NLPRank: นวัตกรรมสำหรับหยุดยั้งภัยคุกคามแบบ APT

ทีมนักวิจัยด้านความปลอดภัยของ OpenDNS ประสบความสำเร็จในการพัฒนาระบบป้องกันภัยคุกคามแบบ APT รูปแบบใหม่ ซึ่งสามารถตรวจจับเว็บไซต์ที่เป็นแหล่ง Phishing และแอบแฝงมัลแวร์ที่ถูกสร้างขึ้นโดยกลุ่มแฮ็คเกอร์เพื่อปูพื้นการโจมตีแบบ APT ได้อย่างรวดเร็วและแม่นยำ เรียกว่า NLTRank

แนวคิดในการพัฒนา NLPRank มาจากการที่ทีมนักวิจัยพยายามวิเคราะห์ชื่อโดเมนที่ใช้โดยกลุ่มแฮ็คเกอร์ APT ได้แก่ Carbanak, Anunak และ DarkHotel โดยทีมนักวิจัยค้นพบว่าอีเมลล์ Phishing ที่ถูกส่งไปยังเป้าหมายนั้น จะประกอบด้วยลิงค์ที่นำไปสู่เว็บไซต์ที่มีมัลแวร์แฝงตัวอยู่ ซึ่งเว็บไซต์เหล่านั้นมักใช้ชื่อโดเมนคล้ายคลึงกับบริษัทไอทีขนาดใหญ่ เช่น Microsoft, Adobe, Firefox, Facebook และมีคำจำพวก login, update, security-center เพื่อเพิ่มความน่าเชื่อถือให้แก่ชื่อโดเมนที่ใช้ ยกตัวอย่างเช่น

• adobeupdates[.]com
• microsoft-xpupdate[.]com
• adobe-update[.]net
• firefoxupdata[.]com

อย่างไรก็ตาม เว็บไซต์เหล่านี้ไม่ได้มีส่วนเกี่ยวข้องกับบริษัทไอทีที่ถูกกล่าวอ้างแต่อย่างใด

OpenDNS จึงได้สร้างคลังชื่อโดเมนที่เกิดจากชื่อบริษัทไอทีขนาดใหญ่รวมกับคำจำพวกที่กล่าวไปข้างต้น เพื่อส่งไปให้ NLPRank ตรวจสอบ ซึ่งนอกจากจะพิจารณาจากชื่อโดเมนแล้ว NLPRank ยังใช้ข้อมูลจาก WHOIS เพื่อวิเคราะห์รายละเอียดของเว็บไซต์ที่เข้าข่ายเป็นเว็บไซต์ของแฮ็คเกอร์ เช่น HTML Tag และข้อมูล ASN ยกตัวอย่างเช่น Java Update ควรมีข้อมูลอ้างอิงจาก Oracle ASN เช่น 41900, 1215 และอื่นๆ แต่เว็บไซต์ของแฮ็คเกอร์จะมีข้อมูล ASN ที่แตกต่างออกไป เช่น 44050 อ้างอิงจาก PIN-AS Petersburg Internet Network LLC ในประเทศรัสเซีย เป็นต้น

NLPRank ถือว่าประสบความสำเร็จในการตรวจจับโดเมนแปลกปลอมที่ใช้เป็นเครื่องมือในการโจมตี APT ของกลุ่มแฮ็คเกอร์ รวมทั้งช่วยตรวจจับโดเมนที่ไม่พึงประสงค์ ที่มีเป้าหมายในการสร้างความเดือดร้อนแก่ผู้อื่น ซึ่งวิธีนี้มีข้อได้เปรียบกว่า Web Reputation Services คือ Web Reputation Services จำเป็นต้องมีการติดต่อกับเว็บไซต์เหล่านั้นก่อน จึงจะทราบได้ว่าเป็นเว็บไซต์ที่ไม่พึงประสงค์ ในขณะที่ NLPRank สามารถตรวจสอบจากชื่อและข้อมูลรายละเอียดของโดเมนเหล่านั้นได้ทันทีที่มีการร้องขอ DNS

รายละเอียดเพิ่มเติม: https://labs.opendns.com/2015/03/05/nlp-apt-dns/