Un grupo de científicos chinos ha empleado la característica de «caja negra» de las redes neuronales para desarrollar una técnica innovadora que permite a las botnets malintencionadas interactuar con sus servidores de Comando y Control (C&C) mediante Twitter, de un modo que resulta dificultoso para los expertos en seguridad informática descubrir y que podría obstaculizar la interrupción de sus actividades.
El reciente artículo publicado el 2 de agosto lleva por nombre DeepC2: Comando y control de botnets encubiertos impulsados por IA en OSN.
Este planteamiento sugerido, que se demostró eficaz en un experimento realizado con Twitter, entrenaba a una red neuronal para reconocer la cuenta de Twitter gestionada por una entidad C&C, utilizando como referencia su icono de usuario de Twitter. Una vez que la red neuronal ha «autentificado» la cuenta de comando, las órdenes camufladas en sus tweets supuestamente inocuos pueden ser llevadas a cabo por el conjunto de computadoras que han sido contaminadas con la botnet.
Una botnet se define como un conjunto de computadoras que han sido hackeadas para que puedan ser controladas de forma centralizada por individuos malintencionados para perpetrar varios tipos de ataques cibernéticos a gran escala, incluyendo incursiones DDoS, minado de criptomonedas y campañas de correo no deseado.
El desafío por el anonimato de C&C
Cada computadora comprometida en la ‘banda’ de la botnet precisa una dirección central de los autores del malware y, por lo tanto, debe comunicarse en cierta medida con un servidor C&C. No obstante, esto ha implicado tradicionalmente que los investigadores de seguridad pudieran aplicar ingeniería inversa a la infección de botnet individual y exponer las URL de los servidores C&C, usualmente codificadas en la infección.
Una vez identificado el dominio C&C maligno, fue factible bloquearlo a nivel de red e investigar sus orígenes en busca de acciones legales.
En los últimos años la tendencia de los servidores C&C ha sido desviarse desde direcciones dedicadas basadas en dominios http hacia el uso de servicios web populares como Gmail, Twitter, servicios de portapapeles en línea y una variedad de redes sociales en línea (OSN).
En 2015 se descubrió que el malware de puerta trasera Hammertoss utilizaba Twitter, GitHub y servicios de almacenamiento en la nube con estos fines; en 2018, que la herramienta de administración remota (RAT) HeroRat utilizaba el protocolo de mensajería Telegram con los mismos fines; y que en 2020 el malware ComRAT del Grupo Turla había migrado a usar Gmail como marco de comunicaciones.
En todo caso, estos abordajes todavía exigen que algún tipo de información de identificación esté codificada en el software infectante, de manera que sea detectable, aunque a menudo con cierto grado de dificultad, por los mecanismos de seguridad. En tales escenarios, la transparencia de los comandos maliciosos y la identificación de los ID de los usuarios pueden permitir que estos canales sean cerrados, desactivando usualmente la botnet dependiente.
Identificativos secretos
El procedimiento DeepC2 propuesto por los investigadores chinos hace que la ingeniería inversa de la información de identificación de C&C sea casi inalcanzable, dado que todo lo que el código desvelará es un algoritmo de red neuronal opaco que no puede ser fácilmente reimplantado en su versión altamente optimizada (esto es, efectivamente «compilada»)
En DeepC2, el bot busca al ‘botmaster’ rastreando un avatar de usuario específico (sobre temas de actualidad, de modo que el bot no necesita rastrear todo Twitter) cuyas características de alto nivel han sido codificadas en su red neuronal. Los creadores del malware seleccionan imágenes de iconos adecuadas antes del despliegue de la campaña y entrenan a la red neuronal con ellas. Los vectores de características derivados y la propia red neuronal se distribuyen como parte de la carga maliciosa.
Cuando el servidor C&C publica un nuevo comando, la persona que lo dirige selecciona algunos temas de tendencia en Twitter (o cualquier red social que esté siendo explotada) y genera publicaciones aparentemente comunes en las redes sociales que contienen comandos integrados. La actualización de la tendencia hace que las publicaciones adquieran un protagonismo visible, de modo que los bots pueden acceder fácilmente a nuevos comandos rastreando la red social.
Para evitar ser descubierto, cada ícono de Twitter y cuenta asociada se utiliza como mecanismo de C&C solamente una vez en DeepC2, y el sistema migra a un nuevo identificador predefinido de C&C OSN tras este evento. Adicionalmente, los robots eliminarán la información vectorial utilizada que les ayudó a identificar los avatares de C&C después de un uso (un comando enviado), para bloquear aún más la reproducción por medio de técnicas de seguridad forense.
Enmascarar los comandos C&C
Como otro beneficio de la encriptación, DeepC2 incluye un método para eludir la detección de comandos explicitos en mensajes de Twitter, mediante la utilización colisión de hash y aumento de datos mejorados (EDA), este último basado en trabajo de Protago Labs Research en 2019, en colaboración con Dartmouth College y la Universidad de Georgetown.
Una colisión de hash se produce cuando dos datos distintos tienen un código de verificación idéntico, es decir, cuando cada dato diferente tiene un perfil matemáticamente equivalente, una circunstancia poco habitual que puede ser explotada, en este caso, para crear comandos personalizados a partir de contenido de texto aparentemente inocente.
Los bots buscan estos hashes predefinidos en los mensajes de las redes sociales de las cuentas que han podido identificar como servidores C&C basándose en los íconos de avatar reconocidos. Dado que los tweets generados por el director de C&C tendrán alguna relevancia contextual para el hilo de temas objetivo, resultan difíciles de identificar como anomalías, lo que oculta la intención de las publicaciones.
Las direcciones IP son enviadas por el botmaster a los bots dividiendo la URL en dos hashes separados con colisión de hash, que los bots remotos identifican y concatenan en una dirección IP comprensible.
Para el estudio, se emplearon siete servidores privados virtuales para recrear ubicaciones geográficamente diversas. Los avatares analizados se obtuvieron a partir de 40 fotografías tomadas con teléfonos móviles, que luego se convirtieron en vectores durante el entrenamiento. Posteriormente, los robots se instalaron con el modelo entrenado y los datos vectoriales.
Todos los comandos del experimento fueron recibidos y analizados con éxito por las redes de bots virtualizados, aunque con cierta redundancia en la distribución de mensajes, ya que el sistema no puede estar completamente seguro de que cada instancia de un mensaje se recibirá de un tweet en particular.
En cuanto a contramedidas, los investigadores apuntan que la frecuencia automatizada en la que los robots «esclavos» rastrearán Twitter en busca de mensajes de C&C, y la forma en que el servidor de C&C irá generando una serie de publicaciones, podría representar potencialmente una firma identificable que podría ser tratada con nuevos tipos de marcos de protección.
Además, las OSN podrían calcular las diferencias visuales muy específicas que se incluyen en una serie de íconos de avatar de C&C y desarrollar métodos para generar alertas en base a esos criterios.
LEE MÁS ARTÍCULOS SOBRE: Ciencia de Datos con IA.
LEE LA ENTRADA ANTERIOR: YT Summarizer.