ビデオ: AT&T ThreatTraq - Blackhole Exploit Kit Goes 2.0 (9/20/2012) (十一月 2024)
プログラムが悪意のある電子メールメッセージを通常のメールと区別する方法を調査したい場合は、何百万もの実際のサンプルを分析する必要があります。 ただし、NSAに友人がいない限り、これらのサンプルを入手するのは困難です。 一方、Twitterは放送メディアです。 実質的にすべてのツイートは、興味のある人に表示されます。 ジャンナ・マシューズ教授と博士 クラークソン大学の学生Joshua Whiteは、この事実を利用して、Blackhole Exploit Kitによって生成されたツイートの信頼できる識別子を発見しました。 彼らのプレゼンテーションは、悪意のあるソフトウェアと不要なソフトウェアに関する第8回国際会議(略称2013年マルウェア)で最高の論文として認められました。
Blackhole Exploit Kitを購入すると、スパムを送信したり、ボットの軍隊を作成したり、個人情報を盗もうとする衝動に駆られます。 マシューズは、ある推定ではBEKが2012年のすべてのマルウェア感染の半分以上に関与していたことを示唆していると報告しました。 Blackholeの著者とされる最近の逮捕にもかかわらず、このキットは重大な問題であり、拡散する多くの方法の1つにTwitterアカウントの乗っ取りが含まれます。 感染したアカウントは、クリックすると次の犠牲者を要求するリンクを含むツイートを送信します。
線の下に
マシューズとホワイトは、2012年の間にTwitterから数テラバイトのデータを収集しました。彼女は、そのデータセットには、その間のすべてのツイートの50〜80%が含まれると推定しています。 彼らが得たのは、1ツイートあたり140文字以上でした。 各ツイートのJSONヘッダーには、送信者、ツイート、および他のアカウントとの接続に関する豊富な情報が含まれています。
簡単な事実から始まりました。BEKが生成したツイートの中には、「写真はあなたですか?」などの特定のフレーズが含まれています。 または「パーティーでヌードだった)クールな写真」などの挑発的なフレーズ。 これらの既知のフレーズの巨大なデータセットをマイニングすることにより、感染したアカウントを特定しました。 これにより、BEKによって生成されたツイートの新しいフレーズやその他のマーカーが表示されます。
論文自体は学術的で完全ですが、最終結果は非常に簡単です。 特定のTwitterアカウントの出力に適用すると、感染したアカウントをクリーンなアカウントから確実に分離できる比較的単純なメトリックを開発しました。 アカウントのスコアが特定のラインを超えている場合、アカウントは正常です。 線の下では、感染しています。
誰が誰に感染したのか?
感染したアカウントを特定するためのこの明確な方法で、彼らは感染プロセスを分析し続けました。 感染しているアカウントAに続いて、クリーンなアカウントBがあるとします。 アカウントAによるBEK投稿の直後にアカウントBが感染した場合、アカウントAがソースであった可能性が非常に高くなります。 研究者は、これらの関係をクラスターグラフでモデル化し、少数のアカウントが膨大な数の感染を引き起こしていることを非常に明確に示しました。 これらは、感染を広めるためにBlackhole Exploit Kitの所有者によって特別に設定されたアカウントです。
マシューズは、この時点で、アカウントが感染しているユーザーに通知する機能がありましたが、これはあまりにも侵襲的とみなされる可能性があると感じました。 彼女は、何ができるのかを知るために、Twitterと協力することに取り組んでいます。
最新のデータマイニングおよびビッグデータ分析技術により、研究者は、ほんの数年前には到達できなかったパターンや関係を見つけることができます。 すべての知識の探求が報われるわけではありませんが、これはスペードで行いました。 マシューズ教授がTwitterでこの研究の実用化に興味を持ってくれることを心から願っています。