網路犯罪集團躲避網路防護產品的能力和效率都越來越高。每一天,我們都會看到一些有關企業網路遭駭客入侵、資料遭到竊取、令專家傷透腦筋的報導。因此,如果沒有一套更有效率的偵測系統或方法,這樣的情況還會繼續下去。今日的駭客經常使用變形、加密、編碼以及其他技巧來自動製造大量變種,試圖躲避像規則式偵測技巧這類傳統入侵偵測方法。
為了解決日益成長的網路威脅,以及因應日益複雜的網路入侵技巧,趨勢科技特別鑽研了網路流量分群 (network flow clustering) 技巧,這是一種運用機器學習(Machine learning,ML)來提升現有入侵偵測技巧的方法。
我們之所以可藉由檢查網路流量資料來偵測網路上的異常狀況,是因為網路流量當中包含了許多有用的資訊可讓我們分析各種應用程式與服務的網路流量組成。為了利用分群技巧來有效率地大量標記和處理這類資料,我們採用了一種半監督式機器學習方法。接著,再利用這些標記來分辨不同惡意程式家族之間的關係和差異。
對 Gh0st RAT 變種的網路流量分群
趨勢科技採用一種半監督式機器學習模型來對相似的惡網路流量進行分群,並且獲得了不錯的成果。我們所使用的其中一個樣本就是 Gh0st RAT後門程式家族,該家族經常用於針對性攻擊當中。過去,我們曾多次發表過有關 Gh0st RAT 的文章,該惡意程式大多經由社交工程垃圾郵件植入受害者系統,其郵件經常假冒政府機關名義,並使用真實事件來誘騙受害者上當。
圖 1:Gh0st RAT 的各種變種。
【延伸閱讀 】著名的APT駭客攻擊組織IXESHE,對台灣的新一波攻擊
Gh0st RAT 多年來衍生出了不少變種,因為其原始程式碼早已公開在網路上。近年來,其作者不斷利用舊的惡意程式來散布後門程式、虛擬加密貨幣挖礦程式以及針對性攻擊使用的惡意程式等等。我們的 Gh0st RAT 網路流量資料是從趨勢科技 Smart Protection Network (SPN) 全球威脅情報網採集複製而來。藉助機器學習在網路流量分群以及從惡意流量當中整理出不同模式的能力,未來當我們遇到新的惡意程式變種時,就能利用其流量模式來判斷其家族。
圖 2:Gh0st RAT 變種。
我們針對 Gh0st RAT 樣本的分析結果進一步證明了上述發現。從圖 2 可看出,儘管 Gh0st RAT 有各種不同版本,但其最終下載的惡意程式相近,因此其群聚分布也很接近。
圖 3:Gh0st RAT 變種 KrisR 的檔案內容 (上)。Monero 虛擬加密貨幣挖礦程式的檔案內容 (下)。
網路流量分群有助於提升網路安全
事實上,將惡意網路流量分群,可讓我們從惡意流量當中發掘出一些模式。此方法將有助於網路資安技巧偵測各式各樣可能用於網路入侵攻擊的惡意程式。除此之外,機器學習在本研究中的表現,也說明了科技將如何協助我們更快整理大量資料,並提供一些解釋來協助資安分析師歸納出結論並提供零時差防護。
如需更多相關研究結果,請參閱我們在南韓濟州舉行的 TENCON 2018 大會上發表的「保持領先:透過機器學習深入了解網路威脅 (Ahead of the Curve: A Deeper Understanding of Network Threats Through Machine Learning)」一文。此外,您也可以在 IEEE Xplore Digital Library 數位圖書館當中找到該文最新的版本。
原文出處:Using Machine Learning to Cluster Malicious Network Flows From Gh0st RAT Variants 作者:Joy Nathalie Avelino、Jessica Patricia Balaquit 與 Carmi Anne Loren Mora