Video: Blackhole Exploit Kit Phishing Attack (Oktober 2024)
Hvis du ønsket å undersøke hvordan et program kan skille ondsinnede e-postmeldinger fra vanlig post, ville du analysere millioner av virkelige prøver, dårlige og gode. Imidlertid, med mindre du har en venn på NSA, vil du ha vanskelig for å få prøvene. Twitter er derimot et kringkastingsmedium. Så godt som hver tweet er synlig for alle som er interessert. Professor Jeanna Matthews og Ph.D. student Joshua White ved Clarkson University utnyttet dette faktum for å oppdage en pålitelig identifikator for tweets generert av Blackhole Exploit Kit. Presentasjonen deres ble anerkjent som den beste artikkelen på den 8. internasjonale konferansen om ondsinnet og uønsket programvare (Malware 2013 kort).
Alle som har trang til å sende spam, opprette en hær av roboter eller stjele personlig informasjon kan komme i gang ved å kjøpe Blackhole Exploit Kit. Matthews rapporterte at ett estimat antyder at BEK var involvert i mer enn halvparten av alle infeksjoner med skadelig programvare i 2012. En annen rapport knytter BEK til 29 prosent av alle ondsinnede nettadresser. Til tross for den nylige arrestasjonen av Blackholes påståtte forfatter er settet et betydelig problem, og en av dets mange måter å spre på innebærer å overta Twitter-kontoer. De infiserte kontoene sender tweets som inneholder koblinger som, hvis det blir klikket, krever sitt neste offer.
Under linjen
Matthews og White samlet flere terabyte med data fra Twitter i løpet av 2012. Hun anslår at datasettet deres inneholder fra 50 til 80 prosent av alle tweets i løpet av den tiden. Det de fikk var mye mer enn bare 140 tegn per tweet. Hver tweetes JSON-topptekst inneholder et vell av informasjon om avsenderen, tweeten og forbindelsen til andre kontoer.
De startet med et enkelt faktum: noen BEK-genererte tweets inneholder spesifikke setninger som "It's you on photo?" eller mer provoserende setninger som "Du var naken på fest) kult foto)." Ved å utvinne det enorme datasettet for disse kjente setningene, identifiserte de infiserte kontoer. Dette lar dem igjen slå nye setninger og andre markører av BEK-genererte tweets.
Selve papiret er vitenskapelig og fullstendig, men sluttresultatet er ganske enkelt. De utviklet en relativt enkel beregning som, når den ble brukt på produksjonen av en gitt Twitter-konto, på en pålitelig måte kunne skille infiserte kontoer fra rene. Hvis kontoen scorer over en bestemt linje, er kontoen fin; under streken er den smittet.
Hvem smittet hvem?
Med denne klare metoden for å skille infiserte kontoer på plass, fortsatte de å analysere smitteprosessen. Anta at konto B, som er ren, følger konto A, som er infisert. Hvis konto B blir smittet like etter et BEK-innlegg av konto A, er sjansen stor for at konto A var kilden. Forskerne modellerte disse forholdene i en klyngediagram som veldig tydelig viste et lite antall kontoer som forårsaker et enormt antall infeksjoner. Dette er kontoer som er opprettet av en Blackhole Exploit Kit-eier spesielt for å spre smitte.
Matthews bemerket at de på dette tidspunktet hadde muligheten til å varsle brukere med kontoer som er infisert, men de mente at dette kan sees på som for inngripende. Hun jobber med å komme sammen med Twitter for å se hva som kan gjøres.
Moderne data mining og big data-analyseteknikker lar forskere finne mønstre og sammenhenger som ganske enkelt hadde vært umulig å nå for bare noen få år siden. Ikke hver søken etter kunnskap lønner seg, men denne gjorde i spar. Jeg håper inderlig professor Matthews klarer å få Twitter interessert i en praktisk anvendelse av denne forskningen.
