Video: Фильм 14+ «История первой любви» Смотреть в HD (September 2024)
Vern Paxson, professor i elektroteknik och datavetenskap vid University of California, Berkeley, är känd i säkerhetssamhället för ett papper från 2002 med titeln How to Own the Internet in Your Spare Time (bland många andra feats). Baserat på en detaljerad analys av kodröda och Nimda-maskar, främjade pappret behovet av ett Cyber "Center for Disease Control." Idag tittar Paxson på ett annat läge för att hantera storskaliga säkerhetsproblem - infiltration. Hans grundton på den 10: e internationella konferensen om skadlig och oönskad programvara (MalCon 2015 för kort) imponerade på mig och de deltagande med det enkla tillvägagångssättet.
Tjäna stora pengar på din fritid
Vill du tjäna stora pengar på skadlig kodindustrin? Du behöver inte vara en kodare. Även om du har dessa färdigheter, behöver du inte lära dig alla aspekter av att skapa och distribuera skadlig programvara. Det finns olika olika jobb i skadliga ekosystem.
Nyckelfiguren i detta ekosystem är mäklaren, killen som känner till affärer men inte kodar. Han har två typer av kunder. Programvarukodare har otäck programvara som de vill installera på många konsumentdatorer. Det kan vara falska antivirus, ransomware, botnet-komponenter, nästan vad som helst. Sedan finns det dotterbolagen, kodarna som har resurserna för att få godtycklig programvara installerad på oskyddade system. De använder tekniker som nedladdning av drivrutiner, skräppost och phishing för att tillföra en nedladdare till offersystem.
Nu börjar hjulen att vrida. Malware-kodare avtalar om att betala mäklaren för att få sin kod installerad på så många system som möjligt. Dotterbolagen får nedladdare installerade på så många system som möjligt. Nedladdaren kontaktar mäklaren, som levererar skadlig programvara från kodarna, antagligen flera instanser. Och dotterbolagen får betalt baserat på antalet installationer. Alla tjänar pengar i detta PPI-system (Pay Per Install), och dessa nätverk är enorma.
"Det finns ett par briljanser här, " sade Paxson. "Mäklaren gör ingenting, bryter inte in, räknar inte ut utnyttjelser. Mäklaren är bara en mellanhand och tar vinster. Dotterbolag behöver inte förhandla med skurkar eller vet vad de ska göra efter att ha brutit in. Alla medlemmarna måste bara göra sin del."
Dåliga killar har dålig säkerhet
"Historiskt sett har upptäckten av nätattacker varit ett spel med whack-a-mole, " konstaterade Paxson. Smacka ner en attack, en annan dyker upp. Det är inte ett spel du kan vinna.
Hans team försökte en annan strategi mot detta PPI-system. De tog prover av olika nedladdare och omarbetade dem för att avgöra hur de kommunicerar med sina respektive mäklare. Beväpnad med denna information, de utformade ett system för att spränga mäklaren med begäran om nedladdningsbar skadlig programvara. Paxson kallar denna teknik "mjölkning" av mäklaren för malware.
"Du skulle tro att detta skulle misslyckas, " sade Paxson. "Visst har mäklaren ett slags autentiseringssystem, eller hastighetsbegränsande?" Men som det visar sig, det gör de inte. "Cyberbrottselement som inte är skadliga mot skadlig program är tio år efter i sin egen säkerhet, kanske femton, " fortsatte han. "De är kundorienterade, inte skadliga mot malware." Det finns en andra interaktion genom vilken filialen kräver kredit för nedladdningen; Paxsons team hoppade naturligtvis av det steget.
På fem månader mjölkade experimentet ut en miljon binärer, som representerade 9000 distinkta skadefamiljer, från fyra partnerprogram. Korrelerande detta med en lista över de 20 vanligaste skadefamiljfamiljerna bestämde teamet att denna typ av distribution tänkbart kan vara nummer ett för vektordistribution. "Vi fann att våra prover var ungefär en vecka före VirusTotal, " sade Paxson. "Vi får det friskt. Så fort mäklarna vill driva ut det, får vi det. När det är på VirusTotal så skjuter du inte på det."
Vilket annat kan vi infiltrera?
Paxsons team tog också på webbplatser som säljer arbetskonton för många olika tjänster. Han noterade att kontona är helt giltiga, och inte exakt olagliga, eftersom "deras enda brott bryter mot användarvillkoren." Facebook och Google kostar högst tusen, eftersom de kräver telefonverifiering. Twitter-konton är inte lika dyra.
Med Twitter tillstånd köpte forskargruppen en stor samling av falska konton. Genom att analysera kontona, inklusive metadata levererade av Twitter, utvecklade de en algoritm för att upptäcka konton skapade med samma automatiserade registreringsteknik, med 99.462% noggrannhet. Med hjälp av denna algoritm tog Twitter ned dessa konton; nästa dag måste kontotsäljande webbplatser meddela att de var slut. "Det hade varit bättre att säga upp kontona vid första användningen", konstaterade Paxson. "Det skulle ha skapat förvirring och faktiskt underminerat ekosystemet."
Du har säkert fått skräppostbjudanden för att sälja dina manliga prestandatillskott, "riktiga" Rolexes och så. Det som de har gemensamt är att de faktiskt måste acceptera betalning och skicka produkten till dig. Det finns massor av länkar involverade i att få skräppost till din inkorg, hantera ditt köp och få produkten till dig. Genom att faktiskt köpa några juridiska artiklar fann de att den svaga länken i det här systemet fick kreditkorttransaktionen att rensas. "Snarare än att försöka störa botnätet för skräppost, " sade Paxson, "vi gjorde det inte användbart." På vilket sätt? De övertygade kreditkortsleverantören om att svartlista tre banker, i Azerbajdzjan, Lettland och St. Kitts och Nevis.
Så vad är takeaway? "Med en riktigt storskalig Internetattack, " sa Paxson, "finns det inget enkelt sätt att förhindra infiltration. Infiltration är betydligt effektivare än att försöka skydda varje slutpunkt."
MalCon är en mycket liten säkerhetskonferens, cirka 50 deltagare, som förenar akademiker, industri, press och regering. Det stöds av Brandeis University och Institute of Electrical and Electronics Engineers (IEEE), bland andra. Årets sponsorer inkluderar Microsoft och Secudit. Jag har sett ett antal artiklar från MalCon dyka upp några år senare, med mogenare forskning, på Black Hat-konferensen, så jag följer noga vad som presenteras här.
