Обход обнаружения DGA-доменов ботнетов
Оригинал: Botnet Domain Generation Algorithm (DGA) Detection Evasion
Исследовательская группа Security AI компании Palo Alto Networks смогла обойти детектор ботнетных доменов, сгенерированных алгоритмом генерации доменов (DGA), на основе сверточной нейронной сети, используя универсальную технику мутации доменных имен.
Эта универсальная техника мутации доменов позволяет обходить большинство модулей обнаружения DGA на основе машинного обучения.
Универсальную технику мутации можно использовать для проверки эффективности и устойчивости методов обнаружения DGA, разрабатываемых компаниями в индустрии кибербезопасности, до их развертывания в продакшен-среде.
Процедура
- AML.TA0002 Разведка
AML.T0000 Поиск в открытых технических базах данных
Обнаружение DGA широко используется для выявления ботнетов в академической среде и индустрии.
Исследовательская группа искала научные публикации, связанные с обнаружением DGA.
- AML.TA0003 Подготовка ресурсов
AML.T0002 Получение публичных ИИ-артефактов
Исследователи получили общедоступную CNN-модель обнаружения DGA и протестировали ее на известном наборе данных доменных имен, сгенерированных DGA, который включает около 50 млн доменных имен из 64 семейств ботнетных DGA.
CNN-модель обнаружения DGA показала точность обнаружения выше 70% на 16, то есть примерно 25%, семействах ботнетных DGA.
- AML.TA0003 Подготовка ресурсов
AML.T0017.000 Состязательные атаки на ИИ
Исследователи разработали универсальную технику мутации, требующую минимального числа итераций. - AML.TA0001 Подготовка атаки на ИИ
AML.T0043.001 Оптимизация в режиме чёрного ящика
Исследователи использовали технику мутации для генерации доменных имен, обходящих обнаружение. - AML.TA0001 Подготовка атаки на ИИ
AML.T0042 Проверка атаки
Результаты эксперимента показали, что доля обнаружения всех 16 семейств ботнетных DGA падает ниже 25% после однократной вставки всего одной строки в доменные имена, сгенерированные DGA. - AML.TA0007 Уклонение от защиты
AML.T0015 Обход ИИ-модели
Доменные имена, сгенерированные DGA и измененные с помощью этой техники, успешно обходят целевую модель обнаружения DGA, позволяя злоумышленнику продолжать связь со своими серверами командования и управления.