Video: Nov 20 Lucy’s Herd Welcomes the Rut, Triplets, Twins, Big Bucks!! (November 2024)
Vern Paxson, Profesor Kejuruteraan Elektrik dan Sains Komputer di University of California, Berkeley, terkenal dalam komuniti keselamatan untuk sebuah kertas bertajuk 2002 Bagaimana Memiliki Internet dalam Masa Sarang Anda (di antara banyak kegagalan lain). Berdasarkan analisis terperinci cacing Kod Merah dan Nimda, kertas itu mempromosikan keperluan untuk "Pusat Penyakit Penyakit Cyber". Hari-hari ini, Paxson sedang mencari mod yang berbeza untuk menangani masalah keselamatan berskala besar-penyusupan. Keynote beliau pada Persidangan Antarabangsa ke-10 mengenai Perisian yang Merosakkan dan Tidak Diingini (MalCon 2015 untuk jangka pendek) kagum saya dan para hadirin dengan keterlibatan pendekatan ini.
Buat Big Bucks dalam Masa Sarang Anda
Ingin membuat duit besar di dalam industri perisian malware? Anda tidak perlu menjadi pengkod. Walaupun anda mempunyai kemahiran itu, anda tidak perlu belajar semua aspek untuk membuat dan mengedarkan perisian hasad. Terdapat pelbagai pekerjaan yang berbeza dalam ekosistem malware.
Angka utama dalam ekosistem ini adalah broker, orang yang tahu perniagaan tetapi tidak pengkodean. Dia mempunyai dua jenis pelanggan. Coders perisian jahat mempunyai perisian jahat yang mereka ingin dipasang pada banyak PC pengguna. Ia boleh menjadi antivirus palsu, ransomware, komponen botnet, apa sahaja. Kemudian ada sekutu, coder yang mempunyai sumber daya untuk mendapatkan perisian sewenang-wenang yang dipasang pada sistem yang tidak dilindungi. Mereka menggunakan teknik seperti pengunduhan, spam, dan phishing untuk menimbulkan pengunderaitan pada sistem mangsa.
Sekarang roda mula beralih. Kontrak coders malware untuk membayar broker untuk mendapatkan kod mereka dipasang pada seberapa banyak sistem yang mungkin. Affiliates mendapatkan pengunduh yang dipasang pada banyak sistem yang mungkin. Pemuat muat turun broker, yang membekalkan perisian hasad dari coders, mungkin beberapa contoh. Dan ahli gabungan dibayar mengikut jumlah pemasangan. Semua orang membuat wang dalam sistem Pay Per Install (PPI) ini, dan rangkaian ini sangat besar.
"Terdapat beberapa kebanggaan di sini, " kata Paxson. "Broker itu tidak melakukan apa-apa, tidak memasuki, tidak memikirkan eksploitasi. Broker itu hanya seorang perantara, mengambil keuntungan. Gabungan tidak perlu berunding dengan penjenayah atau tahu apa yang harus dilakukan selepas berbuka. Semua ahli hanya perlu melakukan bahagian mereka."
Lelaki Bad Mempunyai Keselamatan Buruk
"Dari segi sejarah, pengesanan serangan rangkaian telah menjadi permainan pemukul-lalat, " kata Paxson. Terjejas satu serangan, satu lagi muncul. Bukan permainan yang boleh anda menang.
Pasukannya mencuba pendekatan yang berbeza terhadap sistem PPI ini. Mereka menangkap sampel pelbagai pengunduh dan membina semula mereka untuk menentukan bagaimana mereka berkomunikasi dengan broker masing-masing. Berbekalkan maklumat ini, mereka mencipta satu sistem untuk meledakkan broker dengan permintaan untuk malware yang boleh dimuat turun. Paxson menyebut teknik ini "memerah" broker malware.
