網頁竄改(web defacement) – 一種明顯改變網頁外觀的攻擊,特別在政治事件後會被駭客用來表達自己的政治立場。我們在進行許多研究時都會遇到。我們在之前的一篇文章裡探討了常見的網頁竄改活動,並在另一篇文章中強調了我們資安研究工具內的機器學習(Machine Learning)能夠協助電腦緊急應變小組(CERT/電腦資安事件應變小組(CSIRT)及網站管理員為此類攻擊做好準備。後者是出自我們最新報告「找出網頁竄改活動:使用DefPloreX-NG從竄改網頁取得深入了解」內的分析結果。在這裡我們會闡述為什麼機器學習能夠協助我們更好地分析理解駭客如何運作及組織起來。
利用DefPloreX-NG機器學習技術來幫忙
我們在2017年推出了DefPloreX,這是個可以用在大規模電子犯罪鑑識的機器學習工具。而今年,我們推出了DefPloreX-NG,這個版本整合了強化的機器學習演算法及新的視覺化範本。我們在最新的網頁竄改報告中實際地利用了DefPloreX-NG來分析19年來1,300萬份的網頁竄改記錄。資安分析師和研究人員也可以用它來即時識別正在進行的網頁竄改活動,甚至是新或未知的攻擊活動。增強且具備更多功能的工具組能夠更有效地從原始遭竄改網站過濾出可操作的情報。它可以自動識別和追蹤網頁竄改攻擊活動,為每起攻擊活動加上有意義的標籤。此外,它還可以更加輕鬆地排序和搜尋網站,像根據攻擊者或駭客組織、動機、內容或宣傳類型、頂級網域(TLD)、遭竄改網站類別(媒體等)等等標籤。這些很大程度地是經由機器學習的幫忙。
圖1、使用DefPloreX-NG自動分析遭竄改網頁
