Новые технологии предоставляют новые возможности, но также несут риски для безопасности. Протокол QUIC является ярким примером этой тенденции. Он используется злоумышленниками для достижения своих целей, так как новые протоколы, в отличие от устоявшихся, меньше изучены.
Набор данных, используемый в исследовании, доступен для скачивания в конце статьи. Перед погружением в технические детали QUIC, важно помнить, что RFC – это спецификации, а не законы. Разработчики могут отклоняться от рекомендаций, чтобы удовлетворить свои потребности.
QUIC объединил два отдельных рукопожатия TCP и TLS в одно. Рукопожатие QUIC начинается с пакета от клиента, содержащего важные параметры и сообщение Client Hello. Сервер отвечает серией пакетов, содержащих информацию для завершения рукопожатия.
После завершения рукопожатия обе стороны могут обмениваться зашифрованными данными. QUIC также поддерживает миграцию соединения с помощью Connection ID. Пакеты 0-RTT позволяют клиенту отправлять данные до завершения рукопожатия.
Длительные QUIC-соединения могут быть использованы для C2. Рукопожатие Merlin имеет уникальный шаблон, который можно использовать для обнаружения. Анализ продолжительности и шаблонов истории соединений могут помочь выявить подозрительную активность.
Исследование показывает, что эффективное обнаружение C2 через QUIC может основываться на анализе продолжительности, отпечатка рукопожатия и других шаблонов соединений. Современные злоумышленники используют новые возможности, поэтому защитники должны развивать новые стратегии обнаружения.
