Criminals operating botnets are persistently in an arms race with network security engineers and law enforcement agencies to make botnets more resilient. Innovative features constantly increase the resiliency of botnets but cannot mitigate all the weaknesses exploited by researchers. Blockchain technology includes features which could improve the resiliency of botnet communications. A trusted, distributed, resilient, fully-functioning command and control communication channel can be achieved using the combined features of private blockchains and smart contracts.
Use of a Security Information and Event Management (SIEM) or log management platform is a recommendation common to several of the CIS Critical Security Controls For Effective Cyber Defense (2016). Because the CIS Critical Security Controls (CSC) focus on automation, measurement and continuous improvement of control application, a SIEM is a valuable tool. Alienvault's Open Source SIEM (OSSIM) is free and capable, making it a popular choice for administrators seeking experience with SIEM. While there is a great deal of documentation on OSSIM, specific information that focuses on exactly what events to examine, and then how to report findings is not readily accessible. This paper uses a demo environment to provide specific examples and instructions for using OSSIM to assess a CIS Critical Security Controls implementation in a common environment: A Windows Active Directory domain. The 20 Critical Security Controls can be mapped to other controls in most compliance frameworks and guidelines; therefore, the techniques in this document should be applicable across a wide variety of control implementations.
Traditional IP-based access controls (e.g., firewall rules based on source and destination addresses) have defined the network perimeter for decades. Threats have evolved to evade and bypass these IP restrictions using techniques such as spear phishing, malware, credential theft, and lateral movement. As these threats evolve, so have the demands from end users for increased accessibility. Remote employees require secure access to internal resources. Cloud services have moved the perimeter outside of the enterprise network. The DevOps movement has emphasized speed and agility over up front network designs. This paper identifies gaps to implementation for organizations in the discovery phase of migrating to identity-based access controls as described by leading cloud companies.
Although the Request for Comments (RFC) defining WebSockets was released in 2011, there has been little focus on using the Bro Intrusion Detection System (IDS) to analyze WebSockets traffic. However, there has been progress in exploiting the WebSockets protocol. The ability to customize and expand Bros capabilities to analyze new protocols is one of its chief benefits. The developers of Bro are also working on a new framework called Spicy that allows security professionals to generate new protocol parsers. This paper focuses on the development of Spicy and Bro scripts that allow visibility into WebSockets traffic. The research conducted compared the data that can be logged with existing Bro protocol analyzers to data that can be logged after writing a WebSockets protocol analyzer in Spicy. The research shows increased effectiveness in detecting malicious WebSockets traffic using Bro when the traffic is parsed with a Spicy script. Writing Bro logging scripts tailored to a particular WebSockets application further increases their effectiveness.
When discussing suspected Middle Eastern hacker groups with
destructive capabilities, many automatically think of the that previously used SHAMOON – aka
– to target organizations in the Persian Gulf. However, over the past
few years, we have been tracking a separate, less widely known
suspected Iranian group with potential destructive capabilities, whom
we call APT33. Our analysis reveals that APT33 is a capable group that
has carried out cyber espionage operations since at least 2013. We
assess APT33 works at the behest of the Iranian government.
Recent investigations by FireEye’s consultants combined with FireEye iSIGHT Threat
Intelligence analysis have given us a more complete picture of APT33’s
operations, capabilities, and potential motivations. This blog
highlights some of our analysis. Our detailed report on contains a more thorough review of our supporting evidence
and analysis. We will also be discussing this threat group further
during our
on Sept. 21 at 8 a.m. ET.
Targeting
APT33 has targeted organizations – spanning multiple industries –
headquartered in the United States, Saudi Arabia and South Korea.
APT33 has shown particular interest in organizations in the aviation
sector involved in both military and commercial capacities, as well as
organizations in the energy sector with ties to petrochemical production.
From mid-2016 through early 2017, APT33 compromised a U.S.
organization in the aerospace sector and targeted a business
conglomerate located in Saudi Arabia with aviation holdings.
