Los investigadores describen una técnica, que podría detectar actividad maliciosa en la cadena de suministro de software, pero con algunas limitaciones.
Las intrusiones en las que los piratas informáticos comprometen la infraestructura de los desarrolladores de software y "troyanizan" sus actualizaciones legítimas son difíciles de detectar por los usuarios de los productos de software afectados, como lo destacan los múltiples incidentes de los últimos años. Los investigadores están de acuerdo en que no existe una solución milagrosa, pero los defensores de la red pueden usar una combinación de técnicas para detectar cambios sutiles en cómo se comportan el software crítico y los sistemas en los que se implementa.
Investigadores han analizado recientemente varias de estas técnicas que se basan en la creación de huellas digitales únicas para identificar qué aplicaciones de software establecen conexiones HTTPS. La premisa es que los programas de malware, independientemente de cómo se entreguen, a menudo vienen con sus propias bibliotecas TLS o configuración TLS y sus apretones de manos HTTPS serían identificables en los registros de tráfico en comparación con los hashes de cliente TLS de aplicaciones preaprobadas.
Aprovechando el estándar JA3
La idea de utilizar huellas dactilares de clientes SSL / TLS para identificar tráfico malicioso en las redes no es nueva. Los investigadores de Salesforce desarrollaron un estándar llamado JA3 que crea un hash MD5 a partir de varios atributos de la configuración TLS de un cliente que se envían en el llamado "saludo del cliente", el mensaje de inicio de un protocolo de enlace TLS. Los atributos como la versión SSL, los cifrados aceptados, la lista de extensiones, las curvas elípticas y los formatos de curvas elípticas se concatenan y se calcula un hash MD5 a partir del resultado. Si bien es posible que diferentes aplicaciones cliente tengan configuraciones TLS similares, se cree que las combinaciones de múltiples atributos son lo suficientemente únicas como para ser utilizadas para identificar programas. Se puede utilizar un enfoque similar para crear huellas digitales para servidores TLS en función de los atributos de los mensajes de "saludo del servidor". Esto se llama JA3S pero puede ser menos confiable porque los servidores admiten múltiples versiones y configuraciones de TLS y adaptarán su respuesta en función de lo que el cliente admita y solicite. Por lo tanto, el mismo servidor responderá con un conjunto diferente de atributos de configuración de TLS a diferentes clientes.
Huellas dactilares JA3 vistas por primera vez y más raras
Dos tipos investigaciones están destinadas a detectar las ocurrencias "vistas por primera vez" y "más raras" de huellas dactilares JA3 dentro del tráfico de red de un sistema host en particular. Los resultados de ambas consultas podrían indicar aplicaciones potencialmente no autorizadas, como puertas traseras y troyanos, que realizan conexiones HTTPS. La detección de actividad anormal a través de una consulta vista por primera vez resultó útil cuando el analista estaba familiarizado con la actividad de la red y aprovechó una lista permitida [de hashes JA3S y / o nombres de servidor para filtrar entidades conocidas].
La ventana de tiempo para los datos de tráfico consultados también es importante porque si es demasiado amplia o estrecha, la actividad maliciosa podría perderse. Los investigadores encontraron que una ventana de tiempo de siete días dio los mejores resultados con este tipo de consulta; las solicitudes maliciosas aparecieron en los 20 primeros resultados de consultas. El uso de un marco de tiempo apropiado y una lista de permitidos es aún más importante para las consultas de tipo más raro que están destinadas a resaltar el hash JA3 que ocurre con menos frecuencia por nombre de servidor en un conjunto de datos. Los resultados para este tipo de consulta fueron inconsistentes en varias ventanas de tiempo, con muchos falsos positivos, lo que llevó a los investigadores a concluir que los resultados de tales consultas solo deberían usarse en combinación con los resultados de otras consultas para identificar conexiones sospechosas. Luego, los investigadores usaron un comando llamado detección de anomalías que se puede usar para filtrar los resultados de las consultas y calcular una puntuación de probabilidad para cada evento. Esto resultó efectivo, pero requirió ajustar el valor del umbral de probabilidad en función de la cantidad de datos recopilados y la sensibilidad deseada.
Aprovechar el comando de detección de anomalías demostró ser muy eficaz para identificar actividad anormal maliciosa durante un período de 24 a 48 horas. Períodos más largos que esto redujeron la efectividad de la consulta. En experimentos de redes más pequeñas con un solo bloque de red / 24, la actividad maliciosa conocida se identificó constantemente sin una lista de permitidos en los 30 eventos principales. Sin embargo, en redes con bloques de red múltiples o más extensos, este no fue el caso.
