{"id":95947,"date":"2018-12-19T01:00:48","date_gmt":"2018-12-19T09:00:48","guid":{"rendered":"https:\/\/www.paloaltonetworks.com\/blog\/?p=95947"},"modified":"2018-12-17T05:52:22","modified_gmt":"2018-12-17T13:52:22","slug":"detecter-des-campagnes-malveillantes-grace-au-machine-learning","status":"publish","type":"post","link":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/2018\/12\/detecter-des-campagnes-malveillantes-grace-au-machine-learning\/?lang=fr","title":{"rendered":"D\u00e9tecter des Campagnes Malveillantes Gr\u00e2ce au Machine Learning"},"content":{"rendered":"

Nous nous effor\u00e7ons en permanence de trouver de nouveaux moyens de prot\u00e9ger les clients et d'emp\u00eacher la r\u00e9ussite des attaques. Nous avons ainsi r\u00e9cemment ajout\u00e9 \u00e0 notre arsenal de recherche l'utilisation du machine learning non supervis\u00e9 applicable sur de volumineux jeux de donn\u00e9es d'informations relatives aux domaines. De telles techniques se basant sur le machine learning peuvent nous aider \u00e0 d\u00e9couvrir de nouvelles menaces et \u00e0 les bloquer avant qu'elles ne puissent affecter nos clients. Elles peuvent identifier rapidement des domaines malveillants faisant partie de campagnes plus larges, d\u00e8s qu'ils sont activ\u00e9s, et assurent une couverture bien plus large que les m\u00e9thodes traditionnelles pour ces campagnes.<\/p>\n

Ce blog pr\u00e9sente quelques d\u00e9tails et exemples expliquant la mani\u00e8re dont nous utilisons ce machine learning non supervis\u00e9. Pour prendre un exemple pr\u00e9cis, lors d'une campagne r\u00e9cente de phishing (ou hame\u00e7onnage en fran\u00e7ais), nous avons d\u00e9tect\u00e9 333\u00a0domaines actifs. Le premier jour de cette campagne active in vivo, seuls 87\u00a0domaines \u00e9taient connus d'une base de donn\u00e9es de malware populaire en ligne et aucun n'\u00e9tait connu de deux listes de blocage bien connues. Au cours des deux semaines suivantes, la liste de blocage la plus performante bloquait seulement 247\u00a0des 333\u00a0domaines et la base de donn\u00e9es des malware n'en reconnaissait que\u00a093.<\/p>\n

Notre machine learning non supervis\u00e9 \u00e9tend la couverture globale de ces campagnes et les identifie rapidement avant qu'elles n'impactent les utilisateurs vuln\u00e9rables. Dans le cas de la campagne pr\u00e9sent\u00e9e ci-dessous et d'autres d\u00e9tect\u00e9es \u00e0 l'aide de la m\u00eame technique, il n\u2019a fallu qu\u2019une seule journ\u00e9e pour que les clients de Palo Alto Networks soient prot\u00e9g\u00e9s des domaines mis en ligne.<\/p>\n

 <\/p>\n

Contexte<\/strong><\/p>\n

Une cat\u00e9gorie d'activit\u00e9 en ligne malveillante implique l'utilisation de nombreux domaines dans un m\u00eame objectif et pendant une courte p\u00e9riode. Ces campagnes profitent souvent d'un \u00e9v\u00e8nement d'actualit\u00e9 r\u00e9cent, comme la Coupe du monde, et les noms de domaine utilisent souvent la technique du typosquattage de noms de domaine l\u00e9gitimes ou utilisent des noms qui pr\u00e9sentent une certaine pertinence avec des services l\u00e9gitimes, comme s0ci\u00e9t\u00e9.com pour soci\u00e9t\u00e9.com.<\/p>\n