During the same time period, APT33 also targeted a South Korean
company involved in oil refining and petrochemicals. More recently, in
May 2017, APT33 appeared to target a Saudi organization and a South
Korean business conglomerate using a malicious file that attempted to
entice victims with job vacancies for a Saudi Arabian petrochemical company.
We assess the targeting of multiple companies with aviation-related
partnerships to Saudi Arabia indicates that APT33 may possibly be
looking to gain insights on Saudi Arabia’s military aviation
capabilities to enhance Iran’s domestic aviation capabilities or to
support Iran’s military and strategic decision making vis a vis Saudi Arabia.
We believe the targeting of the Saudi organization may have been an
attempt to gain insight into regional rivals, while the targeting of
South Korean companies may be due to South Korea’s recent partnerships
with Iran’s petrochemical industry as well as South Korea’s
relationships with Saudi petrochemical companies. Iran has in growing their petrochemical industry and often posited
this expansion in competition to Saudi petrochemical companies. APT33
may have targeted these organizations as a result of Iran’s desire to
expand its own petrochemical production and improve its
competitiveness within the region.
The generalized targeting of organizations involved in energy and
petrochemicals mirrors previously observed targeting by other
suspected Iranian threat groups, indicating a common interest in the
sectors across Iranian actors.
Figure 1 shows the global scope of APT33 targeting.
Figure 1: Scope of APT33 Targeting
Spear Phishing
APT33 sent spear phishing emails to employees whose jobs related to
the aviation industry. These emails included recruitment themed lures
and contained links to malicious HTML application (.hta) files. The
.hta files contained job descriptions and links to legitimate job
postings on popular employment websites that would be relevant to the
targeted individuals.
An example .hta file excerpt is provided in Figure 2. To the user,
the file would appear as benign references to legitimate job postings;
however, unbeknownst to the user, the .hta file also contained
embedded code that automatically downloaded a custom APT33 backdoor.
Figure 2: Excerpt of an APT33 malicious
.hta file
We assess APT33 used a built-in phishing module within the publicly
available ALFA TEaM Shell (aka ALFASHELL) to send hundreds of spear
phishing emails to targeted individuals in 2016. Many of the phishing
emails appeared legitimate – they referenced a specific job
opportunity and salary, provided a link to the spoofed company’s
employment website, and even included the spoofed company’s Equal
Opportunity hiring statement. However, in a few cases, APT33 operators
left in the default values of the shell’s phishing module. These
appear to be mistakes, as minutes after sending the emails with the
default values, APT33 sent emails to the same recipients with the
default values removed.
As shown in Figure 3, the “fake mail” phishing module in the ALFA
Shell contains default values, including the sender email address
(solevisible@gmail[.]com), subject line (“your site hacked by me”),
and email body (“Hi Dear Admin”).
Figure 3: ALFA TEaM Shell v2-Fake Mail (Default)
Figure 4 shows an example email containing the default values the shell.
Figure 4: Example Email Generated by the
ALFA Shell with Default Values
Domain Masquerading
APT33 registered multiple domains that masquerade as Saudi Arabian
aviation companies and Western organizations that together have
partnerships to provide training, maintenance and support for Saudi’s
military and commercial fleet. Based on observed targeting patterns,
APT33 likely used these domains in spear phishing emails to target
victim organizations.
The following domains masquerade as these organizations: Boeing,
Alsalam Aircraft Company, Northrop Grumman Aviation Arabia (NGAAKSA),
and Vinnell Arabia.
boeing.servehttp[.]com
alsalam.ddns[.]net
ngaaksa.ddns[.]net
ngaaksa.sytes[.]net
vinnellarabia.myftp[.]org
Boeing, Alsalam Aircraft company, and Saudia Aerospace Engineering
Industries entered into a to create the Saudi Rotorcraft Support Center in Saudi
Arabia in 2015 with the goal of servicing Saudi Arabia’s and building a self-sustaining workforce in the Saudi
aerospace supply base.
Alsalam Aircraft Company also offers military and commercial
maintenance, technical support, and interior design and refurbishment services.
