Video: The US' Terrible Mistake of Selling $1 Coins for $1 (Oktober 2024)
Vern Paxson, professor i elektroteknik og computervidenskab ved University of California, Berkeley, er berømt i sikkerhedssamfundet for et papir fra 2002 med titlen How to Own the Internet in Your Spare Time (blandt mange andre feats). Baseret på en detaljeret analyse af koderne Røde og Nimda orme, fremmede papiret behovet for et Cyber "Center for Disease Control." I disse dage ser Paxson på en anden tilstand til håndtering af store sikkerhedsproblemer - infiltration. Hans hovedtaler på den 10. internationale konference om ondsindet og uønsket software (MalCon 2015 kort) imponerede mig og de deltagende med ligefremheden i denne tilgang.
Tjen store penge på din fritid
Vil du tjene store penge i malware-industrien? Du behøver ikke at være en koder. Selv hvis du har disse færdigheder, behøver du ikke at lære alle aspekter ved at oprette og distribuere malware. Der er forskellige forskellige job i malware-økosystemet.
Nøgletallet i dette økosystem er mægleren, den fyr, der kender forretning, men ikke kodning. Han har to slags kunder. Malware-kodere har grim software, som de gerne vil have installeret på mange forbruger-pc'er. Det kan være falske antivirus, ransomware, botnet-komponenter, næsten alt. Så er der tilknyttede virksomheder, kodere, der har ressourcerne til at få vilkårlig software installeret på ubeskyttede systemer. De bruger teknikker som drive-by downloads, spam og phishing for at påføre et downloader til offersystemer.
Nu begynder hjulene at dreje. Malware-kodere kontraherer med at betale mægleren for at få deres kode installeret på så mange systemer som muligt. Tilknyttede virksomheder får downloadere installeret på så mange systemer som muligt. Downloaderen kontakter mægleren, der leverer malware fra koderne, sandsynligvis flere tilfælde. Og tilknyttede virksomheder får betalt baseret på antallet af installationer. Alle tjener en penge på dette PPI-system (Pay Per Install), og disse netværk er enorme.
"Der er et par glans her, " sagde Paxson. "Mægleren gør ikke noget, bryder ikke ind, regner ikke med udnyttelse. Mægleren er bare en mellemmand, der tager fortjeneste. Deltagende selskaber behøver ikke at forhandle med onde eller vide hvad de skal gøre efter indbrud. Alle medlemmer skal bare gøre deres del."
Dårlige fyre har dårlig sikkerhed
"Historisk set har detektering af netværksangreb været et spil whack-a-mol." Bemærkede Paxson. Luk ned et angreb, et andet dukker op. Det er ikke et spil, du kan vinde.
Hans team prøvede en anden tilgang mod dette PPI-system. De fangede prøver af forskellige downloadere og omvendt konstruerede dem for at bestemme, hvordan de kommunikerer med deres respektive mæglere. Bevæbnet med disse oplysninger udtænkte de et system til at sprænge mægleren med anmodninger om downloadbar malware. Paxson kalder denne teknik "malkning" af malware-mægleren.
”Du skulle tro, at dette ville mislykkes, ” sagde Paxson. "Mægleren har bestemt en slags autentificeringssystem eller hastighedsbegrænsende?" Men det viser sig, at de ikke gør det. "Cyberkriminalitetselementerne, der ikke er malware-vendt, er ti år bagefter i deres egen sikkerhed, måske femten, " fortsatte han. "De er kundeorienterede og ikke malwareorienterede." Der er en anden interaktion, hvorved associerede selskab kræver kredit for download; Paxsons team sprang naturligvis over det trin.
I løbet af fem måneder udmalkede forsøget en million binære filer, der repræsenterede 9.000 forskellige malware-familier, fra fire tilknyttede programmer. Korreleret dette med en liste over de 20 mest almindelige malware-familier, bestemte teamet, at denne form for distribution muligvis kunne være nummer én-vektoren til malware-distribution. "Vi fandt, at vores prøver var ca. en uge foran VirusTotal, " sagde Paxson. "Vi får det frisk. Så snart mæglerne ønsker at skubbe det ud, får vi det. Når det først er på VirusTotal, skubber du ikke det."
Hvad andet kan vi infiltrere?
Paxsons team tog også på websteder, der sælger arbejdskonti for mange forskellige tjenester. Han bemærkede, at kontiene er fuldstændigt gyldige og ikke nøjagtigt ulovlige, fordi "deres eneste lovovertrædelse er i strid med servicevilkårene." Facebook og Google koster mest tusind, fordi de kræver telefonverifikation. Twitter-konti er ikke lige så dyre.
Med Twitter's tilladelse købte forskergruppen en stor samling af falske konti. Ved at analysere konti, inklusive metadata leveret af Twitter, udviklede de en algoritme til at opdage konti oprettet ved hjælp af den samme automatiserede registreringsteknik, med 99.462% nøjagtighed. Ved hjælp af denne algoritme tog Twitter disse konti ned; den næste dag måtte de kontosælgende websteder meddele, at de ikke var på lager. "Det ville have været bedre at afslutte konti ved første brug, " bemærkede Paxson. "Det ville have skabt forvirring og faktisk undermineret økosystemet."
Du har helt sikkert fået spam-tilbud om at sælge dig mandlige ydelsestilskud, "rigtige" Rolexes og sådan. Det, de har til fælles, er, at de faktisk skal acceptere betaling og sende dig produktet. Der er masser af links involveret i at få spam i din indbakke, håndtere dit køb og få produktet til dig. Ved faktisk at købe nogle juridiske ting fandt de, at det svage link i dette system fik kreditkorttransaktionen ryddet. "I stedet for at prøve at forstyrre det spam-spydende botnet, " sagde Paxson, "vi gjorde det ikke nyttigt." Hvordan? De overbeviste kreditkortudbyderen til at sortliste tre banker i Aserbajdsjan, Letland og St. Kitts og Nevis.
Så hvad er afhentningen? "Med et rigtig stort internetangreb, " sagde Paxson, "er der ingen let måde at forhindre infiltration. Infiltration er væsentligt mere effektiv end at forsøge at beskytte hvert slutpunkt."
MalCon er en meget lille sikkerhedskonference, omkring 50 deltagere, der bringer akademikere, industri, presse og regering sammen. Det er støttet af Brandeis University og Institute of Electrical and Electronics Engineers (IEEE), blandt andre. Dette års sponsorer inkluderer Microsoft og Secudit. Jeg har set et antal artikler fra MalCon vises et par år senere, med mere moden forskning, på Black Hat-konferencen, så jeg følger nøje med, hvad der præsenteres her.