Prenons l'exemple de la publication de campagnes malveillantes apr\u00e8s le vol de donn\u00e9es dont a \u00e9t\u00e9 victime Equifax en\u00a02017. Dans le cas de la fuite de donn\u00e9es d'Equifax, l'agence de notation a mis en place un site Web l\u00e9gitime, www.equifaxsecurity2017[.]com, afin d'aider les gens \u00e0 savoir s'ils avaient \u00e9t\u00e9 affect\u00e9s. Cela a d\u00e9clench\u00e9 une ou plusieurs campagnes malveillantes qui enregistraient des centaines de domaines tr\u00e8s semblables \u00e0 la v\u00e9ritable URL. Par exemple, www.equifaxsecurity3017[.]com.<\/p>\n

En r\u00e8gle g\u00e9n\u00e9rale, il est facile d'examiner attentivement un seul nom de domaine et de d\u00e9clarer qu'il est frauduleux. Mais comme il est possible de cr\u00e9er des centaines de domaines similaires dans le cadre d'une campagne, le d\u00e9fi est de trouver tous les domaines frauduleux avant qu'ils ne commencent \u00e0 impacter un grand nombre de personnes. Bien que leurs noms de domaine diff\u00e8rent l\u00e9g\u00e8rement, les domaines malveillants appartenant \u00e0 la m\u00eame campagne partagent pourtant de nombreuses caract\u00e9ristiques, comme le sous-r\u00e9seau\u00a0IP, le num\u00e9ro de syst\u00e8me autonome (ASN ou Autonomous System Number), la dur\u00e9e de vie du syst\u00e8me DNS, les informations Whois et de nombreux autres attributs. Partant de cette observation, nous avons mis en place un syst\u00e8me qui extrait les attributs du trafic DNS et regroupe les domaines en fonction de leurs similitudes. Notre syst\u00e8me compl\u00e8te les m\u00e9thodes existantes et peut identifier des domaines de campagnes qui n'auraient pas \u00e9t\u00e9 identifi\u00e9s autrement.<\/p>\n

\"\"<\/span><\/div><\/p>\n

Figure\u00a01\u00a0: processus global<\/em><\/p>\n

 <\/p>\n

Approche<\/strong><\/p>\n

Notre approche (voir la figure\u00a01) consiste \u00e0 regrouper les domaines qui ont \u00e9t\u00e9 rep\u00e9r\u00e9s dans des enregistrements du DNS passif. Le DNS passif est un m\u00e9canisme d'enregistrement du trafic des requ\u00eates\/r\u00e9ponses\u00a0DNS.\u00a0Les enregistrements sont principalement compos\u00e9s d'un horodatage, du domaine demand\u00e9 et de l'adresse\u00a0IP correspondante, entres autres donn\u00e9es. Pour des raisons de confidentialit\u00e9, le trafic DNS des clients individuels (le bit \u00ab\u00a0r\u00e9cursion souhait\u00e9e\u00a0\u00bb est d\u00e9fini) n'est pas captur\u00e9 et l'adresse\u00a0IP du client est \u00e9galement supprim\u00e9e.<\/p>\n

Les enregistrements du DNS passif sont disponibles depuis de nombreuses sources et sont souvent utilis\u00e9s par les chercheurs afin de comprendre le trafic Internet \u00e0 grande \u00e9chelle. Pour nos analyses, plus de 6\u00a0t\u00e9raoctets d'enregistrements du DNS passif sont g\u00e9n\u00e9ralement disponibles chaque jour.<\/p>\n

Nous regroupons ces domaines selon des caract\u00e9ristiques qui ont \u00e9t\u00e9 g\u00e9n\u00e9r\u00e9es \u00e0 partir des informations des enregistrements du DNS passif, comme l'adresse\u00a0IP, ainsi que d'autres sources, comme le protocole BGP et Whois. Nous obtenons ainsi des groupes de domaines reli\u00e9s les uns aux autres, mais qui ne sont autrement pas class\u00e9s, ni comme b\u00e9nins ni comme malveillants.<\/p>\n

