Video: The Third Industrial Revolution: A Radical New Sharing Economy (Oktober 2024)
Vern Paxson, professor i elektroteknikk og informatikk ved University of California, Berkeley, er kjent i sikkerhetssamfunnet for et papir fra 2002 med tittelen How to Own the Internet in Your Spare Time (blant mange andre bragder). Basert på en detaljert analyse av Code Red and Nimda ormer, fremmet papiret behovet for et Cyber "Center for Disease Control." I disse dager ser Paxson på en annen modus for å håndtere store sikkerhetsproblemer - infiltrasjon. Hans hovedtaler på den 10. internasjonale konferansen om ondsinnet og uønsket programvare (MalCon 2015 for kort) imponerte meg og de fremmøtte med det enkle i denne tilnærmingen.
Tjen store penger på fritiden
Vil du tjene store penger i malware-industrien? Du trenger ikke å være en koder. Selv om du har disse ferdighetene, trenger du ikke å lære alle aspekter ved å lage og distribuere skadelig programvare. Det er forskjellige jobber i skadelig økosystem.
Nøkkeltallet i dette økosystemet er megleren, fyren som kjenner virksomhet, men ikke koding. Han har to typer kunder. Malware-kodere har ekkel programvare som de ønsker å få installert på mange forbruker-PC-er. Det kan være falske antivirus-, ransomware-, botnet-komponenter, omtrent hva som helst. Så er det tilknyttede selskaper, kodere som har ressursene for å få installert vilkårlig programvare på ubeskyttede systemer. De bruker teknikker som drive-by nedlastinger, spam og phishing for å påføre et system som laster ned.
Nå begynner hjulene å snu. Malware-kodere kontrakter å betale megleren for å få installert koden på så mange systemer som mulig. Tilknyttede selskaper får nedlastere installert på så mange systemer som mulig. Nedlasteren kontakter megleren, som leverer skadelig programvare fra koderne, sannsynligvis flere forekomster. Og tilknyttede selskaper får betalt basert på antall installasjoner. Alle tjener penger på dette PPI-systemet (Pay Per Install), og disse nettverkene er enorme.
"Det er et par glans her, " sa Paxson. "Megleren gjør ikke noe, bryter ikke inn, finner ikke ut utnyttelse. Megleren er bare en mellommann og tar fortjeneste. Tilknyttede selskaper trenger ikke å forhandle med skurkene eller vite hva de skal gjøre etter innbrudd. Alle medlemmene må bare gjøre sitt."
Bad Guys Have Bad Security
"Historisk sett har deteksjon av nettverksangrep vært et spill av en smell-en-føflekk, " bemerket Paxson. Luft ned ett angrep, et annet dukker opp. Det er ikke et spill du kan vinne.
Teamet hans prøvde en annen tilnærming mot dette PPI-systemet. De fanget prøver av forskjellige nedlastere og omvendt konstruerte dem for å finne ut hvordan de kommuniserer med sine respektive meglere. Bevæpnet med denne informasjonen, utarbeidet de et system for å sprenge megleren med forespørsler om nedlastbar malware. Paxson kaller denne teknikken for å "melke" malware-megleren.
"Du skulle tro at dette ville mislykkes, " sa Paxson. "Megleren har vel et slags autentiseringssystem, eller takstbegrensende?" Men som det viser seg, gjør de ikke det. - Nettkriminalitetselementene som ikke er skadelige mot malware er ti år etter i egen sikkerhet, kanskje femten, fortsatte han. "De er kundevendte og ikke malware-vendt." Det er en annen interaksjon som tilknyttede selskaper krever kreditt for nedlastingen. Paxsons team hoppet naturlig nok over det trinnet.
I løpet av fem måneder melket eksperimentet ut en million binære filer, som representerte 9000 forskjellige malware-familier, fra fire tilknyttede programmer. Korrelerer dette med en liste over de 20 vanligste skadeprogrammene for skadelig programvare, bestemte teamet at denne typen distribusjon kan tenkes å være nummer én-vektoren for distribusjon av skadelig programvare. "Vi fant at prøvene våre var omtrent en uke foran VirusTotal, " sa Paxson. "Vi får det friskt. Så snart meglerne vil skyve det ut, får vi det. Når det først er på VirusTotal, skyver du ikke det."
Hva annet kan vi infiltrere?
Paxsons team tok også på seg nettsteder som selger arbeidskontoer for mange forskjellige tjenester. Han bemerket at regnskapet er fullstendig gyldig, og ikke nøyaktig ulovlig, fordi "deres eneste lovbrudd er i strid med vilkårene for bruk." Facebook og Google koster mest promille, fordi de krever telefonbekreftelse. Twitter-kontoer er ikke like dyre.
Med Twitter's tillatelse kjøpte forskergruppen en stor samling av falske kontoer. Ved å analysere kontoene, inkludert metadata levert av Twitter, utviklet de en algoritme for å oppdage kontoer opprettet ved hjelp av den samme automatiserte registreringsteknikken, med 99.462% nøyaktighet. Ved hjelp av denne algoritmen tok Twitter ned kontoene; dagen etter måtte kontoselgende nettsteder kunngjøre at de var utsolgt. "Det hadde vært bedre å avslutte regnskapet ved første bruk, " bemerket Paxson. "Det ville ha skapt forvirring og faktisk undergravet økosystemet."
Du har helt sikkert fått spam tilbud om å selge mannlige ytelsestilskudd, "ekte" Rolexes og slikt. Det de har til felles er at de faktisk må godta betaling og sende deg produktet. Det er mange koblinger involvert i å få spam til innboksen, håndtere kjøpet og få produktet til deg. Ved å faktisk kjøpe noen juridiske ting, fant de ut at den svake lenken i dette systemet fikk kredittkorttransaksjonen tømt. "Heller enn å prøve å forstyrre det spam-spytende botnettet, " sa Paxson, "vi gjorde det ikke nyttig." Hvordan? De overbeviste kredittkortleverandøren om å svarteliste tre banker, i Aserbajdsjan, Latvia og St. Kitts og Nevis.
Så hva er takeaway? "Med et virkelig storskala internettangrep, " sa Paxson, "er det ingen enkel måte å forhindre infiltrasjon. Infiltrasjon er betydelig mer effektiv enn å prøve å beskytte hvert sluttpunkt."
MalCon er en veldig liten sikkerhetskonferanse, rundt 50 deltagere, som bringer akademikere, industri, presse og regjering sammen. Det støttes av Brandeis University og Institute of Electrical and Electronics Engineers (IEEE), blant andre. Årets sponsorer inkluderer Microsoft og Secudit. Jeg har sett en rekke artikler fra MalCon vises noen år senere, med mer moden forskning, på Black Hat-konferansen, så jeg følger nøye med på hva som presenteres her.
