Videó: First Buck Down in Oklahoma! Calling In Bucks On The Ground! (November 2024)
Vern Paxson, a Berkeley-i Kaliforniai Egyetem villamosmérnöki és számítástechnikai professzora a biztonsági közösségben hírnevet szerez egy 2002. évi cikkről, melynek címe: Hogyan birtokolja az internetet a szabadidőben (sok más látnivaló között). A Code Red és a Nimda férgek részletes elemzése alapján a cikk felhívta a figyelmet a Cyber "Disease Control Center" szükségességére. Manapság Paxson más módot keres a nagyméretű biztonsági problémák kezelésére - a beszivárgás. A 10. rosszindulatú és nemkívánatos szoftverekkel foglalkozó nemzetközi konferencia (röviden a MalCon 2015) fő beszéde benyomást tett engem és a résztvevőket e megközelítés egyértelműségével.
Készítsen nagy Bucks a szabadidőben
Szeretne nagy dollárt keresni a rosszindulatú programok iparában? Nem kell kódolónak lennie. Még ha is vannak ezek a készségek, nem kell megtanulnia a rosszindulatú programok létrehozását és terjesztését. Különböző feladatok vannak a rosszindulatú programok ökoszisztémájában.
Az ökoszisztéma kulcsa a bróker, az a fickó, aki ismeri az üzletet, de nem kódol. Kétféle ügyfele van. A rosszindulatú programok kódolóinak csúnya szoftvere van, amelyet sok fogyasztói PC-re szeretnének telepíteni. Lehet, hogy hamis antivírusok, ransomware, botnet-összetevők, szinte bármi. Aztán vannak társult vállalkozók, kódolók, akik rendelkeznek erőforrásokkal ahhoz, hogy tetszőleges szoftvert telepítsenek nem védett rendszerekre. Olyan technikákat alkalmaznak, mint a meghajtók általi letöltés, a spam és az adathalász, hogy letöltöjék az áldozatok rendszereit.
Most a kerekek elkezdenek forogni. A rosszindulatú programok kódolói fizetik a brókert azért, hogy a kódot a lehető legtöbb rendszerbe telepítsék. A kapcsolt vállalkozások letöltőket a lehető legtöbb rendszerre telepítik. A letöltő kapcsolatba lép a brókerrel, aki rosszindulatú programokat szállít a kódolóktól, valószínűleg több példányban. És a kapcsolt vállalkozások fizetnek a telepítések száma alapján. Mindenki részt vesz ebben a PPI (Pay Per Install) rendszerben, és ezek a hálózatok hatalmasak.
"Van néhány ragyogás itt" - mondta Paxson. "A bróker nem tesz semmit, nem betör, nem találja ki a kizsákmányolást. A bróker csak egy közvetítő, profitot szerez. A kapcsolt vállalkozóknak nem kell tárgyalniuk a rosszfiúkkal vagy tudniuk, mit kell tenniük a betörés után. Az összes tagnak csak meg kell tennie a részét."
A rossz fiúknak nincs biztonságuk
"A hálózati támadások felfedezése a történelem során ütközéses játék volt." - jegyezte meg Paxson. Az egyik támadást lerázza, a másik felbukkan. Ez nem olyan játék, amelyet nyerhetsz.
Csapata más megközelítést próbált ki e PPI rendszer ellen. Elfoglalták a különféle letöltőkből származó mintákat, és azokat hátrakészítették, hogy meghatározzák, hogyan kommunikálnak a megfelelő brókerekkel. Felfegyverkezve ezekkel az információkkal, kidolgoztak egy rendszert, amellyel a bróker letöltheti a letölthető malware kéréseket. Paxson ezt a technikát a malware bróker "fejéséért" nevezi.