Ces donn\u00e9es n'\u00e9tant pas class\u00e9es \u00e0 cette \u00e9tape du processus, il s'agit d'une application du machine learning non supervis\u00e9. Nous savons que les domaines regroup\u00e9s partagent de nombreuses caract\u00e9ristiques communes, mais nous ne savons pas s'ils sont malveillants ou non. Pour d\u00e9tecter les groupes malveillants, nous utilisons des \u00ab\u00a0domaines initiaux\u00a0\u00bb qui semblent faire partie d'une nouvelle campagne et que nous avons v\u00e9rifi\u00e9s et d\u00e9termin\u00e9s comme malveillants.<\/p>\n

 <\/p>\n

Domaines initiaux<\/strong><\/p>\n

Les domaines initiaux sont des exemples de domaines malveillants qui ressortent des groupes.<\/p>\n

Ils peuvent \u00eatre d\u00e9tect\u00e9s de diverses mani\u00e8res, mais nous nous concentrons actuellement sur trois sources d'information afin d'identifier les domaines initiaux \u00ab\u00a0candidats\u00a0\u00bb\u00a0: enregistrements des domaines, nouveaux domaines en ligne et sujets d'actualit\u00e9.<\/p>\n

 <\/p>\n

Enregistrements des domaines<\/strong><\/p>\n

Nous examinons les domaines qui ont \u00e9t\u00e9 r\u00e9cemment enregistr\u00e9s et trouvons des groupes pr\u00e9sentant des noms similaires. Si la campagne profite d'un \u00e9v\u00e8nement r\u00e9cent, un grand groupe de domaines peut \u00eatre enregistr\u00e9 avec un nom correspondant \u00e0 l'\u00e9v\u00e8nement. Nous v\u00e9rifions tous les groupes \u00e0 la recherche de domaines malveillants connus et les r\u00e9sultats sont plac\u00e9s dans notre liste de domaines initiaux. Nous identifions les domaines malveillants connus en nous basant sur nos propres d\u00e9tections, ainsi que sur les renseignements tiers relatifs aux menaces, comme une base de donn\u00e9es de malware en ligne populaire. De nombreux domaines malveillants ne sont pas connus ou signal\u00e9s \u00e0 cette \u00e9tape, mais notre objectif est de trouver seulement quelques exemples pour ensuite d\u00e9buter le processus.<\/p>\n

 <\/p>\n

Nouveaux domaines en ligne<\/strong><\/p>\n

Dans les enregistrements du DNS passif, nous v\u00e9rifions \u00e9galement les nouveaux domaines qui n'ont encore jamais \u00e9t\u00e9 observ\u00e9s. Ils peuvent avoir \u00e9t\u00e9 enregistr\u00e9s il y a longtemps, mais mis en service seulement lors du lancement de la campagne. Nous les examinons \u00e0 la recherche de groupes de noms similaires et identifions les domaines initiaux \u00e0 partir de ceux qui sont connus pour \u00eatre malveillants.<\/p>\n

 <\/p>\n

Sujets d'actualit\u00e9<\/strong><\/p>\n

Nous recherchons \u00e9galement les sujets d'actualit\u00e9 sur les r\u00e9seaux sociaux. Si des \u00e9v\u00e8nements largement promus se produisent, ils sont souvent visibles dans les actualit\u00e9s quotidiennes des r\u00e9seaux sociaux. Nous recoupons plusieurs mots-cl\u00e9s en rapport avec l'actualit\u00e9 qui sont visibles dans Google ou sur Twitter avec des noms de domaine r\u00e9cents. Par exemple, si nous constatons une tendance sur Google en lien avec un \u00e9v\u00e8nement r\u00e9cent, comme un \u00e9v\u00e8nement sportif, nous v\u00e9rifions les domaines r\u00e9cemment mis en ligne qui font \u00e9galement r\u00e9f\u00e9rence \u00e0 cet \u00e9v\u00e8nement sportif. Nous recherchons une nouvelle fois des groupes aux noms similaires et v\u00e9rifions tous ceux qui sont connus comme malveillants. Avec notre liste de domaines initiaux, nous sommes d\u00e9sormais pr\u00eats \u00e0 examiner les groupes de domaines qui contiennent ces domaines initiaux.<\/p>\n

