Використання EBPF для ідентифікації вірусів-вимагачів, що використовують DNS-запити DGA

Журавчак, ДаниїлКійко, ЕдуардДудикевич, Валерій2024-03-042024-03-042023Журавчак, Д. Використання EBPF для ідентифікації вірусів-вимагачів, що використовують DNS-запити DGA / Журавчак Даниїл, Кійко Едуард, Дудикевич Валерій // Information Technology and Security. – 2023. – Vol. 11, Iss. 2 (21). – Pp. 166–174. – Bibliogr.: 14 ref.2411-1031https://ela.kpi.ua/handle/123456789/65144У сучасному світі, де інтернет став невід'ємною частиною функціонування державних та корпоративних установ, цілісність та доступність інформації стає ключовим питанням для багатьох організацій та індивідуальних користувачів. Особливо актуальним є питання захисту від вірусів-крипторів та атак, зокрема, за допомогою DGA (Domain Generation Algorithms) – методу, який використовують зловмисники для автоматичної генерації доменних імен для комунікації клієнт-сервер (Command & Control) у екосистемі вірусів на базі протоколу DNS, що ускладнює їх виявлення та блокування через особливості використання DNS у сучасних комʼютерних мережах. З огляду на зростання кількості атак, що використовують DGA, з'являється необхідність в розробці нових методів, що будуть швидші та зможуть аналізувати великі потоки трафіку у режимі реального часу, та забезпечать функціонал для їх виявлення та блокування. eBPF (extended Berkeley Packet Filter) — це сучасний інструмент, що дозволяє створювати невеликі програми для моніторингу та аналізу різних аспектів роботи системи в реальному часі, включаючи мережевий трафік. Дані програми виконуються безпосередньо у ядрі операційної системи та / або на рівні мережевої карти. У цьому дослідженні ми розглядаємо можливість застосування eBPF для виявлення DGA-активності в DNS-трафіку. Мета – визначити ефективність виявлення вірусів-вимагачів у режимі реального часу. Було розроблено лабораторне середовище для аналізу вірусів-вимагачів, у якому велася розробка модулів на базі eBPF, їхнє тестування та симуляція атаки.. Крім цього було налаштовано хмарне середовище аналізу даних на базі Splunk і на базі даного аналізу розроблені правила виявлення атаки типу DGA. Стаття представляє результати розробки програми на базі eBPF для аналізу DNS-трафіку, проведення атак DGA, та методи їх виявлення. Ці результати можуть стати важливим внеском у розробку стратегій захисту від маліційних атак в мережі.ukeBPFDGADNSшкідливе програмне забезпеченнясистема виявлення вторгненьмоніторингядрокібербезпекаmalwareIDSmonitoringkernelcybersecurityВикористання EBPF для ідентифікації вірусів-вимагачів, що використовують DNS-запити DGAUsing EBPF to identify ransomware that use DGA DNS queriesArticlePp. 166-174https://doi.org/10.20535/2411-1031.2023.11.2.293760004.0560000-0003-4989-02030009-0004-5108-05110000-0001-8827-9920