Casa Securitywatch I ricercatori isolano i sintomi del kit di exploit blackhole, individuano account twitter infetti

I ricercatori isolano i sintomi del kit di exploit blackhole, individuano account twitter infetti

Video: Alla ricerca del Coronavirus (Novembre 2024)

Video: Alla ricerca del Coronavirus (Novembre 2024)
Anonim

Se volessi ricercare come un programma potrebbe distinguere i messaggi di posta elettronica dannosi dalla posta ordinaria, vorresti analizzare milioni di campioni del mondo reale, buoni e cattivi. Tuttavia, a meno che tu non abbia un amico all'NSA, faresti fatica a ottenere quei campioni. Twitter, d'altra parte, è un mezzo di trasmissione. Praticamente ogni tweet è visibile a chiunque sia interessato. Professoressa Jeanna Matthews e Ph.D. lo studente Joshua White della Clarkson University ha sfruttato questo fatto per scoprire un identificatore affidabile per i tweet generati dal Blackhole Exploit Kit. La loro presentazione è stata riconosciuta come il miglior articolo dell'ottava conferenza internazionale sul software dannoso e indesiderato (abbreviato in Malware 2013).

Chiunque abbia il bisogno di inviare spam, creare un esercito di robot o rubare informazioni personali può iniziare acquistando il kit di sfruttamento Blackhole. Matthews ha riferito che una stima suggerisce che il BEK è stato coinvolto in oltre la metà di tutte le infestazioni di malware nel 2012. Un altro rapporto collega il BEK al 29 percento di tutti gli URL dannosi. Nonostante il recente arresto del presunto autore di Blackhole, il kit è un problema significativo e uno dei suoi molti modi di diffusione prevede l'acquisizione di account Twitter. Gli account infetti inviano tweet contenenti link che, se cliccati, rivendicano la loro prossima vittima.

Sotto la linea

Matthews e White hanno raccolto più terabyte di dati da Twitter nel corso del 2012. Stima che il loro set di dati contenga dal 50 all'80% di tutti i tweet durante quel periodo. Ciò che hanno ottenuto è stato molto più di 140 caratteri per tweet. L'intestazione JSON di ogni tweet contiene molte informazioni sul mittente, sul tweet e sulla sua connessione con altri account.

Hanno iniziato con un semplice fatto: alcuni tweet generati da BEK includono frasi specifiche come "Sei tu nella foto?" o frasi più provocatorie come "eri nudo alla festa) bella foto)". Estraggendo l'enorme set di dati per queste frasi conosciute, hanno identificato gli account infetti. Questo a sua volta consente loro di mostrare nuove frasi e altri marcatori di tweet generati da BEK.

Il documento stesso è completo e completo, ma il risultato finale è abbastanza semplice. Hanno sviluppato una metrica relativamente semplice che, se applicata all'output di un determinato account Twitter, potrebbe separare in modo affidabile gli account infetti da quelli puliti. Se il conto segna sopra una certa linea, il conto va bene; sotto la linea, è infetto.

Chi ha infettato Chi?

Con questo chiaro metodo per distinguere gli account infetti, hanno continuato ad analizzare il processo di contagio. Supponiamo che l'account B, che è pulito, segua l'account A, che è infetto. Se l'account B viene infettato poco dopo un post BEK dall'account A, è molto probabile che l'account A sia stato la fonte. I ricercatori hanno modellato queste relazioni in un grafico a grappolo che mostrava chiaramente un piccolo numero di account che causavano un numero enorme di infezioni. Si tratta di account creati da un proprietario del kit di exploit Blackhole specificamente allo scopo di diffondere l'infezione.

Matthews ha osservato che a questo punto avevano la capacità di informare gli utenti i cui account erano infetti, ma ritenevano che ciò potesse essere visto come troppo invasivo. Sta lavorando per stare insieme a Twitter per vedere cosa si può fare.

Le moderne tecniche di data mining e analisi dei big data consentono ai ricercatori di trovare modelli e relazioni che sarebbero stati semplicemente impossibili da raggiungere solo pochi anni fa. Non tutte le ricerche di conoscenza ripagano, ma questa è stata vinta. Spero sinceramente che il professor Matthews riesca a interessare Twitter a un'applicazione pratica di questa ricerca.

I ricercatori isolano i sintomi del kit di exploit blackhole, individuano account twitter infetti