Video: Fare 100€ Al Giorno Su Youtube SENZA Fare Video e Con ZERO Iscritti! (Novembre 2024)
Vern Paxson, professore di ingegneria elettrica e informatica all'università della California, Berkeley, è famoso nella comunità della sicurezza per un articolo del 2002 intitolato Come possedere Internet nel tempo libero (tra le tante altre imprese). Sulla base di un'analisi dettagliata dei worm Code Red e Nimda, l'articolo ha promosso la necessità di un "Centro per il controllo delle malattie" Cyber. In questi giorni, Paxson sta esaminando una modalità diversa per gestire i problemi di sicurezza su larga scala: l'infiltrazione. Il suo keynote alla decima conferenza internazionale sul software dannoso e indesiderato (abbreviato in MalCon 2015) ha impressionato me e i partecipanti con la semplicità di questo approccio.
Guadagna un sacco di soldi nel tuo tempo libero
Vuoi fare un sacco di soldi nel settore del malware? Non devi essere un programmatore. Anche se hai queste competenze, non devi imparare tutti gli aspetti della creazione e distribuzione di malware. Esistono diversi lavori nell'ecosistema malware.
La figura chiave in questo ecosistema è il broker, il tipo che conosce gli affari ma non codifica. Ha due tipi di clienti. I programmatori di malware hanno software dannosi che vorrebbero installare su molti PC consumer. Potrebbe essere falso antivirus, ransomware, componenti botnet, praticamente qualsiasi cosa. Poi ci sono gli affiliati, i programmatori che hanno le risorse per installare software arbitrario su sistemi non protetti. Usano tecniche come download drive-by, spam e phishing per infliggere un downloader ai sistemi delle vittime.
Ora le ruote iniziano a girare. I programmatori di malware si impegnano a pagare il broker per aver installato il loro codice sul maggior numero di sistemi possibile. Gli affiliati ottengono che i downloader vengano installati sul maggior numero di sistemi possibile. Il downloader contatta il broker, che fornisce malware dai programmatori, probabilmente più istanze. E gli affiliati vengono pagati in base al numero di installazioni. Tutti fanno un dollaro in questo sistema Pay Per Install (PPI) e queste reti sono enormi.
"Ci sono un paio di brillanti qui", ha detto Paxson. "Il broker non fa nulla, non si intromette, non capisce gli exploit. Il broker è solo un intermediario, che prende profitti. Gli affiliati non devono negoziare con i cattivi o sapere cosa fare dopo aver fatto irruzione. Tutti i membri devono solo fare la loro parte ".
I cattivi ragazzi hanno una cattiva sicurezza
"Storicamente, il rilevamento di attacchi di rete è stato un gioco di schifo, " ha osservato Paxson. Abbatti un attacco, ne viene fuori un altro. Non è un gioco che puoi vincere.
Il suo team ha provato un approccio diverso nei confronti di questo sistema PPI. Hanno raccolto campioni di vari downloader e li hanno retroingegnerizzati per determinare il modo in cui comunicano con i rispettivi broker. Grazie a queste informazioni, hanno ideato un sistema per far esplodere il broker con richieste di malware scaricabile. Paxson chiama questa tecnica "mungendo" il broker di malware.
"Penseresti che fallirebbe" disse Paxson. "Sicuramente il broker ha una sorta di sistema di autenticazione o di limitazione della velocità?" Ma a quanto pare, non lo fanno. "Gli elementi del crimine informatico che non sono esposti al malware sono in ritardo di dieci anni nella loro sicurezza, forse quindici", ha continuato. "Sono rivolti ai clienti, non ai malware." Esiste una seconda interazione in base alla quale l'affiliato richiede credito per il download; Il team di Paxson ha saltato naturalmente quel passo.
In cinque mesi, l'esperimento ha prodotto un milione di file binari, che rappresentano 9.000 famiglie distinte di malware, da quattro programmi di affiliazione. Correlando questo con un elenco delle 20 famiglie di malware più comuni, il team ha determinato che questo tipo di distribuzione potrebbe essere il vettore numero uno per la distribuzione di malware. "Abbiamo scoperto che i nostri campioni erano circa una settimana avanti rispetto a VirusTotal", ha affermato Paxson. "Lo stiamo ottenendo fresco. Non appena i broker vogliono spingerlo fuori, lo stiamo ottenendo. Una volta che è su VirusTotal non lo spingi."
Che altro possiamo infiltrarci?
Il team di Paxson ha anche acquisito siti Web che vendono account funzionanti per molti servizi diversi. Ha osservato che gli account sono completamente validi e non precisamente illegali, perché "la loro unica offesa è la violazione dei Termini di servizio". Facebook e Google costano il massimo per mille, perché richiedono una verifica telefonica. Gli account Twitter non sono così costosi.
Con il permesso di Twitter, il gruppo di ricerca ha acquistato una vasta raccolta di account falsi. Analizzando gli account, compresi i metadati forniti da Twitter, hanno sviluppato un algoritmo per rilevare account creati utilizzando la stessa tecnica di registrazione automatizzata, con un'accuratezza del 99, 462%. Usando questo algoritmo, Twitter ha rimosso quegli account; il giorno successivo, i siti web di vendita di account dovevano annunciare che erano esauriti. "Sarebbe stato meglio chiudere gli account al primo utilizzo", ha osservato Paxson. "Ciò avrebbe creato confusione e avrebbe effettivamente minato l'ecosistema".
Hai sicuramente ottenuto spam offrendo di vendere integratori di prestazioni maschili, Rolex "reali" e così via. La cosa che hanno in comune è che devono effettivamente accettare il pagamento e spedire il prodotto. Ci sono un sacco di link coinvolti per ottenere lo spam nella tua casella di posta, gestire il tuo acquisto e ottenere il prodotto per te. Acquistando alcuni articoli legali, hanno scoperto che l'anello debole di questo sistema stava cancellando la transazione con carta di credito. "Piuttosto che cercare di interrompere la botnet che sputa spam", ha detto Paxson, "non l'abbiamo resa utile". Come? Hanno convinto il fornitore di carte di credito a inserire nella blacklist tre banche, in Azerbaigian, Lettonia, St. Kitts e Nevis.
Allora, qual è il takeaway? "Con un attacco Internet su larga scala", ha affermato Paxson, "non esiste un modo semplice per prevenire le infiltrazioni. L'infiltrazione è significativamente più efficace del tentativo di proteggere ciascun endpoint".
MalCon è una conferenza sulla sicurezza molto piccola, circa 50 partecipanti, che riunisce accademici, industria, stampa e governo. È supportato dalla Brandeis University e dall'Institute of Electrical and Electronics Engineers (IEEE), tra gli altri. Gli sponsor di quest'anno includono Microsoft e Secudit. Ho visto diversi articoli di MalCon apparire alcuni anni dopo, con ricerche più mature, alla conferenza di Black Hat, quindi prendo molta attenzione a ciò che viene presentato qui.