ทำเงินก้อนโตกระจายมัลแวร์ (แต่ไม่ใช่)

Vern Paxson ศาสตราจารย์ด้านวิศวกรรมไฟฟ้าและวิทยาศาสตร์คอมพิวเตอร์ที่มหาวิทยาลัยแคลิฟอร์เนียเบิร์กลีย์มีชื่อเสียงในแวดวงความปลอดภัยสำหรับบทความปี 2545 เรื่องวิธีการเป็นเจ้าของอินเทอร์เน็ตในเวลาว่างของคุณ จากการวิเคราะห์อย่างละเอียดของ Code Red และเวิร์ม Nimda กระดาษได้ให้ความสำคัญกับ Cyber ​​"ศูนย์ควบคุมโรค" ทุกวันนี้ Paxson กำลังมองหาโหมดที่แตกต่างกันสำหรับจัดการกับปัญหาด้านความปลอดภัยขนาดใหญ่ - การแทรกซึม คำปราศรัยของเขาในการประชุมนานาชาติครั้งที่ 10 เรื่องซอฟต์แวร์ที่เป็นอันตรายและไม่เป็นที่ต้องการ (MalCon 2015 โดยย่อ) ทำให้ผมและผู้เข้าร่วมประชุมประทับใจกับวิธีการนี้อย่างตรงไปตรงมา

ทำเงินก้อนโตในเวลาว่าง

ต้องการสร้างรายได้มหาศาลในอุตสาหกรรมมัลแวร์หรือไม่ คุณไม่จำเป็นต้องเป็น coder แม้ว่าคุณจะมีทักษะเหล่านั้นคุณก็ไม่จำเป็นต้องเรียนรู้ทุกแง่มุมของการสร้างและแจกจ่ายมัลแวร์ มีงานที่แตกต่างหลากหลายในระบบนิเวศของมัลแวร์

บุคคลสำคัญในระบบนิเวศนี้คือนายหน้าคนที่รู้จักธุรกิจ แต่ไม่เข้ารหัส เขามีลูกค้าสองประเภท ตัวแปลงสัญญาณมัลแวร์มีซอฟต์แวร์ที่น่ารังเกียจที่ต้องการติดตั้งในพีซีสำหรับผู้บริโภคจำนวนมาก มันอาจเป็นโปรแกรมป้องกันไวรัสปลอม ransomware คอมโพเนนต์ botnet ไม่ว่าอะไรก็ตาม จากนั้นก็มี บริษัท ในเครือผู้เขียนโค้ดที่มีทรัพยากรเพื่อรับซอฟต์แวร์ที่ติดตั้งบนระบบที่ไม่มีการป้องกัน พวกเขาใช้เทคนิคต่าง ๆ เช่นการดาวน์โหลดโดยการส่งสแปมและฟิชชิ่งเพื่อสร้างความเสียหายต่อผู้ดาวน์โหลดบนระบบของเหยื่อ

ตอนนี้ล้อก็เริ่มหมุน มัลแวร์โค๊ดโค้ดสัญญาที่จะจ่ายค่านายหน้าให้กับการติดตั้งโค้ดบนระบบให้ได้มากที่สุด บริษัท ในเครือจะดาวน์โหลดตัวติดตั้งในระบบให้ได้มากที่สุด ตัวดาวน์โหลดจะติดต่อกับนายหน้าซึ่งเป็นผู้จัดหามัลแวร์จากผู้เขียนโค้ดอาจมีหลายครั้ง และ บริษัท ในเครือจะได้รับเงินตามจำนวนการติดตั้ง ทุกคนสร้างความสุขให้กับระบบการจ่ายต่อการติดตั้ง (PPI) และเครือข่ายเหล่านี้มีขนาดใหญ่มาก

“ มีความสุกใสสองสามอย่างที่นี่” แพกสันกล่าว “ นายหน้าไม่ได้ทำอะไรไม่เจาะไม่ได้หาวิธีหาประโยชน์นายหน้าเป็นเพียงคนกลางทำกำไร บริษัท ในเครือไม่ต้องต่อรองกับ baddies หรือรู้ว่าต้องทำอะไรหลังจากบุกเข้ามา สมาชิกทุกคนต้องทำส่วนของพวกเขาเอง "

คนเลวมีความปลอดภัยไม่ดี

“ ในอดีตการตรวจจับการโจมตีเครือข่ายเป็นเกมของการโจมตีแบบตัวตุ่น” แพกซ์สันกล่าว ตีหนึ่งการโจมตีอีกหนึ่งปรากฏขึ้น ไม่ใช่เกมที่คุณสามารถชนะได้

ทีมของเขาลองใช้วิธีที่แตกต่างกับระบบ PPI นี้ พวกเขาจับตัวตัวอย่างของตัวดาวน์โหลดต่าง ๆ และทำการย้อนกลับเพื่อกำหนดวิธีสื่อสารกับโบรกเกอร์ที่เกี่ยวข้อง ด้วยข้อมูลเหล่านี้พวกเขาได้คิดค้นระบบที่จะทำลายนายหน้าด้วยการร้องขอมัลแวร์ที่สามารถดาวน์โหลดได้ Paxson เรียกเทคนิคนี้ว่า "การรีดนม" นายหน้ามัลแวร์

"คุณคิดว่าสิ่งนี้จะล้มเหลว" Paxson กล่าว "นายหน้ามีระบบการตรวจสอบความถูกต้องบางประเภทหรือ จำกัด อัตรา?" แต่มันกลับกลายเป็นว่าพวกเขาทำไม่ได้ “ องค์ประกอบของอาชญากรรมไซเบอร์ที่ไม่ได้พบกับมัลแวร์นั้นอยู่ในความปลอดภัยของพวกเขาเองภายในสิบปีหรืออาจจะสิบห้าปี” เขากล่าว "พวกเขาต้องเผชิญกับลูกค้าไม่ใช่หันไปหามัลแวร์" มีการโต้ตอบที่สองซึ่งพันธมิตรอ้างเครดิตสำหรับการดาวน์โหลด ทีมของแพกซ์สันข้ามขั้นตอนนั้นไปอย่างเป็นธรรมชาติ

