Изследователите изолират чернодробната експлоатация на симптомите на комплекта, определят заразените акаунти в Twitter

Ако искате да проучите как една програма може да различи злонамерени имейл съобщения от обикновена поща, бихте искали да анализирате милиони образци от реалния свят, лоши и добри. Ако обаче нямате приятел в НСА, трудно бихте получили тези проби. Twitter, от друга страна, е средство за излъчване. На практика всеки туит е видим за всеки, който се интересува. Професор Жана Матюс и доктор на науките студентът Джошуа Уайт от Университета Кларксън използва този факт, за да открие надежден идентификатор за туитове, генерирани от Blackhole Exploit Kit. Представянето им беше признато за най-добрия документ на 8-ата международна конференция за злонамерен и нежелан софтуер (Malware 2013 за кратко).

Всеки, който има желание да изпрати спам, да създаде армия от ботове или да открадне лична информация, може да започне с закупуването на Blackhole Exploit Kit. Matthews съобщи, че една оценка предполага, че BEK е участвал в повече от половината от всички зарази от злонамерен софтуер през 2012 г. Друг доклад свързва BEK с 29 процента от всички злонамерени URL адреси. Въпреки неотдавнашния арест на предполагаемия автор на Blackhole, комплектът е значителен проблем и един от многото му начини за разпространение включва превземане на акаунти в Twitter. Заразените акаунти изпращат туитове, съдържащи връзки, които ако щракнат, искат следващата си жертва.

Под линията

Матюс и Уайт събраха множество терабайта данни от Twitter през 2012 г. Тя изчислява, че техният набор от данни съдържа от 50 до 80 процента от всички туитове през това време. Това, което получиха, беше много повече от 140 символа на туитър. JSON заглавката на всеки туит съдържа богата информация за изпращача, туит и връзката му с други акаунти.

Те започнаха с един прост факт: някои туитове, генерирани от BEK, включват специфични фрази като „Това си на снимката?“ или по-провокативни фрази от рода на „Ти беше гола на парти) готина снимка“. Извличайки огромния набор от данни за тези известни фрази, те идентифицираха заразените акаунти. Това от своя страна им позволява да показват нови фрази и други маркери на туитове, генерирани от BEK.

Самата хартия е научна и пълна, но крайният резултат е доста прост. Те разработиха сравнително прост показател, който, приложен към изхода на даден акаунт в Twitter, може надеждно да отдели заразените акаунти от чистите. Ако акаунтът има резултат над определен ред, акаунтът е наред; под линията е заразен.

Кой заразява кой?

С този ясен метод за разграничаване на заразените акаунти те продължиха да анализират процеса на заразяване. Да предположим, че акаунт B, който е чист, следва сметка A, който е заразен. Ако акаунт B се зарази малко след публикация в BEK от акаунт A, има голяма вероятност акаунтът A да е източникът. Изследователите моделираха тези взаимоотношения в клъстерна графика, която много ясно показа малък брой акаунти, причиняващи огромен брой инфекции. Това са акаунти, създадени от собственик на Blackhole Exploit Kit специално за разпространение на инфекция.

Матюс отбеляза, че към този момент те имат възможност да уведомяват потребители, чиито акаунти са заразени, но смятат, че това може да се разглежда като твърде инвазивно. Тя работи по събирането с Twitter, за да види какво може да се направи.

Съвременните техники за извличане на данни и анализ на големи данни позволяват на изследователите да намерят модели и връзки, които биха били просто невъзможни за достигане само преди няколко години. Не всеки стремеж към знание се изплаща, но този го направи, в пика. Искрено се надявам, че професор Матюс успява да заинтересува Twitter за практическо приложение на това изследване.