レビュー マルウェアを配布する大金を稼ぐ(ただし、しない)

マルウェアを配布する大金を稼ぐ(ただし、しない)

ビデオ: 【真・if戦記】プーシャヤンスタ戦【ボス戦】 (12月 2024)

ビデオ: 【真・if戦記】プーシャヤンスタ戦【ボス戦】 (12月 2024)
Anonim

カリフォルニア大学バークレー校の電気工学およびコンピューターサイエンスの教授であるVern Paxsonは、(他の多くの偉業の中でも)余暇にインターネットを所有する方法というタイトルの2002年の論文でセキュリティコミュニティで有名です。 Code RedワームとNimdaワームの詳細な分析に基づいて、この論文はサイバー「疾病管理センター」の必要性を促進しました。 最近、Paxsonは大規模なセキュリティ問題を処理するための別のモード、つまり侵入を検討しています。 第10回国際悪意のあるソフトウェアと不要なソフトウェアに関する国際会議(略してMalCon 2015)での彼の基調講演は、私と参加者にこのアプローチの素直さに感銘を受けました。

余暇に大金を稼ぐ

マルウェア業界で大金を稼ぎたいですか? あなたはコーダーである必要はありません。 これらのスキルを持っている場合でも、マルウェアの作成と配布のすべての側面を学ぶ必要はありません。 マルウェアエコシステムにはさまざまな仕事があります。

このエコシステムの重要な人物は、ビジネスは知っているがコーディングはしていないブローカーです。 彼には2種類の顧客がいます。 マルウェアコーダーには、多くのコンシューマPCにインストールしたい厄介なソフトウェアがあります。 偽のアンチウイルス、ランサムウェア、ボットネットコンポーネントなど、ほぼすべての可能性があります。 さらに、保護されていないシステムに任意のソフトウェアをインストールするためのリソースを持っているアフィリエイト、コーダーがいます。 ドライブバイダウンロード、スパム、フィッシングなどの手法を使用して、被害者のシステムにダウンローダーを押し付けます。

車輪が回転し始めます。 マルウェアコーダーは、可能な限り多くのシステムにコードをインストールするためにブローカーに支払う契約をします。 アフィリエイトは、できるだけ多くのシステムにダウンローダーをインストールします。 ダウンローダーは、おそらく複数のインスタンスであるコーダーからマルウェアを提供するブローカーに連絡します。 そして、アフィリエイトはインストール数に基づいて支払いを受けます。 誰もがこのPay Per Install(PPI)システムに投資しており、これらのネットワークは巨大です。

「ここにはいくつかの輝きがあります」とパクソンは言いました。 「ブローカーは何もせず、侵入もせず、エクスプロイトも把握していません。ブローカーは利益を得る仲介者にすぎません。アフィリエイトは悪役と交渉したり、侵入後に何をすべきかを知る必要はありません。メンバー全員が自分の役割を果たさなければなりません。」

悪い男は悪いセキュリティを持っています

「歴史的に、ネットワーク攻撃の検出は、もぐらたたきのゲームでした」とPaxson氏は述べています。 ある攻撃を打ち倒し、別の攻撃をポップアップします。 勝てるゲームではありません。

彼のチームは、このPPIシステムに対して異なるアプローチを試みました。 さまざまなダウンローダーのサンプルをキャプチャし、リバースエンジニアリングして、それぞれのブローカーとの通信方法を決定しました。 この情報を活用して、彼らはダウンロード可能なマルウェアのリクエストでブローカーを爆破するシステムを考案しました。 Paxsonは、この手法をマルウェアブローカーの「搾乳」と呼びます。

「これは失敗すると思う」とパクソンは言った。 「確かにブローカーには何らかの認証システムがありますか、それともレート制限ですか?」 しかし、結局のところ、そうではありません。 「マルウェアに直面していないサイバー犯罪要素は、独自のセキュリティで10年、おそらく15年遅れています」と彼は続けました。 「それらは顧客向けであり、マルウェア向けではありません。」 アフィリエイトがダウンロードのクレジットを要求する2番目の対話があります。 Paxsonのチームは当然そのステップをスキップしました。

5か月で、この実験は4つのアフィリエイトプログラムから9, 000の異なるマルウェアファミリを表す100万のバイナリを搾り出しました。 これを最も一般的な20のマルウェアファミリのリストと関連付けて、チームは、この種の配布がマルウェア配布の最大のベクトルである可能性があると判断しました。 「サンプルはVirusTotalの約1週間先にあることがわかりました」とPaxson氏は述べています。 「私たちはそれを新鮮にしています。ブローカーがそれを押し出したいと思うとすぐに、私たちはそれを手に入れています。VirusTotalになったら、それを押してはいけません。」

他に何を浸透させることができますか?

Paxsonのチームは、多くのさまざまなサービスのワーキングアカウントを販売するWebサイトも利用しました。 彼は、「彼らの唯一の犯罪は利用規約に違反している」ため、アカウントは完全に有効であり、厳密に違法ではないことに注意した。 FacebookとGoogleは、電話による確認が必要なため、1000あたりのコストが最も高くなります。 Twitterアカウントはそれほど高価ではありません。

Twitterの許可を得て、研究グループは大量の偽アカウントを購入しました。 Twitterから提供されたメタデータを含むアカウントを分析することで、同じ自動登録手法を使用して作成されたアカウントを99.462%の精度で検出するアルゴリズムを開発しました。 このアルゴリズムを使用して、Twitterはこれらのアカウントを削除しました。 翌日、アカウント販売Webサイトは在庫切れを発表する必要がありました。 「最初の使用時にアカウントを終了する方がよかったでしょう」とPaxson氏は述べています。 「それは混乱を引き起こし、実際に生態系を弱体化させていただろう。」

男性向けのパフォーマンスサプリメント、「本物の」ロレックスなどを販売するためのスパムを確実に提供しています。 彼らが共通していることは、彼らが実際に支払いを受け入れて、あなたに製品を出荷しなければならないということです。 迷惑メールを受信トレイに入れたり、購入を処理したり、製品を受け取ったりする際に関係するリンクがたくさんあります。 実際にいくつかの法的アイテムを購入することにより、彼らはこのシステムの弱いリンクがクレジットカードの取引をクリアすることを発見しました。 「スパムを拡散するボットネットを混乱させようとするのではなく、私たちはそれを役に立たないものにした」とパクソンは語った。 どうやって? 彼らは、アゼルバイジャン、ラトビア、セントクリストファーネイビスの3つの銀行をブラックリストに登録するようクレジットカードプロバイダーを説得しました。

それで、持ち帰りは何ですか? 「本当に大規模なインターネット攻撃では、浸潤を防ぐ簡単な方法はありません。浸潤は各エンドポイントを保護するよりもはるかに効果的です。」

MalConは、約50人が参加する非常に小規模なセキュリティ会議であり、学者、産業界、マスコミ、政府を結び付けます。 これは、特にブランダ​​イス大学と電気電子技術者協会(IEEE)の支援を受けています。 今年のスポンサーには、MicrosoftとSecuditが含まれます。 数年後、MalConの多くの論文がBlack Hatカンファレンスでより成熟した研究で発表されているのを見てきたので、ここで示されていることに細心の注意を払っています。

マルウェアを配布する大金を稼ぐ(ただし、しない)