Використання EBPF для ідентифікації вірусів-вимагачів, що використовують DNS-запити DGA
Вантажиться...
Дата
2023
Автори
Журавчак, Даниїл
Кійко, Едуард
Дудикевич, Валерій
Науковий керівник
Назва журналу
Номер ISSN
Назва тому
Видавець
National Technical University of Ukraine "Igor Sikorsky Kyiv Polytechnic Institute"
Анотація
У сучасному світі, де інтернет став невід'ємною частиною функціонування державних та корпоративних установ, цілісність та доступність інформації стає ключовим питанням для багатьох організацій та індивідуальних користувачів. Особливо актуальним є питання захисту від вірусів-крипторів та атак, зокрема, за допомогою DGA (Domain Generation Algorithms) – методу, який використовують зловмисники для автоматичної генерації доменних імен для комунікації клієнт-сервер (Command & Control) у екосистемі вірусів на базі протоколу DNS, що ускладнює їх виявлення та блокування через особливості використання DNS у сучасних комʼютерних мережах. З огляду на зростання кількості атак, що використовують DGA, з'являється необхідність в розробці нових методів, що будуть швидші та зможуть аналізувати великі потоки трафіку у режимі реального часу, та забезпечать функціонал для їх виявлення та блокування. eBPF (extended Berkeley Packet Filter) — це сучасний інструмент, що дозволяє створювати невеликі програми для моніторингу та аналізу різних аспектів роботи системи в реальному часі, включаючи мережевий трафік. Дані програми виконуються безпосередньо у ядрі операційної системи та / або на рівні мережевої карти. У цьому дослідженні ми розглядаємо можливість застосування eBPF для виявлення DGA-активності в DNS-трафіку.
Мета – визначити ефективність виявлення вірусів-вимагачів у режимі реального часу. Було розроблено лабораторне середовище для аналізу вірусів-вимагачів, у якому велася розробка модулів на базі eBPF, їхнє тестування та симуляція атаки.. Крім цього було налаштовано хмарне середовище аналізу даних на базі Splunk і на базі даного аналізу розроблені правила виявлення атаки типу DGA. Стаття представляє результати розробки програми на базі eBPF для аналізу DNS-трафіку, проведення атак DGA, та методи їх виявлення. Ці результати можуть стати важливим внеском у розробку стратегій захисту від маліційних атак в мережі.
Опис
Ключові слова
eBPF, DGA, DNS, шкідливе програмне забезпечення, система виявлення вторгнень, моніторинг, ядро, кібербезпека, malware, IDS, monitoring, kernel, cybersecurity
Бібліографічний опис
Журавчак, Д. Використання EBPF для ідентифікації вірусів-вимагачів, що використовують DNS-запити DGA / Журавчак Даниїл, Кійко Едуард, Дудикевич Валерій // Information Technology and Security. – 2023. – Vol. 11, Iss. 2 (21). – Pp. 166–174. – Bibliogr.: 14 ref.