Використання EBPF для ідентифікації вірусів-вимагачів, що використовують DNS-запити DGA

Скорочена інформація про документ
dc.contributor.authorЖуравчак, Даниїл
dc.contributor.authorКійко, Едуард
dc.contributor.authorДудикевич, Валерій
dc.date.accessioned2024-03-04T05:34:51Z
dc.date.available2024-03-04T05:34:51Z
dc.date.issued2023
dc.description.abstractУ сучасному світі, де інтернет став невід'ємною частиною функціонування державних та корпоративних установ, цілісність та доступність інформації стає ключовим питанням для багатьох організацій та індивідуальних користувачів. Особливо актуальним є питання захисту від вірусів-крипторів та атак, зокрема, за допомогою DGA (Domain Generation Algorithms) – методу, який використовують зловмисники для автоматичної генерації доменних імен для комунікації клієнт-сервер (Command & Control) у екосистемі вірусів на базі протоколу DNS, що ускладнює їх виявлення та блокування через особливості використання DNS у сучасних комʼютерних мережах. З огляду на зростання кількості атак, що використовують DGA, з'являється необхідність в розробці нових методів, що будуть швидші та зможуть аналізувати великі потоки трафіку у режимі реального часу, та забезпечать функціонал для їх виявлення та блокування. eBPF (extended Berkeley Packet Filter) — це сучасний інструмент, що дозволяє створювати невеликі програми для моніторингу та аналізу різних аспектів роботи системи в реальному часі, включаючи мережевий трафік. Дані програми виконуються безпосередньо у ядрі операційної системи та / або на рівні мережевої карти. У цьому дослідженні ми розглядаємо можливість застосування eBPF для виявлення DGA-активності в DNS-трафіку. Мета – визначити ефективність виявлення вірусів-вимагачів у режимі реального часу. Було розроблено лабораторне середовище для аналізу вірусів-вимагачів, у якому велася розробка модулів на базі eBPF, їхнє тестування та симуляція атаки.. Крім цього було налаштовано хмарне середовище аналізу даних на базі Splunk і на базі даного аналізу розроблені правила виявлення атаки типу DGA. Стаття представляє результати розробки програми на базі eBPF для аналізу DNS-трафіку, проведення атак DGA, та методи їх виявлення. Ці результати можуть стати важливим внеском у розробку стратегій захисту від маліційних атак в мережі.
dc.description.abstractotherIn today's world, where the Internet has become an integral part of the functioning of government and corporate institutions, the integrity and availability of information is becoming a key issue for many organizations and individual users. The issue of protection against crypto viruses and attacks, in particular, using DGA (Domain Generation Algorithms), a method used by attackers to automatically generate domain names for client-server (Command & Control) communication in the DNS-based virus ecosystem, is particularly relevant, making it difficult to detect and block them due to the way DNS is used in modern computer networks. Given the growing number of attacks that use DGA, there is a need to develop new methods that are faster and can analyze large traffic flows in real time and provide functionality for detecting and blocking them. eBPF (Extended Berkeley Packet Filter) is a modern tool that allows you to create small programs to monitor and analyze various aspects of the system in real time, including network traffic. These programs are executed directly in the operating system kernel and/or at the network card level. In this study, we consider the possibility of using eBPF to detect DGA activity in DNS traffic. The goal is to determine the effectiveness of real-time ransomware detection. We developed a ransomware analysis lab environment where we developed eBPF-based modules, tested them, and simulated an attack. In addition, a cloud-based data analysis environment based on Splunk was set up and rules for detecting a DGA attack were developed based on this analysis. This article presents the results of developing an eBPF-based program for analyzing DNS traffic, conducting DGA attacks, and methods for detecting them. These results can be an important contribution to the development of strategies to protect against malicious attacks in the network.
dc.format.pagerangePp. 166-174
dc.identifier.citationЖуравчак, Д. Використання EBPF для ідентифікації вірусів-вимагачів, що використовують DNS-запити DGA / Журавчак Даниїл, Кійко Едуард, Дудикевич Валерій // Information Technology and Security. – 2023. – Vol. 11, Iss. 2 (21). – Pp. 166–174. – Bibliogr.: 14 ref.
dc.identifier.doihttps://doi.org/10.20535/2411-1031.2023.11.2.293760
dc.identifier.issn2411-1031
dc.identifier.orcid0000-0003-4989-0203
dc.identifier.orcid0009-0004-5108-0511
dc.identifier.orcid0000-0001-8827-9920
dc.identifier.urihttps://ela.kpi.ua/handle/123456789/65144
dc.language.isouk
dc.publisherNational Technical University of Ukraine "Igor Sikorsky Kyiv Polytechnic Institute"
dc.publisher.placeKyiv
dc.relation.ispartofInformation Technology and Security, Vol. 11, Iss. 2 (21)
dc.rights.urihttps://creativecommons.org/licenses/by/4.0/
dc.subjecteBPF
dc.subjectDGA
dc.subjectDNS
dc.subjectшкідливе програмне забезпечення
dc.subjectсистема виявлення вторгнень
dc.subjectмоніторинг
dc.subjectядро
dc.subjectкібербезпека
dc.subjectmalware
dc.subjectIDS
dc.subjectmonitoring
dc.subjectkernel
dc.subjectcybersecurity
dc.subject.udc004.056
dc.titleВикористання EBPF для ідентифікації вірусів-вимагачів, що використовують DNS-запити DGA
dc.title.alternativeUsing EBPF to identify ransomware that use DGA DNS queries
dc.typeArticle

Файли

Контейнер файлів
Зараз показуємо 1 - 1 з 1
Ескіз
Назва:
293760-681401-1-10-20231228.pdf
Розмір:
460.39 KB
Формат:
Adobe Portable Document Format
Завантажити
Ліцензійна угода
Зараз показуємо 1 - 1 з 1
Ескіз недоступний
Назва:
license.txt
Розмір:
8.98 KB
Формат:
Item-specific license agreed upon to submission
Опис:
Завантажити

Зібрання

Information Technology and Security, Vol. 11, Iss. 2 (21)