211service.com
Un algorithme d'apprentissage automatique passe au peigne fin le Darknet à la recherche d'exploits Zero Day et les trouve
En février 2015, Microsoft a identifié une vulnérabilité critique dans son système d'exploitation Windows qui permettait potentiellement à un attaquant malveillant de contrôler à distance l'ordinateur ciblé. Le problème a affecté une grande variété de systèmes d'exploitation Windows, notamment Vista, 7, 8 et divers autres conçus pour les serveurs et les ordinateurs portables.
La société a immédiatement publié un correctif. Mais il n'a pas fallu longtemps pour que les détails de la vulnérabilité se répandent dans la communauté des hackers.
En avril, des experts en cybersécurité ont trouvé un exploit basé sur cette vulnérabilité en vente sur un marché darknet où le vendeur demandait environ 15 000 $. En juillet, le premier logiciel malveillant utilisant cette vulnérabilité est apparu. Ce logiciel malveillant, le cheval de Troie bancaire Dyre, ciblait les utilisateurs du monde entier et était conçu pour voler les numéros de carte de crédit des ordinateurs infectés.
L'épisode a fourni un aperçu clé de la façon dont les logiciels malveillants évoluent. En l'espace de quelques mois seulement, des pirates ont transformé une vulnérabilité en exploit, l'ont proposé à la vente, puis l'ont vu se transformer en malware qui a été diffusé dans la nature.
Dans ce cas, Microsoft a pris connaissance de la vulnérabilité avant qu'elle ne puisse être exploitée et a donc pu publier un correctif. Mais lorsque des logiciels malveillants exploitent des vulnérabilités jusque-là inconnues, les propriétaires originaux du logiciel doivent développer un correctif immédiatement, littéralement en zéro jour, d'où le nom d'attaques zéro jour.
L'un des principaux objectifs des experts en cybersécurité est d'identifier les exploits du jour zéro avant qu'ils ne puissent être transformés en logiciels malveillants. Et pour Eric Nunes et ses amis de l'Arizona State University, le cas du cheval de Troie Dyre Banking a fourni une inspiration importante pour une approche entièrement nouvelle de ce type de cybersécurité.
Aujourd'hui, ces gars dévoilent une opération de collecte de renseignements sur les cybermenaces qui utilise l'apprentissage automatique pour étudier les forums de piratage et les marchés du dark web et du deep net. Le système recherche des indices sur les vulnérabilités émergentes.
Et leur nouveau système connaît un démarrage impressionnant. Actuellement, ce système recueille en moyenne 305 avertissements de cybermenaces de haute qualité chaque semaine, disent Nunes and co.
Tout d'abord un peu de contexte. Les pirates et autres types malveillants ont tendance à cacher leurs forums et marchés de deux manières. Le premier s'appuie sur le logiciel Tor largement utilisé pour anonymiser le trafic lorsqu'il passe sur Internet et empêcher qu'il ne soit suivi. C'est ce qu'on appelle le réseau noir.
Une autre option consiste à utiliser des sites Web hébergés sur la partie ouverte du Web mais non indexés par les moteurs de recherche. C'est le filet profond, et il peut être tout aussi difficile de naviguer.
Pour surveiller l'activité des pirates à ces endroits, Nunes et co ont développé un robot d'exploration pour recueillir des informations à partir de pages HTML hébergées sur le réseau profond et le réseau sombre. Évidemment, une partie clé de ce travail consiste à pointer le crawler vers les meilleures pages de départ, une tâche qui doit être effectuée par des humains familiarisés avec ces pages. L'équipe extrait ensuite des informations spécifiques concernant les activités de piratage tout en rejetant toutes les autres informations relatives aux drogues, aux armes, etc.
Enfin, ils ont utilisé un algorithme d'apprentissage automatique pour détecter les produits pertinents et les sujets abordés sur ces sites. Pour ce faire, ils étiquettent 25 % des données à la main, en indiquant ce qui est pertinent et ce qui ne l'est pas. Il faut environ une minute à un humain pour étiqueter cinq produits du marché ou pour étiqueter deux sujets sur un forum, mais cela peut être réduit à mesure que la machine apprend. Ils entraînent ensuite l'algorithme à l'aide de cet ensemble de données étiquetées et le testent sur le reste.
Les résultats rendent la lecture intéressante. Grâce à l'utilisation de modèles d'apprentissage automatique, nous sommes en mesure de rappeler 92 % des produits sur les places de marché et 80 % des discussions sur les forums concernant le piratage malveillant avec une grande précision, déclare Nunes and co.
Cette technique a déjà révélé un certain nombre d'activités néfastes. Sur une période de 4 semaines, nous avons détecté 16 exploits zero-day à partir des données du marché, explique l'équipe. Cela comprenait un exploit Android important proposé pour environ 20 000 $ et un autre impliquant Internet Explorer 11 pour environ 10 000 $.
L'équipe a également cartographié les réseaux sociaux associés à la façon dont les pirates utilisent ces forums et places de marché. Ils disent qu'il y a 751 utilisateurs qui sont présents sur plus d'un marché et donnent l'exemple d'un fournisseur qui était actif sur sept marchés et un forum proposant plus de 80 produits liés au piratage malveillant.
C'était clairement une affaire lucrative. Le fournisseur a une note moyenne de 4,7/5,0, notée par les clients sur le marché avec plus de 7 000 transactions réussies, indiquant la fiabilité des produits et la popularité du fournisseur, déclare Nunes and co.
C'est une avancée utile dans la lutte contre la cybercriminalité. Le système détectant actuellement plus de 300 cybermenaces chaque semaine, il a déjà attiré l'attention du monde commercial. En effet, l'équipe indique qu'elle est actuellement en train de faire passer le système à un partenaire commercial.
Si l'équipe continue à repérer les vulnérabilités du jour zéro avant qu'elles ne soient développées dans des produits malveillants, elle peut aider les propriétaires de logiciels à développer rapidement des correctifs. Et c'est une aide importante pour les experts en sécurité.
Bien sûr, cela fera partie du jeu du chat et de la souris de la cybersécurité. Il sera intéressant de voir comment les pirates modifient leur comportement maintenant qu'ils savent qu'ils sont systématiquement surveillés de cette manière. Et quand cela arrivera, il y aura encore une itération dans le jeu.
Réf : arxiv.org/abs/1607.08583 : Darknet et Deepnet Mining pour une intelligence proactive des menaces de cybersécurité