SIEM
يلجأ مجرمو الإنترنت إلى تقنيات متنوعة لحجب نشاطهم الخبيث والتهرب من الاكتشاف بواسطة حلول الأمان. ومن بين الأساليب التي تزايد ظهورها في السنوات الأخيرة في الهجمات على أنظمة Windows، نجد اختطاف مكتبات DLL: أي استبدال مكتبات الارتباط الديناميكي بأخرى ضارة. وغالبًا ما تفشل أدوات الأمان التقليدية في اكتشاف استخدام هذه التقنية. ولحل هذه المشكلة، طور زملاؤنا في مركز Kaspersky لأبحاث تقنيات الذكاء الاصطناعي نموذج تعلم آلي يمكنه اكتشاف اختطاف مكتبات DLL بدقة عالية. وتم تنفيذ هذا النموذج بالفعل في أحدث إصدار من نظام SIEM، المعروف باسم Kaspersky Unified Monitoring and Analysis Platform. وفي هذه المقالة، نشرح تحديات اكتشاف اختطاف مكتبات DLL وكيف تتصدى تقنيتنا لها.
كيف يعمل اختطاف مكتبات DLL ولماذا يصعب اكتشافه
يؤدي الإطلاق المفاجئ لملف غير معروف في بيئة Windows إلى لفت انتباه أدوات الأمان حتمًا – أو يتم حظره ببساطة. وبشكل أساسي، يعد اختطاف مكتبات DLL محاولة لتمرير ملف ضار على أنه ملف معروف وموثوق. وهناك عدة أنواع من اختطاف مكتبات DLL: أحدها عندما يوزع المهاجمون مكتبة ضارة مع برنامج شرعي (تحميل DLL الجاني) بحيث ينفذها البرنامج؛ وآخر عندما يستبدلون مكتبات DLL القياسية التي تستدعيها البرامج المثبتة مسبقًا على الكمبيوتر؛ وهناك أيضًا التلاعب بآليات النظام التي تحدد موقع المكتبة التي تحمّلها وتنفذها إحدى العمليات. ونتيجة لذلك، يتم تشغيل ملف DLL الضار بواسطة عملية شرعية داخل مساحة العنوان الخاصة بها وبامتيازاتها، مما يجعل أنظمة حماية النقاط الطرفية المعتادة تعتبر هذا النشاط شرعيًا. ولهذا السبب، قرر خبراؤنا مواجهة هذا التهديد باستخدام تقنيات الذكاء الاصطناعي.
اكتشاف اختطاف مكتبات DLL باستخدام التعلم الآلي (ML)
درب خبراء مركز أبحاث تكنولوجيا الذكاء الاصطناعي نموذج تعلم آلي (ML) لاكتشاف اختطاف مكتبات DLL بناءً على معلومات غير مباشرة تتعلق بالمكتبة وبالعملية التي استدعتها. وحدد الخبراء المؤشرات الرئيسية لمحاولة التلاعب بالمكتبة: مثل ما إذا كان الملف القابل للتنفيذ والمكتبة موجودين في مسارات قياسية، وما إذا كان الملف قد تم تغيير اسمه، وما إذا كان حجم المكتبة وهيكلها قد تغيرا، وما إذا كان توقيعها الرقمي سليمًا، وما إلى ذلك. وتم تدريب النموذج مبدئيًا على بيانات عن تحميل مكتبات الارتباط الديناميكي، مصدرها كل من أنظمة التحليل التلقائي الداخلية والبيانات مجهولة الهوية الواردة من Kaspersky Security Network (KSN) التي يقدمها المستخدمون طواعية. ولغرض تصنيف البيانات، استخدم خبراؤنا معلومات من قواعد بيانات سمعة الملفات الخاصة بنا.
كان النموذج الأول غير دقيق إلى حد ما، لذا قبل إضافته إلى الحل، أجرى خبراؤنا تجارب عبر تكرارات متعددة، وعملوا على تحسين كل من تصنيف مجموعة بيانات التدريب والميزات التي تشير إلى اختطاف مكتبة DLL. ونتيجة لذلك، يكتشف النموذج الآن هذه التقنية بدقة عالية. ونشر زملاؤنا على موقع Securelist مقالاً مفصلاً عن كيفية تطوير هذه التقنية، بدءًا من الفرضية الأولية، مرورًا بالاختبار في Kaspersky Managed Detection and Response، ووصولاً إلى التطبيق العملي في منصة SIEM الخاصة بنا.
اكتشاف اختطاف مكتبة DLL في Kaspersky SIEM
في نظام SIEM، يحلل النموذج بتحليل البيانات الوصفية لمكتبات DLL التي تم تحميلها والعمليات التي استدعتها من بيانات القياس عن بُعد، ويضع علامات على الحالات المشبوهة، ثم يجري تحققًا متقاطعًا لحكمه بناءً على البيانات السحابية لشبكة KSN. ولا يحسن هذا دقة اكتشاف اختطاف مكتبات DLL فحسب، بل يقلل أيضًا من الإنذارات الكاذبة. ويمكن أن يعمل النموذج في كل من النظام الفرعي للارتباط والنظام الفرعي لجمع الأحداث.
في الحالة الأولى، يقتصر النموذج على فحص الأحداث التي أطلقت بالفعل قواعد الارتباط. ويتيح هذا إجراء تقييم أكثر دقة للتهديد وتوليد تنبيهات أسرع عند الحاجة. ونظرًا لعدم فحص جميع الأحداث، فإن حجم استعلامات السحابة لا يؤثر بشكل كبير على سرعة استجابة النموذج.
في الحالة الثانية، يعالج النموذج جميع أحداث تحميل المكتبة التي تلبي شروطًا معينة. وتستهلك هذه الطريقة المزيد من الموارد لكنها لا تقدر بثمن للبحث عن التهديدات بأثر رجعي.
في منشور آخر على مدونة Securelist، وصف زملاؤنا من مجموعة أبحاث مكافحة البرامج الضارة بالتفصيل كيف يساعد نموذج اكتشاف اختطاف مكتبات DLL نظام Kaspersky SIEM في اكتشاف الهجمات المُستهدفة، مع تقديم أمثلة حقيقية للكشف المبكر عن الحوادث.
الأهم من ذلك، ستستمر دقة النموذج في التحسن فقط مع تزايد تراكم البيانات عن التهديدات والعمليات المشروعة وتطور خوارزميات KSN.
النصائح