Two of the domains appeared to mimic Northrop Grumman joint
ventures. These – Vinnell Arabia and Northrop Grumman Aviation Arabia –
provide aviation support in the Middle East, specifically in Saudi
Arabia. Both Vinnell Arabia and Northrop Grumman Aviation Arabia have
been involved in
to train Saudi Arabia’s Ministry of National Guard.
Identified Persona Linked to Iranian Government
We identified APT33 malware tied to an Iranian persona who may have
been employed by the Iranian government to conduct cyber threat
activity against its adversaries.
We assess an actor using the handle “xman_1365_x” may have been
involved in the development and potential use of APT33’s TURNEDUP
backdoor due to the inclusion of the handle in the
processing-debugging (PDB) paths of many of TURNEDUP samples. An
example can be seen in Figure 5.
Figure 5: “xman_1365_x" PDB String
in TURNEDUP Sample
Xman_1365_x was also a community manager in the Barnamenevis Iranian
programming and software engineering forum, and registered accounts in
the well-known Iranian Shabgard and Ashiyane forums, though we did not
find evidence to suggest that this actor was ever a formal member of
the Shabgard or Ashiyane hacktivist groups.
Open source reporting links the “xman_1365_x” actor to the “Nasr
Institute,” which is purported to be equivalent to Iran’s “cyber army”
and controlled by the Iranian government. Separately, additional
evidence ties the “Nasr Institute” to the 2011-2013 attacks on the
financial industry, a series of denial of service attacks dubbed
Operation Ababil. In March 2016, the U.S. Department of Justice
unsealed an that
named two individuals allegedly hired by the Iranian government to
build attack infrastructure and conduct distributed denial of service
attacks in support of Operation Ababil. While the individuals and the
activity described in indictment are different than what is discussed
in this report, it provides some evidence that individuals associated
with the “Nasr Institute” may have ties to the Iranian government.
Potential Ties to Destructive Capabilities and Comparisons with SHAMOON
One of the droppers used by APT33, which we refer to as DROPSHOT,
has been linked to the wiper malware SHAPESHIFT. Open source research
indicates SHAPESHIFT may have been used to target organizations in
Saudi Arabia.
Although we have only directly observed APT33 use DROPSHOT to
deliver the TURNEDUP backdoor, we have identified multiple DROPSHOT
samples in the wild that drop SHAPESHIFT. The SHAPESHIFT malware is
capable of wiping disks, erasing volumes and deleting files, depending
on its configuration. Both DROPSHOT and SHAPESHIFT contain Farsi
language artifacts, which indicates they may have been developed by a
Farsi language speaker (Farsi is the predominant and official language
of Iran).
While we have not directly observed APT33 use SHAPESHIFT or
otherwise carry out destructive operations, APT33 is the only group
that we have observed use the DROPSHOT dropper. It is possible that
DROPSHOT may be shared amongst Iran-based threat groups, but we do not
have any evidence that this is the case.
In March 2017, Kasperksy released a report that compared DROPSHOT
(which they call Stonedrill) with the most recent variant of SHAMOON
(referred to as Shamoon 2.0). They stated that both wipers employ
anti-emulation techniques and were used to target organizations in
Saudi Arabia, but also mentioned several differences. For example,
they stated DROPSHOT uses more advanced anti-emulation techniques,
utilizes external scripts for self-deletion, and uses memory injection
versus external drivers for deployment. Kaspersky also noted the
difference in resource language sections: SHAMOON embeds Arabic-Yemen
language resources while DROPSHOT embeds Farsi (Persian) language resources.
We have also observed differences in both targeting and tactics,
techniques and procedures (TTPs) associated with the group using
SHAMOON and APT33. For example, we have observed SHAMOON being used to
target government organizations in the Middle East, whereas APT33 has
targeted several commercial organizations both in the Middle East and
globally. APT33 has also utilized a wide range of custom and publicly
available tools during their operations. In contrast, we have not
observed the full lifecycle of operations associated with SHAMOON, in
part due to the wiper removing artifacts of the earlier stages of the
attack lifecycle.
Regardless of whether DROPSHOT is exclusive to APT33, both the
malware and the threat activity appear to be distinct from the group
using SHAMOON. Therefore, we assess there may be multiple Iran-based
threat groups capable of carrying out destructive operations.
