Використання EBPF для ідентифікації вірусів-вимагачів, що використовують DNS-запити DGA

Ескіз

Файли

293760-681401-1-10-20231228.pdf (460.39 KB)

Дата

2023

Автори

Науковий керівник

Назва журналу

Номер ISSN

Назва тому

Видавець

National Technical University of Ukraine "Igor Sikorsky Kyiv Polytechnic Institute"

Анотація

У сучасному світі, де інтернет став невід'ємною частиною функціонування державних та корпоративних установ, цілісність та доступність інформації стає ключовим питанням для багатьох організацій та індивідуальних користувачів. Особливо актуальним є питання захисту від вірусів-крипторів та атак, зокрема, за допомогою DGA (Domain Generation Algorithms) – методу, який використовують зловмисники для автоматичної генерації доменних імен для комунікації клієнт-сервер (Command & Control) у екосистемі вірусів на базі протоколу DNS, що ускладнює їх виявлення та блокування через особливості використання DNS у сучасних комʼютерних мережах. З огляду на зростання кількості атак, що використовують DGA, з'являється необхідність в розробці нових методів, що будуть швидші та зможуть аналізувати великі потоки трафіку у режимі реального часу, та забезпечать функціонал для їх виявлення та блокування. eBPF (extended Berkeley Packet Filter) — це сучасний інструмент, що дозволяє створювати невеликі програми для моніторингу та аналізу різних аспектів роботи системи в реальному часі, включаючи мережевий трафік. Дані програми виконуються безпосередньо у ядрі операційної системи та / або на рівні мережевої карти. У цьому дослідженні ми розглядаємо можливість застосування eBPF для виявлення DGA-активності в DNS-трафіку. Мета – визначити ефективність виявлення вірусів-вимагачів у режимі реального часу. Було розроблено лабораторне середовище для аналізу вірусів-вимагачів, у якому велася розробка модулів на базі eBPF, їхнє тестування та симуляція атаки.. Крім цього було налаштовано хмарне середовище аналізу даних на базі Splunk і на базі даного аналізу розроблені правила виявлення атаки типу DGA. Стаття представляє результати розробки програми на базі eBPF для аналізу DNS-трафіку, проведення атак DGA, та методи їх виявлення. Ці результати можуть стати важливим внеском у розробку стратегій захисту від маліційних атак в мережі.

Опис

Ключові слова

eBPF, DGA, DNS, шкідливе програмне забезпечення, система виявлення вторгнень, моніторинг, ядро, кібербезпека, malware, IDS, monitoring, kernel, cybersecurity

Бібліографічний опис

Журавчак, Д. Використання EBPF для ідентифікації вірусів-вимагачів, що використовують DNS-запити DGA / Журавчак Даниїл, Кійко Едуард, Дудикевич Валерій // Information Technology and Security. – 2023. – Vol. 11, Iss. 2 (21). – Pp. 166–174. – Bibliogr.: 14 ref.

URI

https://ela.kpi.ua/handle/123456789/65144

DOI

https://doi.org/10.20535/2411-1031.2023.11.2.293760

Зібрання

Information Technology and Security, Vol. 11, Iss. 2 (21)