Video: Como detectar y eliminar malware, adware, spyware y troyanos en windows 10, 8 y 7 (Octombrie 2024)
Vern Paxson, profesor de inginerie electrică și științele computerelor la Universitatea din California, Berkeley, este faimos în comunitatea de securitate pentru o lucrare din 2002 intitulată Cum să dețină internetul în timpul tău liber (printre multe alte fețe). Pe baza unei analize detaliate a viermilor Cod Red și Nimda, lucrarea a promovat necesitatea unui „centru pentru controlul bolilor”. În aceste zile, Paxson se uită la un alt mod de gestionare a problemelor de securitate la scară largă - infiltrare. Nota sa principală în cadrul celei de-a 10-a Conferințe internaționale privind software-ul rău intenționat și nedorit (MalCon 2015, pe scurt), m-a impresionat pe mine și pe participanți cu simplitatea acestei abordări.
Faceți bani mari în timpul liber
Vrei să faci bani mari în industria malware? Nu trebuie să fii codificator. Chiar dacă aveți aceste abilități, nu trebuie să învățați toate aspectele legate de crearea și distribuirea programelor malware. Există diferite locuri de muncă diferite în ecosistemul malware.
Figura cheie a acestui ecosistem este brokerul, tipul care cunoaște afaceri, dar nu codifică. Are două tipuri de clienți. Codificatorii Malware au un software urât pe care ar dori să îl instaleze pe multe PC-uri de consum. Ar putea fi antivirus fals, ransomware, componente de botnet, aproape orice. Apoi sunt afiliații, codificatorii care au resurse pentru a instala software-ul arbitrar instalat pe sisteme neprotejate. Ei folosesc tehnici precum descărcările drive-by, spam și phishing pentru a aplica un sistem de descărcare pe sistemele de victime.
Acum roțile încep să se rotească. Coderii Malware se contractă pentru a plăti brokerului pentru instalarea codului lor pe cât mai multe sisteme. Afiliații primesc descărcări instalate pe cât mai multe sisteme. Descărcătorul contactează brokerul, care furnizează malware de la codificatori, probabil mai multe instanțe. Și afiliații sunt plătiți în funcție de numărul de instalații. Toată lumea face un efect în acest sistem Pay Per Install (PPI) și aceste rețele sunt uriașe.
„Există câteva străluciri aici”, a spus Paxson. "Brokerul nu face nimic, nu se desparte, nu își dă seama de exploatări. Brokerul este doar un intermediar, care câștigă profituri. Afiliații nu trebuie să negocieze cu baddies sau să știe ce să facă după ce a intrat. Toți membrii trebuie doar să își facă partea."
Tipii răi au o securitate proastă
"Istoric, detectarea atacurilor de rețea a fost un joc de bătăi de cap", a remarcat Paxson. Aruncă un atac, apare altul. Nu este un joc pe care îl poți câștiga.
Echipa sa a încercat o abordare diferită față de acest sistem PPI. Au capturat mostre de diferiți descărcători și le-au proiectat invers pentru a determina modul în care comunică cu brokerii respectivi. Înarmați cu aceste informații, ei au conceput un sistem care să-l explodeze pe broker cu cereri de malware descărcabile. Paxson numește această tehnică „mulsul” brokerului malware.
- Ai crede că asta va eșua, a spus Paxson. "Sigur că brokerul are un fel de sistem de autentificare sau de limitare a ratei?" Dar, după cum se dovedește, nu o fac. "Elementele informatice care nu se confruntă cu malware sunt cu zece ani în urmă în propria lor securitate, poate cincisprezece", a continuat el. „Sunt orientate către clienți, nu se confruntă cu malware”. Există oa doua interacțiune prin care afiliatul solicită credit pentru descărcare; Echipa lui Paxson a omis în mod firesc acel pas.
În cinci luni, experimentul a extras un milion de binare, reprezentând 9.000 de familii malware distincte, din patru programe de afiliere. Corelând acest lucru cu o listă cu cele mai frecvente 20 de familii de malware, echipa a stabilit că acest tip de distribuție ar putea fi, de fapt, vectorul unu pentru distribuirea malware. „Am descoperit că probele noastre erau cu aproximativ o săptămână înainte de VirusTotal”, a spus Paxson. "Îl îmbunătățim. De îndată ce brokerii vor să-l împingă, îl primim. Odată ce este pe VirusTotal, nu îl împingeți."
Ce altceva ne putem infiltra?
Echipa lui Paxson a luat și site-uri web care vând conturi de lucru pentru multe servicii diferite. El a menționat că conturile sunt complet valabile, și nu tocmai ilegale, deoarece „singura lor infracțiune este încălcarea Termenilor și condițiilor”. Facebook și Google costă cel mai mult la mie, deoarece necesită verificarea telefonului. Conturile Twitter nu sunt la fel de scumpe.
Cu permisiunea Twitter, grupul de cercetare a cumpărat o colecție mare de conturi false. Analizând conturile, inclusiv metadatele furnizate de Twitter, au dezvoltat un algoritm pentru detectarea conturilor create folosind aceeași tehnică de înregistrare automată, cu o precizie de 99, 462%. Folosind acest algoritm, Twitter a eliminat acele conturi; a doua zi, site-urile de vânzare a contului trebuiau să anunțe că nu sunt pe stoc. „Ar fi fost mai bine să reziliem conturile la prima utilizare”, a remarcat Paxson. "Asta ar fi creat confuzie și ar fi subminat de fapt ecosistemul."
Cu siguranță ați primit oferte de spam pentru a vă vinde suplimente de performanță pentru bărbați, „adevărate” Rolexes și altele. Lucrul pe care îl au în comun este că trebuie să accepte de fapt plata și să vă expedieze produsul. Există o mulțime de link-uri implicate în introducerea spam-ului în Inbox, în gestionarea cumpărăturii și în livrarea produsului. Achiziționând de fapt unele articole legale, ei au descoperit că legătura slabă din acest sistem a obținut clarificarea tranzacției cu cardul de credit. "În loc să încerce să perturbe botnetul care dă spam", a spus Paxson, "nu l-am făcut util". Cum? Ei l-au convins pe furnizorul de carduri de credit să lista neagră a trei bănci, în Azerbaidjan, Letonia și St. Kitts și Nevis.
Deci, ce este de luat? "Cu un atac pe Internet la scară foarte mare", a spus Paxson, "nu există o modalitate simplă de a preveni infiltrarea. Infiltrarea este semnificativ mai eficientă decât încercarea de a proteja fiecare punct final."
MalCon este o conferință de securitate foarte mică, în jur de 50 de participanți, care reunește academicieni, industrie, presă și guvern. Este susținută de Universitatea Brandeis și Institutul de Ingineri Electronici și Electronici (IEEE), printre altele. Sponsorii din acest an includ Microsoft și Secudit. Am văzut o serie de lucrări de la MalCon apărute câțiva ani mai târziu, cu cercetări mai mature, la conferința Black Hat, așa că acord o atenție deosebită celor prezentate aici.
