Video: 4 manieren om te profiteren van de huidige financiële crisis - koop met 50% korting #investeren (November 2024)
Vern Paxson, hoogleraar elektrotechniek en computerwetenschappen aan de Universiteit van Californië, Berkeley, is beroemd in de beveiligingsgemeenschap voor een artikel uit 2002 getiteld How to Own the Internet in Your Spare Time (naast vele andere feiten). Op basis van een gedetailleerde analyse van de Code Red- en Nimda-wormen, heeft het artikel de noodzaak van een Cyber "Center for Disease Control" gepromoot. Tegenwoordig kijkt Paxson naar een andere modus voor het omgaan met grootschalige beveiligingsproblemen - infiltratie. Zijn keynote op de 10e internationale conferentie over schadelijke en ongewenste software (kortweg MalCon 2015) maakte indruk op mij en de aanwezigen met de eenvoud van deze aanpak.
Verdien veel geld in uw vrije tijd
Wilt u veel geld verdienen in de malware-industrie? Je hoeft geen coder te zijn. Zelfs als u over die vaardigheden beschikt, hoeft u niet alle aspecten van het maken en verspreiden van malware te leren. Er zijn verschillende taken in het malware-ecosysteem.
De sleutelfiguur in dit ecosysteem is de makelaar, de man die zaken kent maar niet codeert. Hij heeft twee soorten klanten. Malwarecoders hebben vervelende software die ze graag op veel consumenten-pc's willen installeren. Het kunnen nep-antivirus, ransomware, botnet-componenten zijn, zo ongeveer alles. Dan zijn er de partners, coders die de middelen hebben om willekeurige software op onbeschermde systemen te installeren. Ze gebruiken technieken zoals drive-by downloads, spam en phishing om slachtoffers een downloader te bezorgen.
Nu beginnen de wielen te draaien. Malwarecoders contracteren om de makelaar te betalen voor het laten installeren van hun code op zoveel mogelijk systemen. De filialen laten downloaders op zoveel mogelijk systemen installeren. De downloader neemt contact op met de makelaar, die malware van de coders levert, waarschijnlijk meerdere instanties. En de filialen worden betaald op basis van het aantal installaties. Iedereen verdient geld in dit Pay Per Install (PPI) -systeem en deze netwerken zijn enorm.
"Er zijn hier een aantal brilliances, " zei Paxson. "De makelaar doet niets, breekt niet in, ontdekt geen uitbuitingen. De makelaar is slechts een tussenpersoon, die winst neemt. Partners hoeven niet met slechteriken te onderhandelen of te weten wat ze moeten doen na inbraak. Alle leden moeten gewoon hun steentje bijdragen."
Slechte jongens hebben slechte beveiliging
"Historisch gezien is het detecteren van netwerkaanvallen een spel van meppen", merkte Paxson op. Sla een aanval neer, een andere duikt op. Het is geen spel dat je kunt winnen.
Zijn team probeerde een andere aanpak tegen dit PPI-systeem. Ze hebben voorbeelden van verschillende downloaders gemaakt en deze reverse-engineered om te bepalen hoe ze communiceren met hun respectieve makelaars. Gewapend met deze informatie hebben ze een systeem bedacht om de makelaar te vernietigen met verzoeken om downloadbare malware. Paxson noemt deze techniek de malwaremakelaar "melken".
"Je zou denken dat dit zou mislukken, " zei Paxson. "De makelaar heeft toch een of ander authenticatiesysteem of snelheidsbeperking?" Maar het blijkt dat ze dat niet doen. "De cybercrime-elementen die niet met malware te maken hebben, lopen tien jaar achter op hun eigen beveiliging, misschien vijftien, " ging hij verder. "Ze zijn klantgericht, niet malware-gericht." Er is een tweede interactie waarbij de aangeslotene aanspraak maakt op krediet voor de download; Paxson's team heeft die stap natuurlijk overgeslagen.
In vijf maanden zorgde het experiment voor een miljoen binaire bestanden, die 9.000 verschillende malwarefamilies vertegenwoordigen, van vier aangesloten programma's. Dit verband houdend met een lijst van de 20 meest voorkomende malwarefamilies, heeft het team vastgesteld dat dit soort distributie mogelijk de nummer één vector voor malwareverdeling zou kunnen zijn. "We ontdekten dat onze monsters ongeveer een week voor waren op VirusTotal, " zei Paxson. "We krijgen het nieuw. Zodra de makelaars het eruit willen duwen, krijgen we het. Zodra het op VirusTotal is, pusht u het niet."
Wat kunnen we anders infiltreren?
Het team van Paxson nam ook websites aan die werkende accounts verkopen voor veel verschillende diensten. Hij merkte op dat de accounts volledig geldig zijn, en niet precies illegaal, omdat 'hun enige inbreuk de Servicevoorwaarden schendt'. Facebook en Google kosten het meest per duizend, omdat ze telefoonverificatie vereisen. Twitter-accounts zijn niet zo duur.
Met toestemming van Twitter kocht de onderzoeksgroep een grote verzameling nepaccounts. Door de accounts te analyseren, inclusief metadata geleverd door Twitter, ontwikkelden ze een algoritme voor het detecteren van accounts gemaakt met dezelfde geautomatiseerde registratietechniek, met een nauwkeurigheid van 99.462%. Met behulp van dit algoritme heeft Twitter die accounts verwijderd; de volgende dag moesten de websites voor het verkopen van accounts aankondigen dat ze niet op voorraad waren. "Het zou beter zijn geweest om de accounts bij het eerste gebruik te beëindigen", aldus Paxson. "Dat zou voor verwarring hebben gezorgd en het ecosysteem daadwerkelijk hebben ondermijnd."
U hebt zeker spam aangeboden om u mannelijke prestatiesupplementen, "echte" Rolexen en dergelijke te verkopen. Wat ze gemeen hebben, is dat ze de betaling moeten accepteren en het product naar u moeten verzenden. Er zijn talloze links betrokken om de spam in uw Postvak IN te krijgen, uw aankoop af te handelen en het product bij u te krijgen. Door feitelijk enkele juridische artikelen te kopen, ontdekten ze dat de zwakke schakel in dit systeem was dat de creditcardtransactie werd gewist. "In plaats van te proberen het spam-spuwende botnet te verstoren, " zei Paxson, "hebben we het niet bruikbaar gemaakt." Hoe? Ze overtuigden de creditcardaanbieder om drie banken op de zwarte lijst te plaatsen, in Azerbeidzjan, Letland, en St. Kitts en Nevis.
Dus wat is de afhaalmaaltijd? "Met een echt grootschalige internetaanval, " zei Paxson, "is er geen gemakkelijke manier om infiltratie te voorkomen. Infiltratie is aanzienlijk effectiever dan proberen elk eindpunt te beschermen."
MalCon is een zeer kleine beveiligingsconferentie, ongeveer 50 deelnemers, die academici, industrie, pers en overheid samenbrengt. Het wordt ondersteund door onder meer de Brandeis University en het Institute of Electrical and Electronics Engineers (IEEE). De sponsors van dit jaar zijn Microsoft en Secudit. Ik heb een aantal artikelen van MalCon een paar jaar later, met meer volwassen onderzoek, op de Black Hat-conferentie zien verschijnen, dus ik let goed op wat hier wordt gepresenteerd.
