Обход обнаружения DGA-доменов ботнетов

Оригинал: Botnet Domain Generation Algorithm (DGA) Detection Evasion

Исследовательская группа Security AI компании Palo Alto Networks смогла обойти детектор ботнетных доменов, сгенерированных алгоритмом генерации доменов (DGA), на основе сверточной нейронной сети, используя универсальную технику мутации доменных имен.

Эта универсальная техника мутации доменов позволяет обходить большинство модулей обнаружения DGA на основе машинного обучения.

Универсальную технику мутации можно использовать для проверки эффективности и устойчивости методов обнаружения DGA, разрабатываемых компаниями в индустрии кибербезопасности, до их развертывания в продакшен-среде.

Процедура

  1. AML.TA0002 Разведка

    AML.T0000 Поиск в открытых технических базах данных

    Обнаружение DGA широко используется для выявления ботнетов в академической среде и индустрии.

    Исследовательская группа искала научные публикации, связанные с обнаружением DGA.

  2. AML.TA0003 Подготовка ресурсов

    AML.T0002 Получение публичных ИИ-артефактов

    Исследователи получили общедоступную CNN-модель обнаружения DGA и протестировали ее на известном наборе данных доменных имен, сгенерированных DGA, который включает около 50 млн доменных имен из 64 семейств ботнетных DGA.

    CNN-модель обнаружения DGA показала точность обнаружения выше 70% на 16, то есть примерно 25%, семействах ботнетных DGA.

  3. AML.TA0003 Подготовка ресурсов

    AML.T0017.000 Состязательные атаки на ИИ

    Исследователи разработали универсальную технику мутации, требующую минимального числа итераций.
  4. AML.TA0001 Подготовка атаки на ИИ

    AML.T0043.001 Оптимизация в режиме чёрного ящика

    Исследователи использовали технику мутации для генерации доменных имен, обходящих обнаружение.
  5. AML.TA0001 Подготовка атаки на ИИ

    AML.T0042 Проверка атаки

    Результаты эксперимента показали, что доля обнаружения всех 16 семейств ботнетных DGA падает ниже 25% после однократной вставки всего одной строки в доменные имена, сгенерированные DGA.
  6. AML.TA0007 Уклонение от защиты

    AML.T0015 Обход ИИ-модели

    Доменные имена, сгенерированные DGA и измененные с помощью этой техники, успешно обходят целевую модель обнаружения DGA, позволяя злоумышленнику продолжать связь со своими серверами командования и управления.

Источники

  1. Yu, Bin, Jie Pan, Jiaming Hu, Anderson Nascimento, and Martine De Cock. "Character level based detection of DGA domain names." In 2018 International Joint Conference on Neural Networks (IJCNN), pp. 1-8. IEEE, 2018.
  2. Degas source code