esenfrdeitptru

Nueva herramienta para detección de anomalías en la cadena de suministro de software

AS-103-2021

Fecha: 22/Oct/2021

Resumen:

La detección de anomalías con huellas dactilares TLS podría identificar compromisos en la cadena de suministro de software, los investigadores de Splunk describen una técnica, con algunas limitaciones.

Las intrusiones en las que los hackers comprometen la infraestructura de los desarrolladores de software y troyanizan sus actualizaciones legítimas son difíciles de detectar por los usuarios de los productos de software afectados, como lo demuestran múltiples incidentes en los últimos años: En 2017, los hackers lograron comprometer la infraestructura de CCleaner, una herramienta de optimización y limpieza de un sistema y entregaron una actualización troyanizada a 2,2 millones de computadoras pertenecientes tanto a consumidores como a empresas.

Los investigadores están de acuerdo en que no existe una solución milagrosa, pero se puede usar una combinación de técnicas para detectar cambios sutiles en el comportamiento del software crítico y los sistemas en los que se implementa.

Investigadores de la firma de análisis de seguridad Splunk han analizado recientemente varias de estas técnicas que se basan en la construcción de huellas dactilares únicas para identificar qué aplicaciones de software establecen conexiones HTTPS. La premisa es que los programas de malware, independientemente de cómo se entreguen, a menudo vienen con sus propias bibliotecas TLS o configuración TLS y sus saludos HTTPS serían identificables en los logs de registros, comparados con los hashes de los cliente TLS de las aplicaciones preaprobadas.

La idea de utilizar huellas dactilares de cliente SSL/TLS para identificar el tráfico malicioso en las redes no es nueva. Los investigadores de Salesforce desarrollaron un estándar llamado JA3 que construye un hash MD5 a partir de varios atributos de la configuración TLS de un cliente que se envían en el llamado "hola del cliente", el mensaje inicial de un protocolo de enlace TLS. Atributos como la versión SSL, los cifrados aceptados, la lista de extensiones, las curvas elípticas y los formatos de curva elíptica se concatenan y se calcula un hash MD5 a partir del resultado. Si bien es posible que diferentes aplicaciones cliente tengan configuraciones TLS similares, se cree que las combinaciones de múltiples atributos son lo suficientemente únicas como para usarse para identificar programas.

Desde su creación, el soporte JA3S se ha agregado a muchas herramientas de monitoreo y seguridad de red, tanto de código abierto como comerciales

Referencias:

https://www.csoonline.com/article/3637124/detecting-anomalies-with-tls-fingerprints-could-pinpoint-supply-chain-compromises.html

https://www.splunk.com/en_us/pdfs/resources/whitepaper/detecting-supply-chain-attacks.pdf

https://github.com/salesforce/ja3

FIRST