู้เชิงลึกของ Sangfor จะคำนึงถึงกลุ่มมัลแวร์ ด้วยกระบวนการเชื่อมโยงเวกเตอร์นี้ เราจะสามารถตรวจจับชื่อโดเมนที่ใช้โดยตระกูลมัลแวร์ที่คล้ายกันได้ เมื่อเวลาผ่านไป การเรียนรู้เชิงลึกจะทำการสอนตัวเองทุกครั้งที่มีการดำเนินการ ส่งผลให้มีการระบุชื่อโดเมนที่เป็นอันตราย ซึ่งตรวจไม่พบก่อนหน้านี้ เป็นจำนวนมาก

Botnet Detection Innovation Overview

  • การเรียนรู้เชิงลึก:

การเรียนรู้เชิงลึกเป็นองค์ประกอบของการเรียนรู้ของเครื่องที่ซับซ้อนซึ่งได้รับแรงบันดาลใจมาจากการทำงานของเซลล์ประสาทที่เชื่อมต่อกันในสมองของมนุษย์ วิวัฒนาการของการเรียนรู้ของเครื่องและองค์ประกอบของ AI โดยทำการสอนตัวเองให้ทำการคาดการณ์ที่แม่นยำและรวดเร็วยิ่งขึ้นผ่านการสังเกต ประมวลผล และวิเคราะห์ข้อมูลจำนวนมหาศาล

โดยทั่วไปแล้ว มัลแวร์จะสร้างการรับส่งข้อมูลที่ผิดปกติ เมื่อมีการสื่อสารกับเซิร์ฟเวอร์ C&C ZSand ของ Sangfor จะทำการวิเคราะห์ สังเกต และจับภาพกิจกรรมเหล่านี้ เพื่อตรวจสอบว่าระบบอยู่ภายใต้การโจมตีจากบอตเน็ตที่ควบคุมไว้หรือไม่ซึ่งจะแสดงพฤติกรรมที่แตกต่างกันมาก เมื่อเทียบกับผู้ใช้ที่เป็นมนุษย์ จากนั้นหลักฐานที่รวบรวมเอาไว้จะถูกนำมาประมวลผลโดยเครื่องมือวิเคราะห์การทำงานเพื่อค้นหารูปแบบพฤติกรรมที่เป็นอันตราย หลังจากนั้นจะมีการแชร์หลักฐาน IOC ของ IP URL และ DNS ที่ได้รับการยืนยันแล้วผ่านระบบตรวจจับภัยคุกคามแบบอัจฉริยะของ Sangfor เพื่อให้เป็นประโยชน์สำหรับลูกค้าทุกคน

  • การคำนวณภาพ:

ตระกูลของมัลแวร์จะเปลี่ยนกลับเป็นตระกูลเดิม หรือตระกูลที่เกี่ยวข้องในสื่อสาร C&C ด้วยการสร้างแผนผังความสัมพันธ์ของชื่อโดเมน Sangfor จะสามารถตรวจจับชื่อโดเมนที่ใช้โดยตระกูลมัลแวร์ที่มีความคล้ายคลึงกันได้

  • การวิเคราะห์การทำงาน:

โดยทั่วไปแล้ว มัลแวร์จะสร้างการรับส่งข้อมูลที่ผิดปกติ เมื่อมีการสื่อสารกับเซิร์ฟเวอร์ C&C ZSand ของ Sangfor จะทำการวิเคราะห์ สังเกต และจับภาพกิจกรรมเหล่านี้ เพื่อตรวจสอบว่าระบบอยู่ภายใต้การโจมตีจากบอตเน็ตที่ควบคุมไว้หรือไม่ ซึ่งจะแสดงพฤติกรรมที่แตกต่างกันมาก เมื่อเทียบกับผู้ใช้ที่เป็นมนุษย์ จากนั้นหลักฐานที่รวบรวมเอาไว้จะถูกนำมาประมวลผลโดยเครื่องมือวิเคราะห์การทำงาน เพื่อค้นหารูปแบบพฤติกรรมที่เป็นอันตราย หลังจากนั้นจะมีการแชร์หลักฐาน IOC ของ IP URL และ DNS ที่ได้รับการยืนยันแล้วผ่านระบบตรวจจับภัยคุกคามแบบอัจฉริยะของ Sangfor เพื่อให้เป็นประโยชน์สำหรับลูกค้าทุกคน

ผลการตรวจจับบอตเน็ต

การรวมกันของเทคนิคข้างต้นเผยให้เห็นชื่อโดเมนที่เป็นอันตรายมากขึ้นอย่างมีนัยสำคัญ เมื่อเทียบกับบริการ Botnet Scanning ยอดนิยมอื่น ๆ เครื่องมือตรวจจับบอตเน็ตอง Sangfor พบชื่อโดเมนที่เป็นอันตรายใหม่ ๆ ดังที่แสดงไว้ด้านล่าง โดยเทียบระหว่างชื่อโดเมนที่เป็นอันตรายที่ค้นพบโดย Sangfor และ VirusTotal

Innovation-Advantages

ข้อได้เปรียบของเรา

การตรวจจับบอทเน็ตของ Neural-X ค้นพบชื่อโดเมนที่เป็นอันตรายมากกว่า 1 ล้านชื่อ และตรวจพบเพิ่มขึ้นเป็นรายวัน