Detección de Amenazas Persistentes Avanzadas mediante la aplicación de cadenas de Markov sobre tráfico de red

Abstract

Las Amenazas Persistentes Avanzadas, también conocidas como APT por sus siglas en inglés, son un tipo de ataque sofisticado caracterizado por seis fases que van desde la obtención de información básica para el acceso a los sistemas que se desean vulnerar hasta la exfiltración de datos mediante la conexión cifrada a servidores maliciosos. En este trabajo de investigación se abordan este tipo de amenazas con el objetivo de evaluar su comportamiento en una red LAN mediante la aplicación de cadenas de Markov. Para ello, se captura el tráfico de red de un sistema conformado por un conjunto de máquinas virtuales, las cuales fueron infectadas con cepas de virus utilizados en campañas de APT. Se analizaron los patrones de tráfico y se extrajeron las características relacionadas con la actividad maliciosa. Luego de comprobar que el comportamiento del tráfico no depende del pasado, se modeló mediante cadenas de Markov para hallar las matrices de transición de estados que describen su comportamiento. Al analizar los datos, se pueden observar patrones de infección caracterizados principalmente por conexiones a servidores FTP maliciosos, consulta de dominios maliciosos y paquetes TCP de longitud elevada, que sugieren descarga de archivos adicionales y extracción de información de las máquinas infectadas