 <\/p>\n

D\u00e9tection de groupes malveillants<\/strong><\/p>\n

Une fois que nous avons identifi\u00e9 le groupe de domaines initiaux que nous utiliserons, nous les recherchons parmi les groupes de domaines que nous avons auparavant calcul\u00e9s \u00e0 partir des donn\u00e9es du DNS passif (voir la figure\u00a02). Tout groupe avec un pourcentage significatif de domaines initiaux est consid\u00e9r\u00e9 comme une campagne malveillante et tous les domaines du groupe sont marqu\u00e9s comme malveillants.<\/p>\n

\"\"<\/span><\/div><\/p>\n

Figure\u00a02\u00a0: groupes de domaines<\/em><\/p>\n

R\u00e9sultats<\/strong><\/p>\n

\u00c0 titre d'exemple, nous avons r\u00e9cemment d\u00e9couvert une campagne de phishing qui utilisait des domaines malveillants portant des noms comme cochez-la-case-pour-de-largent##[.]emprunt. Nous avons d\u00e9tect\u00e9 ce groupe de domaines en observant un groupe de domaines similaire enregistr\u00e9 en m\u00eame temps. En une journ\u00e9e, 77\u00a0domaines avaient \u00e9t\u00e9 enregistr\u00e9s. Parmi eux, seuls\u00a017 ont \u00e9t\u00e9 imm\u00e9diatement reconnus par une base de donn\u00e9es de malware populaire, mais cela a \u00e9t\u00e9 suffisant pour les ajouter \u00e0 notre groupe de domaines initiaux. Gr\u00e2ce \u00e0 l'analyse par regroupement des domaines observ\u00e9s dans le DNS passif, nous avons imm\u00e9diatement trouv\u00e9 2\u00a0autres domaines non d\u00e9tect\u00e9s par le biais de leur enregistrement.<\/p>\n

Le lendemain, nous avons d\u00e9tect\u00e9 16\u00a0autres domaines de cette campagne, puis 58\u00a0domaines et 88\u00a0autres. Au cours des deux premi\u00e8res semaines de cette campagne, nous avons trouv\u00e9 333\u00a0domaines qui \u00e9taient associ\u00e9s \u00e0 cette campagne de phishing.<\/p>\n

Ce qu'il est int\u00e9ressant de noter, c'est que parmi ces 333\u00a0domaines, nous avons d\u00e9couvert que 247 \u00e9taient inconnus d'une base de donn\u00e9es de malware populaire le premier jour o\u00f9 les domaines avaient \u00e9t\u00e9 mis en ligne. Au cours des deux semaines suivantes, seuls 7\u00a0de ces domaines ont finalement \u00e9t\u00e9 marqu\u00e9s. Apr\u00e8s deux semaines, 240\u00a0domaines n'\u00e9taient toujours pas signal\u00e9s comme \u00e9tant des tentatives de phishing par cette base de donn\u00e9es, bien que les domaines soient actifs sur Internet et fassent clairement partie de la m\u00eame campagne.<\/p>\n

Nous avons \u00e9galement fait le test avec deux listes de blocage connues. Nous avons ainsi constat\u00e9 qu'aucune des deux n'avaient commenc\u00e9 \u00e0 bloquer les domaines le premier jour o\u00f9 ils avient \u00e9t\u00e9 mis en ligne. Au cours des deux semaines suivantes, sur les 333\u00a0domaines, l'une en a bloqu\u00e9 seulement\u00a080 et l'autre\u00a0247.<\/p>\n

Ces r\u00e9sultats soulignent que m\u00eame si certains domaines des campagnes sont d\u00e9tect\u00e9s par la communaut\u00e9 de s\u00e9curit\u00e9, il est facile pour nombre d'entre eux de se faufiler parmi les domaines non bloqu\u00e9s, ce qui est l'objectif final d'un pirate.<\/p>\n

