Arquitetura multiagente para detecção passiva de rootkits com enriquecimento de dados
Detecção de Rootkits, Enriquecimento de Dados, Inteligência de Ameaças, Cibersegurança.
O crescente valor agregado das informações trafegadas em meio cibernético acarretou em um cenário de sofisticação de ações maliciosas que visam a exfiltração de dados e, no atual ambiente de ameaças cibernéticos avançado e dinâmico, as organizações precisam produzir novos métodos para lidar com sua defesa cibernética. Em situações com atores maliciosos não convencionais, como Advanced Persistent Threats (APTs), técnicas de ofuscação de atividades danosas são utilizadas para garantir manutenção nos alvos estratégicos, evitando detecção por sistemas de defesa conhecidos e encaminhando os dados de interesse para elementos externos com o menor ruído possível. As arquiteturas MADEX e NERD propuseram soluções de análise de fluxos para detecção de rootkits que ocultam o tráfego de rede; entretanto, apresentam algum custo operacional, seja em volume de tráfego, seja por falta de informação agregada. Nesse sentido, esse trabalho altera e aprimora as técnicas de análise de fluxos ofuscados de forma a eliminar os impactos no tráfego rede, com enriquecimento de dados em bases locais e remotas, detecção de domínios consultados por rootkits e agregação de informações para geração de inteligência de ameaças, mantendo alta performance e permitindo uso concomitante com os sistemas de defesa cibernética previamente existentes. Os resultados demonstram a possibilidade de agregar informações aos fluxos de dados utilizados por rootkits para ações de defesa mais efetivas contra ameaças cibernéticas sem impactos significativos à infraestrutura de rede existente.