Trang Chủ Nhận xét Kiếm nhiều tiền để phân phối phần mềm độc hại (nhưng không)

Kiếm nhiều tiền để phân phối phần mềm độc hại (nhưng không)

Video: Chiến dịch thất bại của quân đội Australia trước đàn đà điểu năm 1932 (Tháng mười một 2024)

Video: Chiến dịch thất bại của quân đội Australia trước đàn đà điểu năm 1932 (Tháng mười một 2024)
Anonim

Vern Paxson, Giáo sư Kỹ thuật Điện và Khoa học Máy tính tại Đại học California, Berkeley, nổi tiếng trong cộng đồng bảo mật cho một bài báo năm 2002 có tựa đề Cách sở hữu Internet trong thời gian rảnh rỗi của bạn (trong số nhiều kỳ công khác). Dựa trên một phân tích chi tiết về sâu Red Code và Nimda, bài báo đã thúc đẩy sự cần thiết của một "Trung tâm kiểm soát dịch bệnh". Những ngày này, Paxson đang xem xét một chế độ khác để xử lý các vấn đề bảo mật quy mô lớn Xâm nhập. Bài phát biểu của ông tại Hội nghị quốc tế lần thứ 10 về Phần mềm độc hại và không mong muốn (gọi tắt là MalCon 2015) đã gây ấn tượng với tôi và những người tham dự với sự thẳng thắn của phương pháp này.

Kiếm nhiều tiền trong thời gian rảnh rỗi

Bạn muốn kiếm được nhiều tiền trong ngành công nghiệp phần mềm độc hại? Bạn không cần phải là một lập trình viên. Ngay cả khi bạn có những kỹ năng đó, bạn không phải tìm hiểu tất cả các khía cạnh tạo và phân phối phần mềm độc hại. Có nhiều công việc khác nhau trong hệ sinh thái phần mềm độc hại.

Nhân vật quan trọng trong hệ sinh thái này là người môi giới, anh chàng biết kinh doanh nhưng không biết viết mã. Ông có hai loại khách hàng. Các lập trình viên phần mềm độc hại có phần mềm khó chịu mà họ muốn cài đặt trên nhiều PC tiêu dùng. Nó có thể là phần mềm chống vi-rút giả, ransomware, các thành phần botnet, bất cứ thứ gì. Sau đó, có các chi nhánh, lập trình viên có tài nguyên để cài đặt phần mềm tùy ý trên các hệ thống không được bảo vệ. Họ sử dụng các kỹ thuật như tải xuống theo ổ đĩa, spam và lừa đảo để gây ra một trình tải xuống trên các hệ thống nạn nhân.

Bây giờ các bánh xe bắt đầu quay. Các lập trình viên phần mềm độc hại hợp đồng trả tiền cho nhà môi giới để cài đặt mã của họ trên càng nhiều hệ thống càng tốt. Các chi nhánh được cài đặt các trình tải xuống trên càng nhiều hệ thống càng tốt. Trình tải xuống liên hệ với nhà môi giới, người cung cấp phần mềm độc hại từ các lập trình viên, có thể là nhiều trường hợp. Và các chi nhánh được trả tiền dựa trên số lượng cài đặt. Mọi người đều kiếm được tiền trong hệ thống Pay Per Install (PPI) này và các mạng này rất lớn.

"Có một vài sáng chói ở đây, " Paxson nói. "Người môi giới không làm gì cả, không đột nhập, không tìm ra cách khai thác. Người môi giới chỉ là người trung gian, thu lợi nhuận. Các chi nhánh không phải thương lượng với những kẻ xấu hoặc biết phải làm gì sau khi đột nhập. Tất cả các thành viên chỉ cần làm phần của họ. "

Kẻ xấu có an ninh xấu

"Trong lịch sử, phát hiện các cuộc tấn công mạng là một trò chơi vô bổ, " Paxson lưu ý. Đập xuống một cuộc tấn công, một cuộc tấn công khác bật lên. Đây không phải là một trò chơi bạn có thể giành chiến thắng.

Nhóm của ông đã thử một cách tiếp cận khác với hệ thống PPI này. Họ đã bắt được các mẫu của các trình tải xuống khác nhau và thiết kế ngược chúng để xác định cách chúng giao tiếp với các nhà môi giới tương ứng. Được trang bị thông tin này, họ đã nghĩ ra một hệ thống để làm nổ tung nhà môi giới với các yêu cầu về phần mềm độc hại có thể tải xuống. Paxson gọi kỹ thuật này là "vắt sữa" nhà môi giới phần mềm độc hại.

