Videó: Blackhole Exploit Kit Phishing Attack (November 2024)
Ha azt szeretné kutatni, hogy egy program hogyan képes megkülönböztetni a rosszindulatú e-maileket a szokásos levelektől, akkor több millió valós mintát kíván elemezni, rossz és jó. Ha azonban nincs barátja az NSA-n, akkor nehezen tudna beszerezni ezeket a mintákat. A Twitter viszont egy sugárzott médium. Gyakorlatilag minden tweet látható az érdeklődők számára. Jeanna Matthews professzor és Ph.D. Joshua White, a Clarkson Egyetem hallgatója kihasználta ezt a tényt, hogy megbízható azonosítót találjon a Blackhole Exploit Kit által létrehozott tweetek számára. Bemutatásukat a 8. rosszindulatú és nem kívánt szoftverekkel foglalkozó nemzetközi konferencia (röviden a Malware 2013) legjobb papírjának elismerték.
Bárki, aki sürget spam küldésére, robotok seregeinek létrehozására vagy személyes adatok eltulajdonítására, megkezdi a Blackhole Exploit Kit megvásárlását. Matthews szerint egy becslés szerint a BEK 2012-ben az összes rosszindulatú program több mint felében részt vett. Egy másik jelentés a BEK-t az összes rosszindulatú URL 29% -ához köti. Annak ellenére, hogy Blackhole állítólagos szerzőjét nemrég letartóztatták, a készlet jelentős probléma, és terjedésének számos módja a Twitter-fiókok átvétele. A fertőzött fiókok olyan linket tartalmazó tweetet küldnek, amelyre kattintva állítják be a következő áldozatot.
A vonal alatt
Matthews és White több terabyte adatot gyűjtött a Twitterből 2012 folyamán. Úgy becsüli, hogy adatkészletük az összes tweet 50-80% -át tartalmazza az idő alatt. Amit sokkal többet kaptak, mint egy tweetenkénti 140 karakter. Minden egyes tweet JSON-fejléce rengeteg információt tartalmaz a feladóról, a tweetről és annak kapcsolatáról más fiókokkal.
Egy egyszerű tényvel kezdték: néhány BEK által generált tweet olyan kifejezéseket tartalmaz, mint például: "Te vagy a fotón?" vagy provokatívabb mondatok, például: "Meztelen voltál a partin (jó fotó)". Az ismert mondatok hatalmas adatkészletének bányászásával azonosították a fertőzött fiókokat. Ez viszont lehetővé teszi számukra, hogy új kifejezéseket és a BEK által generált tweet más jelölőit hozzák létre.
Maga a papír tudományos és teljes, de a végeredmény meglehetősen egyszerű. Egy viszonylag egyszerű mérőszámot fejlesztettek ki, amely egy adott Twitter-fiók kimenetére alkalmazva megbízhatóan elválaszthatja a fertőzött fiókokat a tiszta fiókoktól. Ha a számla egy bizonyos vonal fölé emelkedik, akkor a számla rendben van; a vonal alatt fertőzött.
Ki fertőzött ki?
A fertőzött számlák megkülönböztetésére szolgáló egyértelmű módszerrel tovább analizálták a fertőzés folyamatát. Tegyük fel, hogy a tiszta B számla követi a fertőzött A számlát. Ha a B számla azonnal megfertőződik az A számla BEK utáni postázása után, nagyon valószínű, hogy az A számla volt a forrás. A kutatók ezeket a kapcsolatokat egy klaszterdiagramban modellezték, amely nagyon egyértelműen kis számú számot mutatott fel, amelyek óriási számú fertőzést okoztak. Ezek a Blackhole Exploit Kit tulajdonos által kifejezetten a fertőzés terjesztése céljából létrehozott számlák.
Matthews megjegyezte, hogy ezen a ponton képesek voltak értesíteni a fertőzött fiókkal rendelkező felhasználókat, ám úgy gondolták, hogy ez túl invazívnak tekinthető. Dolgozik azon, hogy összekapcsolódjon a Twitter-rel, hogy megnézze, mit lehet tenni.
A modern adatbányászat és a nagy adatelemzési technikák lehetővé teszik a kutatók számára, hogy olyan mintákat és kapcsolatokat találjanak, amelyeket néhány évvel ezelőtt egyszerűen lehetetlen volt elérni. Nem minden tudáskeresés kifizetődik, ám ez ásókban történt. Őszintén remélem, Matthews professzornak sikerült felhívnia a Twitter figyelmét e kutatás gyakorlati alkalmazására.
