Правете големи пари за разпространение на зловреден софтуер (но не)

Върн Паксон, професор по електротехника и компютърни науки в Калифорнийския университет в Бъркли, се слави в общността на сигурността за документ от 2002 г., озаглавен „Как да притежавате Интернет в свободното си време (сред много други подвизи). Въз основа на подробен анализ на червеите Code Red и Nimda, документът насърчава необходимостта от Cyber ​​„Център за контрол на заболяванията“. В наши дни Paxson разглежда различен режим за справяне с широкомащабни проблеми със сигурността - инфилтрация. Неговата основна бележка на 10-тата международна конференция за злонамерен и нежелан софтуер (за кратко MalCon 2015) впечатли мен и присъстващите с правотата на този подход.

Правете големи пари в свободното си време

Искате ли да правите големи пари в зловредния софтуер? Не е нужно да сте кодер. Дори и да имате тези умения, не е нужно да научите всички аспекти на създаването и разпространението на зловреден софтуер. В екосистемата за злонамерен софтуер има различни различни работни места.

Ключовата фигура в тази екосистема е брокерът, човекът, който познава бизнеса, но не кодира. Той има два вида клиенти. Кодовите зловредни програми имат гаден софтуер, който биха искали да се инсталират на много потребителски компютри. Може да е фалшив антивирус, компоненти за извличане на софтуер, ботнет компоненти, почти всичко. След това са филиалите, кодерите, които имат ресурси да получат произволен софтуер, инсталиран на незащитени системи. Те използват техники като драйвери за изтегляне, спам и фишинг, за да нанесат устройство за изтегляне на жертви.

Сега колелата започват да се въртят. Кодерите за злонамерен софтуер договарят да платят на брокера за получаване на техния код на възможно най-много системи. Филиалите получават инсталатори за изтегляне на възможно най-много системи. Изтеглителят се свързва с брокера, който доставя злонамерен софтуер от кодерите, вероятно няколко случая. А филиалите се изплащат въз основа на броя инсталации. Всички правят печалба в тази система Pay Per Install (PPI) и тези мрежи са огромни.

"Тук има няколко блясъка", каза Паксън. „Брокерът не прави нищо, не пробива, не измисля подвизи. Брокерът е просто посредник, взима печалба. Съдружниците не трябва да преговарят с лоши хора или да знаят какво да правят след влизането си. Всички от членовете просто трябва да направят своята роля."

Лошите момчета имат лоша сигурност

„В исторически план откриването на мрежови атаки е игра на безхаберие“, отбелязва Пакссон. Отбийте една атака, изскочи друга. Това не е игра, която можете да спечелите.

Екипът му опита различен подход срещу тази система PPI. Те заснемаха мостри от различни изтеглящи и ги проектираха обратно, за да определят как комуникират със съответните си брокери. Въоръжени с тази информация, те създадоха система за взривяване на брокера с искания за изтегляне на злонамерен софтуер. Paxson нарича тази техника "доене" на брокера на зловреден софтуер.

„Бихте си помислили, че това ще се провали“, каза Пакссон. „Сигурно брокерът има някаква система за удостоверяване или ограничаване на скоростта?“ Но както се оказва, те не го правят. „Елементите на киберпрестъпността, които не са изправени срещу злонамерен софтуер, изостават десет години в собствената си сигурност, може би петнадесет“, продължи той. „Те са насочени към клиентите, а не към злонамерен софтуер.“ Има второ взаимодействие, чрез което филиалът иска кредит за изтеглянето; Екипът на Пакссон естествено прескочи тази стъпка.

За пет месеца експериментът извлича милион двоични файлове, представляващи 9 000 различни семейства злонамерен софтуер от четири партньорски програми. Съпоставяйки това със списък на 20-те най-често срещани семейства на злонамерен софтуер, екипът определи, че този вид дистрибуция може да бъде вектор номер 1 за разпространение на зловреден софтуер. "Установихме, че нашите проби бяха с около седмица по-напред от VirusTotal", каза Пакссон. "Получаваме го прясно. Щом брокерите искат да го изтласкат, ние го получаваме. След като е на VirusTotal, не го натискайте."

Какво друго можем да проникнем?

Екипът на Paxson също взе уебсайтове, които продават работещи акаунти за много различни услуги. Той отбеляза, че сметките са напълно валидни, а не точно незаконни, защото "единственото им нарушение е нарушаването на Общите условия". Facebook и Google струват най-много на хиляда, защото изискват потвърждаване по телефона. Профилите в Twitter не са чак толкова скъпи.

С разрешение на Twitter изследователската група закупи голяма колекция от фалшиви акаунти. Анализирайки акаунтите, включително метаданните, предоставени от Twitter, те разработиха алгоритъм за откриване на акаунти, създадени с помощта на същата автоматизирана техника на регистрация, с точност 99.462%. Използвайки този алгоритъм, Twitter свали тези акаунти; на следващия ден уебсайтовете, продаващи акаунти, трябваше да обявят, че не са на склад. „Би било по-добре да прекратим сметките при първа употреба“, отбелязва Пакссон. "Това би създало объркване и в действителност би подкопало екосистемата."

Със сигурност сте получили спам, който ви предлага да ви продава мъжки добавки за изпълнение, „истински“ Rolexes и подобни. Тяхното общо е, че всъщност трябва да приемат плащане и да ви изпратят продукта. Съществуват множество връзки, свързани с вкарването на спам във вашата пощенска кутия, обработката на покупката ви и получаването на продукта до вас. Реално закупувайки някои правни елементи, те откриха, че слабата връзка в тази система е изчистване на транзакцията с кредитни карти. "Вместо да се опитваме да прекъснем нежеланата за спам ботнет", каза Пакссон, "ние го направихме не полезен." Как? Те убедиха доставчика на кредитни карти да включи в черен списък три банки в Азербайджан, Латвия и Сейнт Китс и Невис.

И така, какво е излитането? "С наистина мащабна интернет атака", каза Пакссон, "няма лесен начин да се предотврати инфилтрацията. Инфилтрацията е значително по-ефективна от опита да се защити всяка крайна точка."

MalCon е много малка конференция за сигурност, около 50 присъстващи, която обединява академици, индустрия, преса и правителство. Той е подкрепен от университета Brandeis и Института за инженери по електроника и електроника (IEEE), наред с други. Тази година спонсорите включват Microsoft и Secudit. Няколко години по-късно, с по-зряло изследване, видях на конференцията на Черната шапка виждам редица документи от Малкон, така че обръщам голямо внимание на представеното тук.