"Bạn sẽ nghĩ rằng điều này sẽ thất bại, " Paxson nói. "Chắc chắn nhà môi giới có một số loại hệ thống xác thực, hoặc giới hạn tỷ lệ?" Nhưng hóa ra, họ không. "Các yếu tố tội phạm mạng không phải là phần mềm độc hại phải đối mặt với sự chậm trễ mười năm trong bảo mật của chính họ, có thể là mười lăm, " ông tiếp tục. "Họ là khách hàng, không phải là phần mềm độc hại." Có một tương tác thứ hai mà liên kết yêu cầu tín dụng cho việc tải xuống; Đội của Paxson tự nhiên bỏ qua bước đó.

Trong năm tháng, thử nghiệm đã thu được một triệu nhị phân, đại diện cho 9.000 gia đình phần mềm độc hại khác nhau, từ bốn chương trình liên kết. Tương quan điều này với danh sách 20 họ phần mềm độc hại phổ biến nhất, nhóm đã xác định rằng loại phân phối này có thể hình dung là véc tơ số một cho phân phối phần mềm độc hại. "Chúng tôi đã tìm thấy các mẫu của chúng tôi đã đi trước VirusTotal khoảng một tuần", Paxson nói. "Chúng tôi đang làm cho nó mới. Ngay sau khi các nhà môi giới muốn đẩy nó ra, chúng tôi sẽ nhận được nó. Một khi đã có trên VirusTotal, bạn không nên đẩy nó."

Những gì chúng ta có thể xâm nhập?

Nhóm của Paxson cũng đã đưa vào các trang web bán tài khoản làm việc cho nhiều dịch vụ khác nhau. Ông lưu ý rằng các tài khoản là hoàn toàn hợp lệ và không chính xác là bất hợp pháp, bởi vì "hành vi phạm tội duy nhất của họ là vi phạm Điều khoản dịch vụ". Facebook và Google có giá cao nhất, vì họ yêu cầu xác minh qua điện thoại. Tài khoản Twitter không quá đắt.

Với sự cho phép của Twitter, nhóm nghiên cứu đã mua một bộ sưu tập lớn các tài khoản giả. Bằng cách phân tích các tài khoản, bao gồm siêu dữ liệu do Twitter cung cấp, họ đã phát triển một thuật toán để phát hiện các tài khoản được tạo bằng cùng một kỹ thuật đăng ký tự động, với độ chính xác 99, 162%. Sử dụng thuật toán này, Twitter đã gỡ bỏ các tài khoản đó; ngày hôm sau, các trang web bán tài khoản phải thông báo họ đã hết hàng. "Sẽ tốt hơn nếu chấm dứt các tài khoản trong lần sử dụng đầu tiên, " Paxson lưu ý. "Điều đó sẽ tạo ra sự nhầm lẫn và thực sự phá hoại hệ sinh thái."

Bạn chắc chắn đã nhận được thư mời spam để bán cho bạn các chất bổ sung hiệu suất nam, Rolexes "thực", v.v. Điểm chung của họ là họ thực sự phải chấp nhận thanh toán và giao cho bạn sản phẩm. Có hàng tấn liên kết liên quan đến việc đưa thư rác vào Hộp thư đến của bạn, xử lý việc mua hàng của bạn và đưa sản phẩm đến cho bạn. Bằng cách thực sự mua một số mặt hàng hợp pháp, họ thấy rằng liên kết yếu trong hệ thống này đã bị xóa giao dịch thẻ tín dụng. "Thay vì cố gắng phá vỡ mạng botnet spam, " Paxson nói, "chúng tôi đã khiến nó không hữu ích." Làm sao? Họ đã thuyết phục nhà cung cấp thẻ tín dụng vào danh sách đen ba ngân hàng ở Azerbaijan, Latvia và St. Kitts và Nevis.

Vì vậy, những gì takeaway? "Với một cuộc tấn công Internet quy mô thực sự lớn", Paxson nói, "không có cách nào dễ dàng để ngăn chặn sự xâm nhập. Xâm nhập có hiệu quả hơn đáng kể so với việc cố gắng bảo vệ từng điểm cuối."

MalCon là một hội nghị bảo mật rất nhỏ, khoảng 50 người tham dự, mang các học giả, ngành công nghiệp, báo chí và chính phủ lại với nhau. Nó được hỗ trợ bởi Đại học Brandeis và Viện Kỹ sư Điện và Điện tử (IEEE), trong số những người khác. Các nhà tài trợ năm nay bao gồm Microsoft và Secudit. Tôi đã thấy một số bài báo từ MalCon xuất hiện vài năm sau đó, với nghiên cứu trưởng thành hơn, tại hội nghị Mũ Đen, vì vậy tôi rất chú ý đến những gì được trình bày ở đây.

Kiếm nhiều tiền để phân phối phần mềm độc hại (nhưng không)