Additional Ties Bolster Attribution to Iran
APT33’s targeting of organizations involved in aerospace and energy
most closely aligns with nation-state interests, implying that the
threat actor is most likely government sponsored. This coupled with
the timing of operations – which coincides with Iranian working hours
– and the use of multiple Iranian hacker tools and name servers
bolsters our assessment that APT33 may have operated on behalf of the
Iranian government.
The times of day that APT33 threat actors were active suggests that
they were operating in a time zone close to 04:30 hours ahead of
Coordinated Universal Time (UTC). The time of the observed attacker
activity coincides with , which is +0430 UTC.
APT33 largely operated on days that correspond to Iran’s workweek,
Saturday to Wednesday. This is evident by the lack of attacker
activity on Thursday, as shown in Figure 6. Public sources report that
Iran works a Saturday to Wednesday or Saturday to Thursday work week,
with government offices and some operating on a half day schedule on
Thursday.Many other Middle East countries have
to have a Friday and Saturday weekend.Iran is one of few
countries that subscribes to a Saturday to Wednesday workweek.
APT33 leverages popular Iranian hacker tools and DNS servers used by
other suspected Iranian threat groups. The publicly available
backdoors and tools utilized by APT33 – including NANOCORE, NETWIRE,
and ALFA Shell – are all available on Iranian hacking websites,
associated with Iranian hackers, and used by other suspected Iranian
threat groups. While not conclusive by itself, the use of publicly
available Iranian hacking tools and popular Iranian hosting companies
may be a result of APT33’s familiarity with them and lends support to
the assessment that APT33 may be based in Iran.
Figure 6: APT33 Interactive Commands by
Day of Week
Outlook and Implications
Based on observed targeting, we believe APT33 engages in strategic
espionage by targeting geographically diverse organizations across
multiple industries. Specifically, the targeting of organizations in
the aerospace and energy sectors indicates that the threat group is
likely in search of strategic intelligence capable of benefitting a
government or military sponsor. APT33’s focus on aviation may indicate
the group’s desire to gain insight into regional military aviation
capabilities to enhance Iran’s aviation capabilities or to support
Iran’s military and strategic decision making. Their targeting of
multiple holding companies and organizations in the energy sectors
align with Iranian national priorities for growth, especially as it
relates to increasing petrochemical production. We expect APT33
activity will continue to cover a broad scope of targeted entities,
and may spread into other regions and sectors as Iranian interests dictate.
APT33’s use of multiple custom backdoors suggests that they have
access to some of their own development resources, with which they can
support their operations, while also making use of publicly available
tools. The ties to SHAPESHIFT may suggest that APT33 engages in
destructive operations or that they share tools or a developer with
another Iran-based threat group that conducts destructive operations.
Appendix
Malware Family Descriptions
Malware Family
Description
Availability
DROPSHOT
Dropper
that has been observed dropping and launching the TURNEDUP
backdoor, as well as the SHAPESHIFT wiper malware
Non-Public
NANOCORE
Publicly
available remote access Trojan (RAT) available for purchase.
It is a full-featured backdoor with a plugin framework
Public
NETWIRE
Backdoor
that attempts to steal credentials from the local machine from
a variety of sources and supports other standard backdoor
features.
Public
TURNEDUP
Backdoor
capable of uploading and downloading files, creating a reverse
shell, taking screenshots, and gathering system
information
Тестовая вредоносная программа aIR-Jumper подтвердила возможность обхода защиты изолированных сетей и приема-передачи данных из них. Для этого нужны камеры безопасности и ИК-светодиоды, которые за счет разбора потока данных на вспышки света могут вести обмен друг с другом.
Этот метод атаки придумали и реализовали исследователи Мордехай Гури (Mordechai Guri) и Ювал Еловичи (Yuval Elovici) из Университета имени Бен-Гуриона при участии Димы Быховского (Dima Bykhovsky) из Инженерного колледжа «Сами Шамун». Ранее на этой неделе они опубликовали (PDF).
