Video: Finding iOS Kernel Exploit // SockPuppet Jailbreak - CVE-2019-8605 (September 2024)
Om du ville undersöka hur ett program kunde skilja skadliga e-postmeddelanden från vanligt e-postmeddelande, skulle du vilja analysera miljoner exemplar i verkligheten, dåliga och bra. Men om du inte har en vän på NSA skulle du ha svårt att få dessa prover. Twitter är å andra sidan ett sändningsmedium. Praktiskt taget varje tweet är synlig för alla som är intresserade. Professor Jeanna Matthews och Ph.D. student Joshua White vid Clarkson University utnyttjade detta faktum för att upptäcka en pålitlig identifierare för tweets genererade av Blackhole Exploit Kit. Deras presentation erkändes som det bästa uppsatsen på den 8: e internationella konferensen om skadlig och oönskad programvara (Malware 2013 för kort).
Alla med en lust att skicka skräppost, skapa en armé av bots eller stjäla personlig information kan komma igång genom att köpa Blackhole Exploit Kit. Matthews rapporterade att en uppskattning antyder att BEK var involverad i mer än hälften av alla skadliga infektioner under 2012. En annan rapport kopplar BEK till 29 procent av alla skadliga webbadresser. Trots den senaste gripandet av Blackholes påstådda författare är kit ett betydande problem, och ett av dess många sätt att sprida innebär att ta över Twitter-konton. De infekterade kontona skickar tweets med länkar som, om de klickas, gör anspråk på sitt nästa offer.
Under linjen
Matthews och White samlade in flera terabyte data från Twitter under loppet av 2012. Hon uppskattar att deras datauppsättning innehåller från 50 till 80 procent av alla tweets under den tiden. Vad de fick var mycket mer än bara 140 tecken per tweet. Varje tweets JSON-rubrik innehåller en mängd information om avsändaren, tweeten och dess anslutning till andra konton.
De började med ett enkelt faktum: vissa BEK-genererade tweets innehåller specifika fraser som "Är du på foto?" eller mer provocerande fraser som "Du var naken på festen) coolt foto)." Genom att bryta det enorma datasättet för dessa kända fraser identifierade de infekterade konton. Detta i sin tur låter dem dyka upp nya fraser och andra markörer av BEK-genererade tweets.
Själva uppsatsen är vetenskapligt och fullständigt, men slutresultatet är ganska enkelt. De utvecklade en relativt enkel metrisk som, när den tillämpas på utgången från ett visst Twitter-konto, på ett tillförlitligt sätt kunde separera infekterade konton från rena. Om kontot får över en viss rad är kontot bra. under linjen är den smittad.
Vem infekterade vem?
Med denna tydliga metod för att särskilja infekterade konton på plats fortsatte de att analysera smittprocessen. Anta att konto B, som är rent, följer konto A, som är infekterat. Om konto B smittas strax efter ett BEK-inlägg av konto A, är chansen mycket god att konto A var källan. Forskarna modellerade dessa förhållanden i en klustergraf som mycket tydligt visade att ett litet antal konton orsakade ett stort antal infektioner. Det här är konton som har skapats av en Blackhole Exploit Kit-ägare specifikt för att sprida infektion.
Matthews noterade att de vid denna tidpunkt hade förmågan att meddela användare vars konton är infekterade, men de ansåg att detta kunde ses som för invasivt. Hon arbetar med att träffa Twitter för att se vad som kan göras.
Moderna data mining och big data-analystekniker gör det möjligt för forskare att hitta mönster och relationer som helt enkelt hade varit omöjligt att nå för bara några år sedan. Inte varje strävan efter kunskap lönar sig, men den här gjorde i spader. Jag hoppas verkligen att professor Matthews lyckas få Twitter intresserad av en praktisk tillämpning av denna forskning.
