Video: Practical Malware Analysis Essentials for Incident Responders (Oktober 2024)
På RSA-konferansen var det mye snakk om tilknyttede nettverk - det vil si menneskene og selskapene som bevisst eller uvitende hjelper til med å spre malware, bygge botnett og gjøre ugudelige aktiviteter mulige og lønnsomme for individene som driver disse bestrebelsene. Selv om disse tilknyttede selskapene har bidratt til å gjøre skadelig programvare farligere, kan de også være nøkkelen til å slå av skurkene.
Mange antar antagelig at ne'er-do-brønner bak malware-operasjoner bare er ansvarlige for å lage og distribuere den til ofre. Dette er imidlertid ikke tilfelle. Ved å ta en side fra organisasjoner som Amway, bruker malware-skapere faktisk individer til å spre den for dem, enten gjennom phishing-svindel, malvertisering eller andre vektorer. Tilknyttede selskaper kan også være frilansoversettere eller kredittkortbehandlingsselskaper som ubevisst hjelper til nettkriminalitetsaktiviteter.
Hva tilknyttede selskaper gjør
Tilknyttede nettverk kan ta mange former og tilsynelatende spore sine røtter til "falske AV" fra rundt 2008. Sophos 'senior sikkerhetsrådgiver Chester Wisniewski forklarte hvordan de med falske AV-skapere innhentet hjelp fra legitime entreprenører og selskaper for å hjelpe til med å produsere deres farlige produkt. "Det måtte se profesjonelt ut, " sa han og refererte til grafisk design av falske AV-produkter. "Og det måtte kjøpes på samme måte som du kjøper ekte AV."
I det tilknyttede nettverksspillet kan pengene være ganske bra. I følge Fortinets sikkerhetsstrateg Richard Henderson, hvis selskap ser på botnett og nettkriminalitetsoperasjoner, pleide noen tilknyttede selskaper å tjene $ 0, 10 per infeksjon. Dette tallet har angivelig økt til $ 0, 50 per infeksjon. Han siterte det nylige Citadel-angrepet fra NBC.com, der en annonse lastet malware inn på brukerens datamaskiner. Han estimerte at med en konservativ 75 000-100 000 infeksjoner, for et tilknyttet selskap, "som genererer $ 50 000 for noen timers arbeid."
Wisniewski, som siterer nylige ransomware-angrep, som lurer ofre til å betale ut angripere etter å ha grepet kontrollen over datamaskinene sine, sa at Sophos mistenker skaperne av skadelig programvare som går så langt som å ansette profesjonelle oversettere for å bedre lokalisere angrepene. I motsetning til mange phishing-e-poster, sa han at disse angrepene hadde nesten perfekt grammatikk på målets morsmål.
I tillegg til å spre malware, gjør tilknyttede selskaper det også vanskeligere å stoppe. For det første legger tilknyttede selskaper et lag mellom skaperne av malware og botnett, og de som prøver å stoppe dem. For en annen gjør det at malware-angrep blir mindre generiske. "Fordi de driver ut arbeidet, er det forskjellige typer sosialteknikk, et annet angrep, " forklarte Henderson. Så i stedet for at botnet building malware blir sendt ut med den samme phishing-meldingen, kan forskjellige tilknyttede selskaper prøve å kjøre ved nedlastinger, malvertising eller en annen vektor.
Slåss tilbake
Mens tilknyttede selskaper gjør virksomheten med sikkerhet mye, mye vanskeligere, gir de også et middel til å stenge angripere. Fordi mange tilknyttede selskaper blir betalt for arbeidet sitt, kan lovhåndhevelse arbeide for å gjøre det arbeidet uøkonomisk. Nesten hver sikkerhetsekspert jeg snakket med på RSA var enig i at å kutte av pengene i stor grad kunne begrense ondsinnet aktivitet.
Sophos 'Wisniewski fortalte hvordan kredittkortselskapene i Fake AV ble overtalt til å slutte å behandle betalinger og dermed kvalt malware-skaperne fra pengemengden. "En stund var VISA den eneste, " sa han. "Akkurat som OL, " med henvisning til hvordan VISA var det eneste kortet som ble akseptert på de internasjonale spillene.
Selvfølgelig krever innsatsen for å gjøre tilknyttede nettverk en uøkonomisk rute samarbeid mellom sikkerhetsselskaper, rettshåndhevelse og noen ganger til og med tilknyttede selskaper selv. Heldigvis sa mange av leverandørene og ekspertene jeg snakket med hos RSA at informasjonsdeling aldri har vært bedre.
Sørg for å holde deg oppdatert med flere av innleggene våre fra RSA!