«Преступники могут установить скрытую двустороннюю связь со внутренней сетью организации с помощью камер наблюдения и инфракрасных светодиодов», — пишут исследователи.
Чтобы произвести атаку, нужно выполнить ряд сложных требований. Прежде всего, целевая изолированная сеть должна быть уже заражена зловредом aIR-Jumper. Кроме того, к инфицированной сети должны быть подключены камеры наблюдения, находящиеся в поле зрения злоумышленников, расположившихся снаружи объекта. При таких условиях зловред сможет проникнуть в программные интерфейсы (API) камеры, чтобы модулировать ИК-сигналы для передачи данных и обработки сигналов с внешних ИК-светодиодов в виде команд.
«Можно управлять инфракрасной подсветкой камер наблюдения через соответствующий API, встроенный в прошивку. Наиболее простой способ управления — переключение состояния ИК-светодиодов через веб-интерфейс камеры. Пользователь может переключить ночное видение в ручной или автоматический режим, чтобы включать и выключать ИК-светодиоды и задать силу ИК-подсветки», — поясняют авторы.
В одном из сценариев зловред aIR-Jumper можно перепрограммировать на поиск конфиденциальных данных внутри изолированной сети. Собранная информация при этом извлекается через ночную ИК-подсветку камеры безопасности, которая незаметна невооруженным глазом.
В демонстрационном видео атаки злоумышленник находился в поле зрения мерцающего ИК-светодиода видеокамеры. В световых сигналах закодированы единицы и нули исходных данных. Затем атакующий записывал последовательность мерцающей подсветки и при воспроизведении раскодировал вспышки как единицы и нули, которые впоследствии образовывали читаемые файлы.
«По нашим оценкам, скрытый канал связи позволяет незаметно извлекать данные организации с каждой камеры наблюдения на расстоянии десяти метров на скорости 20 бит/с», — заявляют исследователи.
Схожим образом атакующий может использовать удаленный ИК-свет, видимый камерой наблюдения, чтобы скрытно передавать данные в сеть организации на скорости более 100 бит/с на каждую камеру наблюдения с расстояния около полутора километров. «Камера будет фиксировать поступающие сигналы, которые затем раскодирует зловред, присутствующий в сети», — отмечают авторы.
Эта технология позволяет модулировать, кодировать и передавать в виде ИК-сигналов конфиденциальные данные, такие как PIN-коды, пароли, ключи шифрования и перехваченные с клавиатуры данные, за пределы физически изолированной сети.
В другом сценарии проникновения удаленный злоумышленник передает во внутреннюю сеть организации команды управления зловредом aIR-Jumper, уже присутствующим в сети.
Авторы отчета несколько лет занимались проблемой взлома физически изолированных систем с помощью различных техник: оптической (), электромагнитной (), термальной () и акустической ().
«В качестве технологических контрмер можно реализовать обнаружение вредоносного ПО, управляющего ИК-подсветкой камеры или перехватывающего изображение с камеры, — написали исследователи. — Аналогичным образом можно выявлять зловред на сетевом уровне, отслеживая трафик между хостами в сети и камерами наблюдения».
In the last few months, we noticed an increase in attacks targeting ecommerce platforms aiming to steal credit card information. We saw a similar rise last year after the summer ended, and believe that trend will continue now that the holiday season is quickly approaching.
Most of these attacks are based on intercepting the communication between the online store and the payment gateway (the checkout process) in order to send valuable information to the attacker.
, компания FedEx Express, крупнейший специалист по международным экспресс-перевозкам, оценила свой ущерб от июньской атаки в 300 млн долларов.
Пострадавшее подразделение, TNT Express, еще не совсем оправилось от удара; ожидается, что его IT-системы заработают в нормальном режиме лишь к концу текущего месяца. Отсутствие доступа к жизненно важной информации, заблокированной зловредом, негативно повлияло не только на деловые операции, но также FedEx.
