Video: Троян JS.ТыИдиот(YouAreAnIdiot) (Marraskuu 2024)
Kalifornian yliopiston Berkeleyn sähkötekniikan ja tietotekniikan professori Vern Paxson tunnetaan turvallisuusyhteisössä vuoden 2002 paperista, jonka otsikko on Internetin omistaminen vara-ajalla (monien muiden suositusten joukossa). Code Red- ja Nimda-madojen yksityiskohtaiseen analyysiin perustuen artikkelissa tuotiin esiin Cyber "Taudinhallintakeskuksen" tarve. Nykyään Paxson etsii erilaista tapaa käsitellä suuria tietoturvaongelmia - tunkeutumista. Hänen avaintoimintansa kymmenennessä kansainvälisessä haitallisia ja ei-toivottuja ohjelmistoja käsittelevässä konferenssissa (lyhyt MalCon 2015) teki minuun ja osallistujiin vaikutuksen tämän lähestymistavan suoraviivaisuudella.
Tee suuria osia vapaa-ajallasi
Haluatko tehdä suuria dollareita haittaohjelmateollisuudessa? Sinun ei tarvitse olla koodaaja. Vaikka sinulla olisi nämä taidot, sinun ei tarvitse oppia kaikkia haittaohjelmien luomisen ja levityksen näkökohtia. Haittaohjelmien ekosysteemissä on useita erilaisia työpaikkoja.
Avainhenkilö tässä ekosysteemissä on välittäjä, kaveri, joka tuntee liiketoiminnan mutta ei koodaa. Hänellä on kahdenlaisia asiakkaita. Haittaohjelmakoodereilla on ilkeä ohjelmisto, jonka he haluaisivat asentaa moniin kuluttaja-tietokoneisiin. Se voi olla väärennetty virustentorjunta, ransomware, botnet-komponentit, melkein mikä tahansa. Sitten on tytäryhtiöitä, koodereita, joilla on resursseja saada mielivaltainen ohjelmisto asennettavaksi suojaamattomiin järjestelmiin. He käyttävät tekniikoita, kuten ajotapahtumat, roskapostit ja tietojenkalastelu, saadakseen lataajan uhrin järjestelmiin.
Nyt pyörät alkavat kääntyä. Haittaohjelmakooderit maksavat välittäjälle koodinsa asentamisesta mahdollisimman moniin järjestelmiin. Tytäryhtiöt saavat lataajat asentamaan mahdollisimman moniin järjestelmiin. Downloader ottaa yhteyttä välittäjään, joka toimittaa haittaohjelmat kooderilta, todennäköisesti useasta tapauksesta. Ja tytäryhtiöt saavat maksun asennusten lukumäärän perusteella. Tässä PPI-järjestelmässä kaikki tekevät askeleen, ja nämä verkot ovat valtavat.
"Täällä on pari loistoa", sanoi Paxson. "Välittäjä ei tee mitään, ei murtaudu sisään, ei selvitä hyväksikäyttöä. Välittäjä on vain välittäjä ja saa voittoja. Tytäryhtiöiden ei tarvitse neuvotella pahiksten kanssa tai tietää, mitä tehdä asettamisen jälkeen. Kaikkien jäsenten on vain tehtävä osansa."
Huonoilla kavereilla on huono turvallisuus
"Verkkohyökkäysten havaitseminen on historiallisesti ollut pelaamisen peliä", totesi Paxson. Haista yksi hyökkäys, toinen aukeaa. Se ei ole peli, jota voit voittaa.
Hänen tiiminsä kokeili erilaista lähestymistapaa tätä PPI-järjestelmää vastaan. He ottivat näytteitä eri lataajista ja suunnittelivat niitä selvittääkseen kuinka he kommunikoivat vastaavien välittäjien kanssa. Aseillaan nämä tiedot, he kehittivät järjestelmän räjäyttämään välittäjän pyynnöillä ladattavia haittaohjelmia. Paxson kutsuu tätä tekniikkaa "lypsämään" haittaohjelmien välittäjää.
