Исследователи компании Varonis Threat Labs разработали революционный метод обнаружения скрытых кибератак, основанный на анализе случайных отклонений во времени передачи данных - так называемого "джиттера". Техника, получившая название Jitter-Trap, позволяет выявлять даже самые скрытные формы вредоносного трафика, которые ранее оставались незамеченными.
Описание
Киберпреступники и государственные хакеры активно используют так называемые "маяки" (beacons) - скрытые механизмы связи, которые позволяют злоумышленникам поддерживать доступ к взломанным системам, перемещаться внутри сетей и выводить конфиденциальные данные. Эти механизмы часто маскируются под легитимный трафик, что делает их обнаружение крайне сложной задачей. Однако, как выяснили специалисты Varonis, именно попытки злоумышленников имитировать случайность могут их выдать.
Большинство современных фреймворков для кибератак, таких как Cobalt Strike, Sliver, Empire и Havoc, используют параметры "сна" (sleep) и "джиттера" (jitter), чтобы контролировать частоту связи между зараженным устройством и сервером управления. Параметр sleep определяет фиксированный интервал между запросами, а jitter добавляет случайные отклонения, чтобы избежать обнаружения системами защиты. Однако именно эта "случайность" может стать ключом к разгадке.
Исследователи Varonis выяснили, что при использовании jitter временные интервалы между запросами формируют равномерное распределение, что редко встречается в естественном сетевом трафике. Например, если злоумышленник устанавливает sleep в 60 секунд с 20% jitter, то запросы будут приходить в диапазоне от 48 до 72 секунд. Анализ распределения этих интервалов позволяет выявить аномалии, характерные именно для вредоносной активности.
Более того, аналогичный подход можно применить и к другим параметрам, таким как размер загружаемых данных. Некоторые фреймворки, такие как Cobalt Strike, позволяют настраивать "data jitter" - случайное добавление пустых данных к передаваемым пакетам, что также создает равномерное распределение и может быть обнаружено.
Еще одним маркером скрытых атак являются URL-адреса. Многие фреймворки генерируют случайные пути в URL, чтобы избежать сигнатурного анализа. Однако в естественном трафике соотношение уникальных URL к общему количеству запросов обычно низкое, тогда как в случае вредоносных маяков это соотношение стремится к единице.
Метод Jitter-Trap уже показал свою эффективность в обнаружении ранее незаметных атак, включая те, что используют сложные методы маскировки, такие как Malleable C2 Profiles в Cobalt Strike. В отличие от традиционных методов, основанных на известных индикаторах компрометации (IOC), Jitter-Trap фокусируется на поведенческих аномалиях, что делает его устойчивым к изменениям в тактиках злоумышленников.
Это открытие особенно актуально на фоне роста числа сложных атак, использующих легитимные инструменты для проникновения в корпоративные сети. По словам исследователей, внедрение поведенческого анализа в системы мониторинга позволит организациям значительно повысить уровень защиты даже против самых изощренных угроз.
Таким образом, Jitter-Trap не только разоблачает уловки киберпреступников, но и превращает их собственные методы маскировки в мощный инструмент обнаружения. В мире, где атаки становятся все более скрытными, такие инновационные подходы становятся критически важными для обеспечения кибербезопасности.
Индикаторы компрометации
Domains
- 1ba8d063-0.b-cdn.net
- cloud.paloaltonet.org
- seoinit.com
- techbulldigital.com
MD5
- 1a82ab9bda3fdcc26e422f7b0b0fd59b
- 3e6c6b2906b612d6d27e96890fbaf942
- 9d97c7e5d92a9e425b3a69a4d6b5b6dd
- e5d9d6a7bb467d3b0f7afa8a3347e9c1