Комментируя новый финансовый отчет компании для представителей банков (), руководитель информационной службы FedEx Роб Картер (Rob Carter) заявил: все указывает на то, что первичное заражение NotPetya произошло в результате установки вредоносного обновления для программы, используемой при подготовке налоговых деклараций в украинском офисе FedEx. По всей видимости, речь идет об одном из приложений MeDoc — пакета бухгалтерских программ, уязвимость в котором, как полагают исследователи, могла использоваться в качестве вектора атаки и в других эпизодах .
Данные клиентов FedEx, насколько известно, не пострадали, и распространение инфекции по сетям компании оказалось ограниченным. Тем не менее, названное подразделение компании атака NotPetya полностью и надолго вывела из строя. Из-за недоступности email сотрудникам TNT пришлось перейти на WhatsApp для внутренних коммуникаций, необработанные почтовые отправления скапливались в очередях тысячами.
«На момент атаки в TNT проводились работы по замене унаследованных систем технологиями FedEx, — цитирует Картера BBC. — Вследствие атаки эти усилия были активизированы. Многие системы, не пораженные вирусом, также были укреплены и перестроены с целью усиления безопасности».
Другие высокопоставленные жертвы NotPetya, такие как гигант фарминдустрии и лидер рекламного рынка WPP, тоже понесли большие потери. Так, компания Reckitt Benckiser, торгующая товарами широкого потребления (широко известные бренды: Dettol, Durex), , что атака шифровальщика обошлась ей в 100 млн фунтов стерлингов ($136 млн) в виде упущенной выгоды. Крупнейший специалист по контейнерным перевозкам оценил свои убытки от аналогичной атаки в $200-300 млн — эти цифры приведены в датской корпорации.
Председатель Комиссии по ценным бумагам и биржам США (Securities and Exchange Commission, SEC) Джей Клэйтон (Jay Clayton) выступил с о недавнем инциденте, поставившим под сомнение безопасность хранящихся в SEC конфиденциальных данных. В 2016 году злоумышленники использовали уязвимость в EDGAR — программном обеспечении Комиссии — и получили доступ к базе данных SEC, однако известно об атаке стало только сейчас. Несмотря на то, что уязвимость практически сразу закрыли патчем, киберпреступники успели воспользоваться инсайдерской информацией для своей выгоды.
Как заявил Клэйтон, злоумышленникам не удалось получить доступ к идентифицирующим персональным данным или поставить под угрозу деятельность самой Комиссии. Однако уязвимость позволила киберпреступникам использовать инсайдерские данные для проведения чрезвычайно выгодных для себя торговых сделок. Сумма нанесенного ущерба, механизм атаки и другие детали пока остаются неизвестными.
Об инциденте стало известно в рамках текущей проверки уровня безопасности SEC, инициированной Клэйтоном в мае этого года. Одним из первых решений, принятых им на новом посту, стало создание рабочей группы по вопросам кибербезопасности для мониторинга рисков и оптимизации реагирования на инциденты.
В своем заявлении председатель SEC подчеркнул, что обеспечение безопасности чрезвычайно важно для беспрепятственной работы биржевого рынка.
«SEC постоянно сталкивается с новыми угрозами безопасности и не должна терять бдительности. Атаки на публичный и частный сектор не прекратятся, и способность сохранять спокойствие и гибко реагировать на инциденты необходима для успешного отражения атак», — объяснил он.
Биржи и финансовые институты нередко становятся мишенями для киберпреступников. Так, в 2015 году злоумышленники на Московскую биржу и с помощью вируса смогли повлиять на курс рубля. Из-за скачков курса возникла экстремальная волатильность: разница между покупкой и продажей доллара составила 7 рублей. Тогда потери в результате махинаций оценили в 225 млн рублей.
Искусственный интеллект и глубинное обучение занимают все большее место в сфере информационной безопасности, и одно из первых применений оказалось связано с паролями.
Недавно исследователи из Технологического института Стивенса и Технологического института Нью-Йорка опубликовали предварительные результаты своих работ, в которых они с помощью генеративно-состязательных сетей (GAN) угадывали пароли эффективнее, чем с помощью существующих техник ручного создания правил, использующихся в таких инструментах, как Hashcat или JohntheRipper.
