Vydělejte velké peníze za šíření malwaru (ale ne)

Vern Paxson, profesor elektrotechniky a informatiky na Kalifornské univerzitě, Berkeley, je známý v komunitě pro bezpečnost pro 2002 papíru s názvem Jak vlastnit internet ve vašem volném čase (mezi mnoha dalšími funkcemi). Na základě podrobné analýzy červů Code Red a Nimda tento dokument prosazoval potřebu Cyber ​​„Centra pro kontrolu nemocí“. V dnešní době se Paxson dívá na jiný režim řešení velkých bezpečnostních problémů - infiltrace. Jeho ústřední projev na 10. mezinárodní konferenci o škodlivém a nežádoucím softwaru (zkráceně MalCon 2015) na mě a účastníky zapůsobil přímočarostí tohoto přístupu.

Vydělejte velké peníze ve svém volném čase

Chcete v malwarovém průmyslu vydělat velké peníze? Nemusíte být kodér. I když máte tyto dovednosti, nemusíte se učit všechny aspekty vytváření a distribuce malwaru. V ekosystému malwaru existují různé různé úlohy.

Klíčovou postavou v tomto ekosystému je zprostředkovatel, člověk, který zná podnikání, ale ne kóduje. Má dva druhy zákazníků. Malware kodéry mají ošklivý software, který by chtěli nainstalovat do mnoha spotřebitelských počítačů. Může to být falešný antivirus, ransomware, komponenty botnetu, téměř cokoli. Pak jsou tu přidružené subjekty, kodéry, které mají prostředky k tomu, aby si na nechráněných systémech nainstalovaly libovolný software. Používají techniky, jako jsou stahování, nevyžádaná pošta, nevyžádaná pošta a phishing, aby způsobily stahovač na systémech obětí.

Nyní se kola začnou otáčet. Malware kodéry uzavírají smlouvu na zaplacení makléře za instalaci jejich kódu na co nejvíce systémů. Pobočky nechají downloadery instalovat na co nejvíce systémů. Stahovatel kontaktuje makléře, který dodává malware z kodérů, pravděpodobně více případů. A přidružené společnosti dostávají zaplaceno na základě počtu instalací. V tomto systému PPI každý zaplatí peníze a tyto sítě jsou obrovské.

„Je tu pár briliantů, “ řekl Paxson. „Makléř nic nedělá, nepronikne, nevyniká vykořisťování. Makléř je jen prostředník, vydělává zisky. Pobočky nemusí jednat s baddies ani vědět, co dělat po vloupání. Všichni členové prostě musí udělat svou roli. “

Bad Guys mají špatné zabezpečení

„Historicky bylo odhalování síťových útoků hrou šílené hry, “ poznamenal Paxson. Rozbijte jeden útok, další vyskočí. Není to hra, kterou můžete vyhrát.

Jeho tým vyzkoušel jiný přístup proti tomuto systému PPI. Zachytili vzorky různých stahovatelů a zpětně je zkonstruovali, aby určili, jak komunikují se svými příslušnými makléři. Vyzbrojeni těmito informacemi vymysleli systém, který by brokerovi vypálil požadavky na malware ke stažení. Paxson nazývá tuto techniku ​​„dojením“ makléře malwaru.

„Myslíš si, že by to selhalo, “ řekl Paxson. "Určitě má zprostředkovatel nějaký druh autentizačního systému nebo omezení rychlosti?" Ale jak se ukáže, oni ne. „Prvky počítačové kriminality, které se nezabývají malwarem, jsou ve své vlastní bezpečnosti o deset let pozadu, možná patnáct, “ pokračoval. "Jsou zaměřeny na zákazníky, nikoli na malware." Existuje druhá interakce, pomocí níž si affiliate partner stáhne kredit za stažení; Paxsonův tým tento krok přirozeně přeskočil.

Za pět měsíců experiment došel ze čtyř přidružených programů do milionu binárních souborů, což představuje 9 000 různých rodin malwaru. V korelaci se seznamem 20 nejčastějších rodin malwaru se tým rozhodl, že tento druh distribuce by mohl být pravděpodobně vektorem číslo jedna pro distribuci malwaru. "Zjistili jsme, že naše vzorky byly asi týden před VirusTotal, " řekl Paxson. „Dostáváme to čerstvé. Jakmile to makléři chtějí vytáhnout, dostáváme to. Jakmile je to na VirusTotal, tak to nevytlačíte.“

Co jiného můžeme infiltrovat?

Tým Paxson také převzal webové stránky, které prodávají pracovní účty pro mnoho různých služeb. Poznamenal, že účty jsou zcela platné a ne zcela nezákonné, protože „jejich jediným přestupkem je porušení smluvních podmínek.“ Facebook a Google stojí nejvíce na tisíc, protože vyžadují ověření telefonem. Twitter účty nejsou tak drahé.

S povolením Twitteru výzkumná skupina koupila velkou sbírku falešných účtů. Analýzou účtů, včetně metadat dodaných společností Twitter, vyvinuli algoritmus pro detekci účtů vytvořených pomocí stejné automatizované registrační techniky s přesností 99, 462%. Pomocí tohoto algoritmu Twitter odstranil tyto účty; další den musely webové stránky prodávající účet oznámit, že nejsou na skladě. „Bylo by lepší účty zrušit při prvním použití, “ poznamenal Paxson. "To by způsobilo zmatek a ve skutečnosti by narušilo ekosystém."

Určitě jste dostali nabídku nevyžádané pošty, abyste vám prodali doplňky mužského výkonu, „skutečné“ Rolexes a podobně. To, co mají společné, je to, že skutečně musí přijmout platbu a odeslat vám produkt. Při přenosu spamu do vaší Doručené pošty, zpracování vašeho nákupu a získání produktu pro vás existuje spousta odkazů. Skutečným nákupem některých zákonných položek zjistili, že slabým článkem v tomto systému bylo zúčtování transakce kreditní kartou. „Spíše než se pokusíme narušit botnet pro spewing, “ řekl Paxson, „považovali jsme to za neužitečné.“ Jak? Přesvědčili poskytovatele kreditní karty, aby zakázal tři banky v Ázerbájdžánu v Lotyšsku a v St. Kitts a Nevis.

Co je tedy s sebou? "Při opravdu velkém útoku na internet, " řekl Paxson, "neexistuje žádný snadný způsob, jak zabránit infiltraci. Infiltrace je výrazně účinnější než snaha chránit každý koncový bod."

MalCon je velmi malá bezpečnostní konference, asi 50 účastníků, která sdružuje akademiky, průmysl, tisk a vládu dohromady. Je podporována mimo jiné Brandeis University a Institute of Electrical and Electronics Engineers (IEEE). Letošními sponzory jsou Microsoft a Secudit. Viděl jsem několik příspěvků od MalCon, které se objevily o několik let později, s vyspělejším výzkumem, na konferenci Black Hat, takže věnuji velkou pozornost tomu, co je zde prezentováno.