Mejora de la clasificación de actividades maliciosas
Para mejorar la velocidad del análisis, los investigadores también idearon una técnica para almacenar y ordenar los resultados de la consulta en una tabla de búsqueda y luego ejecutar otras consultas en esa tabla. Si bien esto no mejoró la precisión de detección de anomalías, lo hizo mucho más escalable y alrededor de 100 veces más rápido de usar para las operaciones diarias. Finalmente, la combinación de los resultados de la consulta JA3 con los datos de Sysmon, el servicio de monitoreo del sistema de Windows, permitió una clasificación mucho más poderosa de la actividad maliciosa potencial. Eso es porque Sysmon agrega información sobre la ejecución de procesos.
Limitaciones de la toma de huellas dactilares TLS
Si bien estas metodologías fueron investigadas por un equipo en el contexto de la plataforma de análisis de datos, no se limitan a ella y pueden adaptarse para ser utilizadas con otras herramientas de recopilación de datos y análisis de tráfico.
Sin embargo, una gran limitación es que estas técnicas son propensas a generar muchos falsos positivos cuando se utilizan para detectar anomalías en puntos finales donde se permite la navegación general o que generan un gran volumen de tráfico HTTPS desde diferentes aplicaciones a diferentes servidores. En otras palabras, estas técnicas de detección de anomalías funcionan mejor cuando se aplican a servidores o sistemas de aplicaciones de alto valor y alto riesgo que se ejecutan en el segmento de red más crítico.
Por supuesto, los ataques a la cadena de suministro de software no afectan solo a las aplicaciones de tipo servidor que se implementan en un número limitado de sistemas. En 2017, los piratas informáticos lograron comprometer la infraestructura de CCleaner, una herramienta de optimización y limpieza del sistema, y entregaron una actualización troyana a 2.2 millones de computadoras que pertenecen tanto a consumidores como a empresas. La carga útil de la segunda etapa solo se entregó a un número limitado de objetivos de alto valor que incluían empresas de tecnología. Ese mismo año, Microsoft informó de un ataque en el que los piratas informáticos comprometieron el mecanismo de actualización de una herramienta de edición de terceros utilizada por las empresas. Estos son el tipo de productos que se pueden implementar ampliamente en estaciones de trabajo y computadoras portátiles de empleados dentro de una organización.
Sin embargo, no existe un único producto o técnica que sea capaz de detectar y bloquear completamente los ataques a la cadena de suministro de software porque estos ataques explotan los privilegios legítimos que tienen las aplicaciones instaladas en las computadoras y sus canales de distribución de actualizaciones. Volver a los días en que las actualizaciones de software no se implementaron durante meses o años, dejando los sistemas vulnerables a exploits conocidos públicamente tampoco es una solución. Otro problema es que muchas empresas no tienen software actualizado ni inventarios de activos de TI para saber qué aplicaciones se están ejecutando en qué computadoras en su red en todo momento. Esto es especialmente cierto ahora, con muchos empleados que trabajan desde casa y desde sus propios dispositivos que pueden conectarse a redes corporativas. Incluso con bases de datos de administración de configuración (CMDB) actualizadas, es imposible crear una lista de servidores de actualización de software permitidos para todas las aplicaciones posibles que existen en una red porque los proveedores de software no publican abiertamente esta información. Incluso si lo hacen, sus nombres de dominio y direcciones IP cambian con frecuencia.
Las empresas tienen que empezar a abordar este problema en alguna parte y centrarse en aplicaciones y servidores de alto riesgo que, de otro modo, deberían tener conexiones salientes bastante limitadas a Internet, parece un buen punto de partida. Su primer paso es crear esa lista de activos y luego puede aplicar una investigación, como la que hemos hecho aquí, en torno a la detección de ataques a la cadena de suministro utilizando algo como JA3S". Puede comenzar ampliamente, y señalamos en el documento que puede ejecutar esto y obtendrá resultados de inmediato. Pero no tendrá la granularidad y la precisión a menos que tenga un poco de una lista blanca o un mucho menos, más bien, de exactamente cuáles son esos activos que está tratando de defender ... Entonces, en este caso, te recomendamos, mira específicamente estas cosas que quieres descubrir el resultado o los cambios de lugar de todo en su red.
Fuente: CSO
Comments