Video: Blackhole Exploit Kit Phishing Attack (November 2024)
Als u wilt onderzoeken hoe een programma kwaadaardige e-mailberichten van gewone e-mail kan onderscheiden, wilt u miljoenen voorbeelden uit de praktijk analyseren, slecht en goed. Tenzij u een vriend bij de NSA hebt, kunt u die monsters echter moeilijk krijgen. Twitter daarentegen is een uitzendmedium. Vrijwel elke tweet is zichtbaar voor iedereen die geïnteresseerd is. Professor Jeanna Matthews en Ph.D. student Joshua White van Clarkson University heeft dit gegeven gebruikt om een betrouwbare identificatie voor tweets te ontdekken die door de Blackhole Exploit Kit zijn gegenereerd. Hun presentatie werd erkend als de beste krant op de 8e Internationale Conferentie over schadelijke en ongewenste software (kortweg Malware 2013).
Iedereen met een drang om spam te verzenden, een leger bots te creëren of persoonlijke informatie te stelen, kan beginnen met de aanschaf van de Blackhole Exploit Kit. Matthews rapporteerde dat een schatting suggereert dat de BEK betrokken was bij meer dan de helft van alle malware-infecties in 2012. Een ander rapport verbindt de BEK met 29 procent van alle kwaadaardige URL's. Ondanks de recente arrestatie van de vermeende auteur van Blackhole is de kit een aanzienlijk probleem, en een van de vele manieren van verspreiding is het overnemen van Twitter-accounts. De geïnfecteerde accounts verzenden tweets met links die, als erop wordt geklikt, hun volgende slachtoffer claimen.
Onder de lijn
Matthews en White verzamelden in de loop van 2012 meerdere terabytes aan gegevens van Twitter. Ze schat dat hun dataset in die tijd 50 tot 80 procent van alle tweets bevat. Wat ze kregen was veel meer dan slechts 140 tekens per tweet. De JSON-header van elke tweet bevat een schat aan informatie over de afzender, de tweet en de verbinding met andere accounts.
Ze begonnen met een simpel feit: sommige BEK-gegenereerde tweets bevatten specifieke zinnen zoals "Ben jij het op foto?" of meer provocerende zinnen als "Je was naakt op feest) coole foto)." Door de enorme dataset voor deze bekende zinnen te minen, identificeerden ze geïnfecteerde accounts. Hierdoor konden ze op hun beurt nieuwe frasen en andere markers van door BEK gegenereerde tweets opduiken.
Het artikel zelf is wetenschappelijk en volledig, maar het eindresultaat is vrij eenvoudig. Ze ontwikkelden een relatief eenvoudige metriek die, wanneer toegepast op de output van een bepaald Twitter-account, geïnfecteerde accounts betrouwbaar van schone accounts kon scheiden. Als het account boven een bepaalde lijn scoort, is het goed; onder de lijn, het is geïnfecteerd.
Wie heeft wie besmet?
Met deze duidelijke methode om geïnfecteerde accounts te onderscheiden, analyseerden ze het besmettingsproces. Stel dat account B, die schoon is, account A volgt, die is geïnfecteerd. Als account B kort na een BEK-bericht door account A wordt geïnfecteerd, is de kans heel groot dat account A de bron was. De onderzoekers hebben deze relaties gemodelleerd in een clustergrafiek die heel duidelijk liet zien dat een klein aantal accounts enorme aantallen infecties veroorzaakte. Dit zijn accounts die speciaal door een eigenaar van Blackhole Exploit Kit zijn opgezet om infecties te verspreiden.
Matthews merkte op dat ze op dit moment de mogelijkheid hadden om gebruikers waarvan accounts zijn geïnfecteerd op de hoogte te stellen, maar ze vonden dit als te invasief te beschouwen. Ze werkt eraan om samen te komen met Twitter om te zien wat er kan worden gedaan.
Dankzij moderne datamining en big-data-analysetechnieken kunnen onderzoekers patronen en relaties vinden die een paar jaar geleden gewoon onmogelijk te bereiken waren geweest. Niet elke zoektocht naar kennis loont, maar deze deed dat in schoppen. Ik hoop van harte dat professor Matthews Twitter weet te interesseren voor een praktische toepassing van dit onderzoek.
