Вероятность обнаружить вредоносную активность в зашифрованном трафике превышает 90% для корпоративных сетей.
Группа исследователей из компании Cisco сумела разработать способ определения вредоносного трафика, передаваемого внутри TLS соединения. При этом исследователям не пришлось расшифровывать данные.
В представленном исследовании Блейк Андерсон (Blake Anderson), Субарти Пол (Subharthi Paul) и Дэвид МакГрю (David McGrew) объяснили, каким образом возможно обнаружить следы вредоносного трафика внутри TLS-потока.
Исследователи проанализировали тысячи образцов 18 семейств вредоносного ПО, десятки тысяч вредоносных пакетов и миллионы перехваченных зашифрованных пакетов, передаваемых в корпоративных сетях. Ученые уточняют, придуманный способ обнаружения вредоносной деятельности может применяться исключительно в корпоративных сетях и не подходит для интернет-провайдеров.
Принципы обнаружения вредоносной деятельности основываются на анализе доступных данных при перехвате сетевого трафика: clientHello и serverHello сообщений, идентификаторов, используемой версии протокола TLS, метаданных потока (количество передаваемых байт, пакетов, номера портов, длительность соединения), последовательности длины пакетов и периодичности, распределении байт внутри потока и информации из TLS-заголовка.
По словам исследователей, достаточно проанализировать поток передаваемых данных для обнаружения активности большинства существующих семейств вредоносов. Также возможно определить семейство по структуре передаваемых данных, даже при использовании одинаковых параметров TLS-соединений.
Алгоритмы, описанные исследователями, позволяют достоверно определить активность следующих семейств вредоносов: Bergat, Deshacop, Dridex, Dynamer, Kazy, Parite, Razy, Zedbot и Zusy.
Точность определения вредоносного трафика внутри зашифрованных данных достигает 90.3% для каждой семьи вредоносов при анализе одного сетевого потока, и 93.2% при анализе всех сетевых потоков в течение 5-минутного окна.

Источник:https://www.securitylab.ru/news/483052.php