ในห้าเดือนการทดลองรีดนมออกหนึ่งล้านไบนารีคิดเป็น 9, 000 ตระกูลมัลแวร์ที่แตกต่างจากสี่โปรแกรมพันธมิตร การเชื่อมโยงสิ่งนี้กับรายชื่อตระกูลมัลแวร์ที่พบมากที่สุด 20 อันดับทีมระบุว่าการแจกจ่ายประเภทนี้อาจเป็นเวคเตอร์อันดับหนึ่งสำหรับการแจกจ่ายมัลแวร์ “ เราพบว่ากลุ่มตัวอย่างของเรานั้นใช้เวลาประมาณหนึ่งสัปดาห์ก่อนหน้า VirusTotal” Paxson กล่าว "เรากำลังทำให้มันสดชื่นทันทีที่โบรกเกอร์ต้องการผลักมันออกไปเราจะได้มันมาเมื่อ VirusTotal คุณไม่ต้องดัน"

เราสามารถแทรกซึมอะไรอีกบ้าง

ทีมของแพกซ์สันยังใช้เว็บไซต์ที่ขายบัญชีที่ทำงานได้สำหรับบริการต่างๆมากมาย เขาตั้งข้อสังเกตว่าบัญชีนั้นมีผลสมบูรณ์และไม่ผิดกฎหมายอย่างแม่นยำเพราะ "ความผิดเพียงอย่างเดียวของพวกเขาก็คือการละเมิดข้อกำหนดในการให้บริการ" Facebook และ Google มีค่าใช้จ่ายต่อพันมากที่สุดเพราะต้องมีการยืนยันทางโทรศัพท์ บัญชี Twitter นั้นค่อนข้างแพง

เมื่อได้รับอนุญาตจาก Twitter กลุ่มวิจัยได้ซื้อบัญชีปลอมจำนวนมาก ด้วยการวิเคราะห์บัญชีรวมถึงข้อมูลเมตาที่จัดทำโดย Twitter พวกเขาพัฒนาอัลกอริทึมสำหรับการตรวจสอบบัญชีที่สร้างขึ้นโดยใช้เทคนิคการลงทะเบียนอัตโนมัติแบบเดียวกันด้วยความแม่นยำ 99.462% ด้วยการใช้อัลกอริธึมนี้ Twitter ได้ทำลายบัญชีเหล่านั้น ในวันถัดไปเว็บไซต์ขายบัญชีต้องประกาศว่าหมด "คงจะเป็นการดีกว่าที่จะยกเลิกบัญชีเมื่อใช้ครั้งแรก" Paxson กล่าว "นั่นจะสร้างความสับสนและทำลายระบบนิเวศ"

คุณจะได้รับจดหมายขยะเพื่อขายผลิตภัณฑ์เสริมประสิทธิภาพสำหรับผู้ชาย Rolex อย่างแท้จริงและอื่น ๆ สิ่งที่พวกเขามีเหมือนกันคือพวกเขาต้องยอมรับการชำระเงินและจัดส่งผลิตภัณฑ์ให้คุณ มีลิงก์จำนวนมากที่เกี่ยวข้องกับการส่งสแปมไปยังกล่องจดหมายเข้าของคุณจัดการการซื้อของคุณและนำผลิตภัณฑ์มาให้คุณ จากการซื้อรายการทางกฎหมายพวกเขาพบว่าการเชื่อมโยงที่อ่อนแอในระบบนี้ได้รับการทำธุรกรรมบัตรเครดิต "แทนที่จะพยายามขัดขวางบ็อตเน็ตที่พ่นสแปม" Paxson กล่าว "เราแสดงผลว่าไม่มีประโยชน์" อย่างไร? พวกเขาโน้มน้าวผู้ให้บริการบัตรเครดิตให้ขึ้นบัญชีดำสามธนาคารในอาเซอร์ไบจานลัตเวียและเซนต์คิตส์และเนวิส

ดังนั้นของใช้ส่วนตัวคืออะไร? "ด้วยการโจมตีทางอินเทอร์เน็ตที่มีขนาดใหญ่มาก" แพกซ์สันกล่าวว่า "ไม่มีวิธีที่ง่ายในการป้องกันการแทรกซึมการแทรกซึมนั้นมีประสิทธิภาพมากกว่าการปกป้องจุดปลายแต่ละจุดอย่างมีนัยสำคัญ"

MalCon เป็นการประชุมความปลอดภัยที่มีขนาดเล็กมากมีผู้เข้าร่วมประชุมประมาณ 50 คนซึ่งนำนักวิชาการอุตสาหกรรมสื่อมวลชนและรัฐบาลมารวมกัน ได้รับการสนับสนุนจากมหาวิทยาลัยแบรนและสถาบันวิศวกรไฟฟ้าและอิเล็กทรอนิกส์ (IEEE) และอื่น ๆ ผู้สนับสนุนในปีนี้ ได้แก่ Microsoft และ Secudit ฉันได้เห็นเอกสารจำนวนหนึ่งจาก MalCon ปรากฏขึ้นไม่กี่ปีต่อมามีการวิจัยที่เป็นผู้ใหญ่มากขึ้นในการประชุม Black Hat ดังนั้นฉันจึงใส่ใจกับสิ่งที่นำเสนอที่นี่