"Gondolod, hogy ez kudarcot vall - mondta Paxson. "Biztosan a bróker rendelkezik valamilyen hitelesítő rendszerrel, vagy tarifakorlátozó?" De amint kiderül, nem. "Azok a számítógépes bűnözési elemek, amelyek nem képesek szembenézni a rosszindulatú szoftverekkel, tíz évvel később vannak a saját biztonságukban, talán tizenöt" - folytatta. "Ügyfeleik és nem rosszindulatú programok." Van egy második interakció, amely során a társult vállalkozás jóváírja a letöltést; Paxson csapata természetesen kihagyta ezt a lépést.
Öt hónapon belül a kísérlet négy társult programból millió binarist kitevített, amely 9000 különféle malware családot képvisel. Összekapcsolva ezt a 20 leggyakoribb rosszindulatú programcsalád listájával, a csoport úgy döntött, hogy ez a fajta terjesztés elképzelhetően a legfontosabb vektor a rosszindulatú programok terjesztésében. "Megállapítottuk, hogy mintáink körülbelül egy héttel a VirusTotal előtt állnak" - mondta Paxson. "Frissítjük. Amint a brókerek ki akarják húzni, megkapjuk. A VirusTotalon való megjelenés után nem tolja el."
Milyen más bejuthatunk?
A Paxson csapata olyan webhelyeket is felvette, amelyek sokféle szolgáltatás működő számláit árusítják. Megjegyezte, hogy a számlák teljesen érvényesek, és nem pontosan illegálisak, mert "egyetlen bűncselekményük a Szolgáltatási feltételek megsértése". A Facebook és a Google fizet a legjobban ezerre, mert telefonos ellenőrzést igényelnek. A Twitter-fiókok nem annyira drágák.
A Twitter engedélyével a kutatócsoport hamis számlák nagy gyűjteményét vásárolta meg. A fiókok elemzésével - beleértve a Twitter által szolgáltatott metaadatokat is - algoritmust dolgoztak ki ugyanazon automatizált regisztrációs módszerrel létrehozott fiókok detektálására, 99, 462% -os pontossággal. Ennek az algoritmusnak a felhasználásával a Twitter levonta ezeket a fiókokat; Másnap a számlát értékesítő webhelyeknek be kellett jelenteniük, hogy elfogytak. "Jobb lett volna az első használatkor megszüntetni a számlákat" - jegyezte meg Paxson. "Ez zavart okozott volna, és valójában aláásta volna az ökoszisztémát."
Biztosan spam ajánlatot kapott, hogy eladja neked férfi teljesítmény-kiegészítőket, „valódi” Rolexeket és hasonlókat. A közös dolog az, hogy valójában el kell fogadniuk a fizetést és el kell küldeniük a terméket. Rengeteg hivatkozás van a spam beérkező levelek mappába való bejuttatásához, a vásárlás kezeléséhez és a termék neked történő megszerzéséhez. Néhány jogi cikk vásárlásával azt találták, hogy a rendszer gyenge pontja a hitelkártya-tranzakció elszámolását eredményezi. "Ahelyett, hogy megpróbálnánk megzavarni a spamszűrő botnetet, " mondta Paxson, "mi ezt nem tettük hasznossá." Hogyan? Meggyőzték a hitelkártya-szolgáltatót, hogy feketelistára helyezzen három bankot, Azerbajdzsánban, Lettországban, valamint St. Kittsben és Nevisben.
Szóval mi az elvihető? "Egy igazán nagyszabású internetes támadás esetén" - mondta Paxson - nincs egyszerű módszer a beszivárgás megakadályozására. A beszivárgás lényegesen hatékonyabb, mint az egyes végpontok megvédése."
A MalCon egy nagyon kicsi biztonsági konferencia, körülbelül 50 résztvevővel, amely összehozza az akadémiakat, az ipart, a sajtó és a kormányt. Támogatja többek között a Brandeis Egyetem és az Elektromos és Elektronikai Mérnökök Intézete (IEEE). Az idei szponzorok a Microsoft és a Secudit. Néhány évvel később, érettebb kutatásokkal láttam, hogy a MalCon számos cikke megjelenik a Black Hat konferencián, tehát különös figyelmet szentelek az itt bemutatottnak.