"Anda fikir ini akan gagal, " kata Paxson. "Sememangnya broker mempunyai beberapa jenis sistem pengesahan, atau mengehadkan kadar?" Tetapi ternyata, mereka tidak. "Unsur siber yang tidak menghadapi malware adalah sepuluh tahun di belakang dengan keselamatan mereka sendiri, mungkin lima belas tahun, " lanjutnya. "Mereka menghadapi pelanggan, bukan menghadapi malware." Terdapat interaksi kedua yang mana affiliate mengaku kredit untuk memuat turun; Pasukan Paxson secara semula jadi melangkau langkah itu.
Dalam tempoh lima bulan, eksperimen itu mengeluarkan sejuta binari, yang mewakili 9, 000 keluarga malware yang berbeza, dari empat program sekutu. Menyelaraskan ini dengan senarai 20 keluarga malware yang paling biasa, pasukan menentukan bahawa pengedaran jenis ini boleh dianggap sebagai vektor nombor satu untuk pengedaran malware. "Kami mendapati contoh kami adalah kira-kira seminggu lebih awal dari VirusTotal, " kata Paxson. "Kami mendapatkannya segar, sebaik sahaja broker ingin menolaknya, kami akan mendapatnya. Sekali ia berada di VirusTotal, anda tidak menolaknya."
Apa yang Boleh Kita Menyusup?
Pasukan Paxson juga mengambil laman web yang menjual akaun kerja untuk pelbagai perkhidmatan yang berbeza. Dia menyatakan bahawa akaun-akaun itu benar-benar sah, dan tidak semestinya menyalahi undang-undang, kerana "satu-satunya kesalahan mereka melanggar Syarat Perkhidmatan." Facebook dan Google berharga paling seribu, kerana mereka memerlukan pengesahan telefon. Akaun Twitter tidak begitu mahal.
Dengan kebenaran Twitter, kumpulan penyelidikan membeli koleksi akaun palsu yang besar. Dengan menganalisis akaun, termasuk metadata yang dibekalkan oleh Twitter, mereka mengembangkan algoritma untuk mengesan akaun yang dibuat menggunakan teknik pendaftaran automatik yang sama, dengan ketepatan 99.462%. Menggunakan algoritma ini, Twitter mengambil akaun tersebut; Keesokan harinya, laman web yang menjual akaun harus mengumumkan bahawa mereka telah kehabisan stok. "Adalah lebih baik untuk menamatkan akaun pada penggunaan pertama, " kata Paxson. "Itu akan menimbulkan kekeliruan dan sebenarnya menjejaskan ekosistem."
Anda pastinya mendapat tawaran spam untuk menjual anda tambahan prestasi lelaki, Rolexes "sebenar", dan sebagainya. Perkara yang mereka mempunyai persamaan ialah mereka sebenarnya perlu menerima pembayaran dan menghantar produk kepada anda. Terdapat banyak pautan yang terlibat dalam mendapatkan spam ke dalam Peti Masuk anda, mengendalikan pembelian anda, dan mendapatkan produk kepada anda. Dengan sebenarnya membeli beberapa item undang-undang, mereka mendapati bahawa pautan lemah dalam sistem ini telah mendapat transaksi kad kredit dihapuskan. "Daripada cuba mengganggu botnet spam-memuntahkan, " kata Paxson, "kami menjadikannya tidak bermanfaat." Bagaimana? Mereka meyakinkan pembekal kad kredit untuk menyenaraihitamkan tiga bank, di Azerbaijan, Latvia, dan St. Kitts dan Nevis.
Jadi, apa yang perlu dilakukan? "Dengan serangan Internet yang sangat besar, " kata Paxson, "tidak ada cara mudah untuk mencegah penyusupan. Penyusupan jauh lebih berkesan daripada cuba melindungi setiap titik akhir."
MalCon adalah persidangan keselamatan yang sangat kecil, sekitar 50 hadirin, yang membawa akademik, industri, akhbar, dan kerajaan bersama-sama. Ia disokong oleh Brandeis University dan Institute of Electrical and Electronics Engineers (IEEE), antara lain. Penaja tahun ini termasuk Microsoft dan Secudit. Saya telah melihat beberapa kertas kerja dari MalCon muncul beberapa tahun kemudian, dengan penyelidikan yang lebih matang, di persidangan Black Hat, jadi saya perhatikan apa yang dibentangkan di sini.