По словам исследователей, благодаря этим мощным аналитическим инструментам они могут использовать машины для анализа имеющихся данных. Например, любой из многомиллионных утечек паролей, которые были опубликованы в Сети за последние 18 месяцев. И, исходя из этого, создавать новые правила паролей, которые не только повышают эффективность тестов на проникновение, но и могут когда-нибудь стать основным инструментом восстановления или угадывания паролей.
«Предположим, завтра произойдет еще одна утечка паролей. Если вы создаете правила вручную и хотите извлечь максимальную пользу из утечки, вам понадобится поручить своим сотрудникам изучить данные и найти несоответствия, а затем вручную составить новые правила и ключевые слова. Все это ручная работа, — говорит Паоло Гасти (Paolo Gasti), один из исследователей Технологического института Нью-Йорка. — Вместо этого мы отдаем базу паролей инструменту на изучение — в течение дня, недели или месяца. И после этого вы получаете результат анализа, который провел инструмент на основе новых данных».
Недавно вместе со своими коллегами Бриландом Хитажем (Briland Hitaj), Джузеппе Атеньезе (Giuseppe Ateniese) и Фернандо Перес-Крузом из Технологического института Стивенса и Технологического института Нью-Йорка Гасти опубликовал исследовательскую под названием «PassGAN: глубинное обучение для угадывания паролей». PassGAN — это название технологии, которая с помощью сетей GAN совершенствует инструменты по созданию паролей на основе правил.
«Благодаря PassGAN эффективность инструментов по созданию паролей на основе правил поднимается на новый уровень, поскольку информация о распределении паролей из данных извлекается автономно, позволяя забыть о ручном анализе, — пишут исследователи. — В результате на основе новых утечек паролей этот инструмент может без труда создавать более сложные пароли».
В исследовании опубликованы результаты множества экспериментов, которые демонстрируют, как инструмент PassGAN проанализировал пароли, украденные с LinkedIn и RockYou, и показал более высокую эффективность по сравнению с правилами SypderLabs от JohntheRipper, а также «составил конкуренцию» правилам best64 и gen2 от HashCat.
«Когда мы объединили результаты PassGAN с результатами HashCat, нам удалось вычислить на 18-24% паролей больше, чем только с помощью HashCat, — пишут исследователи. — Это доказывает, что PassGAN может генерировать значительное количество паролей, которые не по зубам нынешним инструментам».
Сети GAN — это инструменты глубинного обучения, которые состоят из двух глубинных нейронных сетей: генеративной и дифференциальной. Во многих приложениях глубинное обучение используется для создания чего-либо на основе набора данных (например, сканируются тысячи изображений лиц или комнат для создания нового, уникального изображения). По словам Гасти, это может быть первым применением сетей GAN в сфере безопасности. Исследователи хотят обучить глубинные нейронные сети тому, как выглядят заданные пользователями пароли, но при этом не предоставлять сети никакой контекст, например личную информацию, такую как дата рождения или клички питомцев, сочетание которых люди зачастую используют для создания сложных (по их мнению) паролей.
«Мы не предоставляем никакую информацию, мы просто слепо передаем машине набор паролей, а она выясняет, что же такое пароль. Суть заключается в том, что машина должна сотни тысяч раз пройтись по этим данным, и каждый раз она будет узнавать что-то новое — например, какие-либо новые отношения между компонентами пароля, — говорит Гасти. — После сотни тысяч просмотров набора паролей машина может сказать: «Мне удалось определить нужное слово и цифры, я знаю отношения между ними и вероятность их связи». Теперь команде специалистов не придется изучать сотни тысяч паролей — алгоритм сделает это за них».
В идеале кластер высокопроизводительных машин может анализировать миллионы паролей в течение месяца и создать правила, которые никогда бы не удалось сгенерировать вручную, говорит специалист.
«Мне кажется, мы поднимаем планку того, что следует считать надежным паролем, — говорит Гасти. — Поскольку теперь мы можем эффективнее подбирать пароли, наши понятия об их надежности меняются. Теперь стало возможным угадать те пароли, которые раньше было нельзя. Не потому, что они слабые, а потому что мы нашли лучший способ до них добраться».
