TLS fingerprinting for analysis of encrypted malware traffic

Abstract

Η διαδεδομένη χρήση του πρωτοκόλλου TLS έχει ως αποτέλεσμα την μείωση της ορατότητας στην διαδικτυακή επικοινωνία, με αποτέλεσμα η ανίχνευση κακόβουλης δραστηριότητας να είναι πιο δύσκολη. Η τεχνική TLS fingerprinting παρέχει έναν εναλλακτικό τρόπο ανίχνευσης, αναλύοντας χαρακτηριστικά του TLS handshake χωρίς την απαίτηση αποκρυπτογράφησης. Η παρούσα μελέτη ερευνά την χρήση του JARM fingerprint με σκοπό την ανάλυση υποδομών σχετικές με κακόβουλα λογισμικά, χρησιμοποιώντας δημόσια διαδικτυακά δεδομένα καθώς και ελεγχόμενη εκτέλεση κακόβουλων λογισμικών σε απομονωμένο περιβάλλον. Επιπλέον, μελετήθηκαν τα JARM fingerprints διαφόρων Command-and-Control (C2) frameworks, όπου οι ρυθμίσεις παραμέτρων τους μεταβλήθηκαν για να εξεταστεί η επιρροή των αλλαγών στα JARM fingerprints. Τα αποτελέσματα δείχνουν πως τα TLS fingerprints αποκαλύπτουν μοτίβα επαναχρησιμοποίησης υποδομών, καθώς και μεταβλητότητα στην συμπεριφορά των διακομιστών. Επιπλέον,παρατηρήθηκε ότι διαφορετικοί τύποι κακόβουλου λογισμικού μπορεί να χαρακτηρίζονται από παρόμοια TLS χαρακτηριστικά, και πως αλλαγές στις παραμέτρους της εκάστοτε υποδομής έχουν ως αποτέλεσμα την σημαντική αλλαγή του JARM fingerprint.