Nazca: detekce zero-day malwaru na úrovni sítě

18.02.2014 20:18

Výzkumný tým univerzity Santa Barbary a Narus, Inc. přichází se systémem Nazca, který má detekovat malware již na úrovni sítě a bez analýzy staženého obsahu.

"Nazca neanalyzuje obsah download, nedetekuje drive-by exploity, neanalyzuje stažený software, ani nepoužívá blacklist zdrojů" (prof. Invernizzi). Místo toho sleduje webový provoz hostitele a související spojení: shromažďuje IP adresy, hlavičky TCP paketů, HTTP hlavičky a HTTP payload. Přitom vyhodnocuje známé vzorce chování malwaru:

  • jedna IP spojuje vícero souvisejících domén
  • hodně TLD
  • přespříliš souborových cest a jmen distributora programu,
  • typy souborů.

I když jednotlivé znaky ještě nepoukazují na útočné chování, při opakovaném výskytu v rámci sítě lze již dobře identifikovat malware. Nazca je schopna identifikovat úskočné chování typu domain-fluxing, malware repackaging, využití malware dropperů aj. Při testování v ostrém provozu odhalila zatím neidentikovaný malware a měla velmi nízkou úroveň falešně pozitivní detekce.

Zdroje:

Help Net Security, The Register, INVERNIZZI et al. Nazca: Detecting Malware Distribution in Large-Scale Networks (PDF)

Nazca: detekce zero-day malwaru na úrovni sítě

Nebyly nalezeny žádné příspěvky.

Přidat nový příspěvek

Prodejte i komplexní síťové nástroje