 <\/p>\n

Conclusion<\/strong><\/p>\n

Il ne s'agit l\u00e0 que d'un seul exemple. Au cours des derniers mois, nous avons d\u00e9couvert 15\u00a0campagnes diff\u00e9rentes compos\u00e9es de plus 1\u00a0000\u00a0domaines actifs. Bien qu'actifs et faisant partie de campagnes, nombre de ces domaines n'ont pas \u00e9t\u00e9 identifi\u00e9s individuellement par plusieurs services tiers populaires. Concernant les domaines ayant \u00e9t\u00e9 identifi\u00e9s par un service tiers, nous les avons d\u00e9tect\u00e9s en moyenne 2,8\u00a0jours avant une base de donn\u00e9es de malware en ligne, 3,9\u00a0jours avant une liste de blocage populaire et 2,4\u00a0jours avant une autre. Les deltas maximum que nous avons constat\u00e9s \u00e0 ce jour parmi les domaines identifi\u00e9s par des tiers sont de 46\u00a0jours pour la base de donn\u00e9es, 15\u00a0jours pour la premi\u00e8re liste de blocage et 32\u00a0jours pour la seconde. La figure\u00a03 pr\u00e9sente la comparaison globale du d\u00e9lai d'identification.<\/p>\n

\"\"<\/span><\/div><\/p>\n

Figure\u00a03\u00a0: d\u00e9lai d'identification par des tiers<\/em><\/p>\n

Protection et appel \u00e0 l'action<\/strong><\/p>\n

Les clients de Palo Alto Networks sont prot\u00e9g\u00e9s contre ces domaines malveillants et de phishing gr\u00e2ce au filtrage PAN-DB URL et aux signatures DNS C2 qui font partie de l'abonnement \u00e0 Threat Prevention. Les clients du pare-feu Palo Alto Networks peuvent contribuer \u00e0 notre recherche de DNS passif en d\u00e9tectant de mani\u00e8re proactive des domaines malveillants et de phishing. Pour activer le partage du DNS passif dans la version\u00a08.0 ou ult\u00e9rieure de PAN-OS, s\u00e9lectionnez \u00ab\u00a0Contr\u00f4le du DNS passif\u00a0\u00bb (Appareil > Configuration > T\u00e9l\u00e9metrie). Pour la version\u00a07.1 ou ant\u00e9rieure de PAN-OS, le partage du DNS passif est activ\u00e9 dans le profil de s\u00e9curit\u00e9 Anti-Spyware. Les enregistrements du DNS passif sont principalement compos\u00e9s d'un horodatage, du domaine demand\u00e9 et de l'adresse\u00a0IP correspondante, entres autres donn\u00e9es. Pour des raisons de confidentialit\u00e9, le trafic DNS des clients individuels (le bit \u00ab\u00a0r\u00e9cursion souhait\u00e9e\u00a0\u00bb est d\u00e9fini) n'est pas captur\u00e9 et l'adresse\u00a0IP du client est \u00e9galement supprim\u00e9e.<\/p>\n

\"\"<\/span><\/div><\/p>\n","protected":false},"excerpt":{"rendered":"

Nous nous effor\u00e7ons en permanence de trouver de nouveaux moyens de prot\u00e9ger les clients et d'emp\u00eacher la r\u00e9ussite des attaques. Nous avons ainsi r\u00e9cemment ajout\u00e9 \u00e0 notre arsenal de recherche l'utilisation du …<\/p>\n","protected":false},"author":616,"featured_media":72308,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[3546],"tags":[],"coauthors":[6611,6612,4719,1576,913,741],"class_list":["post-95947","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-non-classifiee"],"jetpack_featured_media_url":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-content\/uploads\/2018\/04\/unit42-blog-600x300.jpg","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/95947","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/users\/616"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/comments?post=95947"}],"version-history":[{"count":3,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/95947\/revisions"}],"predecessor-version":[{"id":96002,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/95947\/revisions\/96002"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media\/72308"}],"wp:attachment":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media?parent=95947"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/categories?post=95947"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/tags?post=95947"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/coauthors?post=95947"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}