"Luulet tämän epäonnistuvan", sanoi Paxson. "Varmasti, että välittäjällä on jonkinlainen todennusjärjestelmä vai rajoittavaa?" Mutta kuten käy ilmi, he eivät. "Tietoverkkorikolliset elementit, jotka eivät ole haittaohjelmien vastaisia, ovat kymmenen vuotta jäljessä omassa turvallisuudessaan, ehkä viidentoista", hän jatkoi. "Ne ovat asiakasläheisiä, eivät haittaohjelmia." On olemassa toinen vuorovaikutus, jolla tytäryhtiö vaatii hyvitystä lataukselle; Paxsonin joukkue ohitti luonnollisesti tämän askeleen.
Viiden kuukauden kuluessa kokeilu lopetti miljoonasta binaarista, jotka edustavat 9 000 erillistä haittaohjelmaperhettä, neljästä tytäryhtiöohjelmasta. Yhdistäen tämän 20 yleisimmän haittaohjelmistoperheen luetteloon, ryhmä päätti, että tällainen jakelu voisi olla ajateltavissa ykkösvektori haittaohjelmien jakeluun. "Havaitsimme, että näytteemme olivat noin viikko ennen VirusTotalia", sanoi Paxson. "Me saamme sen tuoreeksi. Heti kun välittäjät haluavat työntää sen ulos, saamme sen. Kun olet VirusTotalissa, et työnnä sitä."
Mitä muuta voimme suodattaa?
Paxsonin tiimi otti myös verkkosivuja, jotka myyvät työtilejä monille eri palveluille. Hän totesi, että tilit ovat täysin päteviä, eivätkä aivan laittomia, koska "heidän ainoa rikoksensa on palvelusehtojen vastainen." Facebook ja Google maksavat eniten tuhatta, koska ne edellyttävät puhelimen varmennusta. Twitter-tilit eivät ole aivan yhtä kalliita.
Twitterin luvalla tutkimusryhmä osti suuren kokoelman vääriä tilejä. Analysoimalla tilejä, mukaan lukien Twitterin toimittamat metatiedot, he kehittivät algoritmin tunnistamaan samalla automatisoidulla rekisteröintitekniikalla luodut tilit 99, 462% tarkkuudella. Tätä algoritmia käyttämällä Twitter poisti kyseiset tilit; seuraavana päivänä tiliä myyvien verkkosivustojen oli ilmoitettava, että ne ovat loppuneet. "Olisi ollut parempi lopettaa tilit ensimmäisellä käytöllä", totesi Paxson. "Se olisi luonut sekaannusta ja heikentänyt ekosysteemiä."
Olet varmasti saanut roskapostin tarjoamiseksi myydäksesi sinulle urossuorituslisätuotteita, "oikeita" Rolexes-tuotteita ja sellaisia. Heillä on yhteistä se, että heidän on todella hyväksyttävä maksu ja lähetettävä sinulle tuote. Roskapostin saaminen Saapuneet-kansioon, ostoksen käsittely ja tuotteen saaminen Sinulle on monta linkkiä. Ostamalla tosiasiallisesti joitain laillisia tavaroita, he huomasivat, että tämän järjestelmän heikko linkki saa luottokorttitapahtuman selvitetyksi. "Sen sijaan, että yrittäisimme häiritä roskapostia käsittelevää bottiverkkoa", Paxson sanoi, "teimme siitä, että se ei ollut hyödyllinen." Miten? He vakuuttivat luottokorttioperaattorin mustalle listalle kolmessa pankissa, Azerbaidžanissa, Latviassa, sekä St. Kittsissä ja Nevisissä.
Joten mikä on takeaway? "Todella laajamittaisella Internet-hyökkäyksellä", Paxson sanoi, "ei ole helppoa tapaa estää tunkeutumista. Suodatus on huomattavasti tehokkaampaa kuin jokaisen päätepisteen suojaaminen."
MalCon on hyvin pieni turvallisuuskonferenssi, noin 50 osanottajaa, joka tuo akateemikot, teollisuuden, lehdistön ja hallituksen yhteen. Sitä tukevat muun muassa Brandeisin yliopisto ja sähkö- ja elektroniikkainsinöörien instituutti (IEEE). Tämän vuoden sponsoreita ovat Microsoft ja Secudit. Olen nähnyt joukon MalConin kirjoituksia, jotka ilmestyvät muutamaa vuotta myöhemmin, kypsämmällä tutkimuksella, Black Hat -konferenssissa, joten kiinnitän tarkkaan huomiota tähän.