הרווח כסף גדול בהפצת תוכנות זדוניות (אך אל תעשה)

ורן פקסון, פרופסור להנדסת חשמל ומדעי מחשב באוניברסיטת קליפורניה, ברקלי, מפורסם בקהילת האבטחה בזכות מאמר משנת 2002 שכותרתו כיצד להחזיק באינטרנט בזמנך הפנוי (בין יתר הביצועים האחרים). בהתבסס על ניתוח מפורט של תולעי הקוד האדום ונמדה, העידון קידם את הצורך במרכז "Cyber ​​for Control Disease". בימינו, פקססון בוחן מצב אחר לטיפול בבעיות אבטחה בקנה מידה גדול - הסתננות. נקודת המפתח שלו בכנס הבינלאומי העשירי לתוכנה זדונית ולא רצויה (MalCon 2015 בקיצור) הרשימה אותי ואת הנוכחים במידת ההישגיות של גישה זו.

הרווח כסף גדול בזמן הפנוי שלך

רוצה להרוויח כסף גדול בתעשיית התוכנות הזדוניות? אתה לא צריך להיות מקודד. אפילו אם יש לך כישורים אלה, אינך צריך ללמוד את כל ההיבטים של יצירה והפצה של תוכנות זדוניות. במערכת האקולוגית של תוכנות זדוניות קיימות עבודות שונות ומגוונות.

דמות המפתח במערכת האקולוגית הזו היא המתווך, הבחור שמכיר עסקים אך לא קידוד. יש לו שני סוגים של לקוחות. לקודני תוכנה זדונית יש תוכנה מגעילה שהם היו רוצים להתקין במחשבים צרכניים רבים. זה יכול להיות אנטי-וירוס מזויף, תוכנות ransomware, רכיבי botnet, כמעט כל דבר. יש את הסניפים, המקודדים שיש להם את המשאבים להתקין תוכנה שרירותית במערכות לא מוגנות. הם משתמשים בטכניקות כמו הורדות לפי דרישה, דואר זבל והתחזות כדי להפעיל הורדה במערכות הקורבן.

עכשיו הגלגלים מתחילים להסתובב. קודאי תוכנה זדונית מתכוונים לשלם למתווך עבור התקנת הקוד שלהם בכמה שיותר מערכות. השותפים מורידים הורדות על כמה שיותר מערכות. ההורדה יוצרת קשר עם המתווך, המספק תוכנה זדונית מהקודנים, ככל הנראה מספר מקרים. והסניפים מקבלים שכר על פי מספר ההתקנות. כולם מרוויחים כסף במערכת PPI (Pay Per Install) זו, והרשתות הללו ענקיות.

"יש כאן כמה הברקות, " אמר פקסון. "המתווך לא עושה דבר, לא פורץ פנימה, לא מגלה ניצולים. המתווך הוא רק מתווך, לוקח רווחים. חברות כלולות אינן צריכות לנהל משא ומתן עם רעות או לדעת מה לעשות לאחר פריצה. כל החברים רק צריכים לעשות את שלהם."

לאנשים רעים יש ביטחון רע

"באופן היסטורי, איתור התקפות רשת היה משחק של שומה, " ציין פקסון. הרס התקפה אחת, אחרת צצה. זה לא משחק שאתה יכול לנצח.

הצוות שלו ניסה גישה שונה נגד מערכת PPI זו. הם תפסו דגימות של הורדות שונות והנדסו אותם לאחור כדי לקבוע כיצד הם מתקשרים עם המתווכים שלהם. חמושים במידע זה, הם המציאו מערכת שתפוצץ את המתווך בבקשות לתוכנות זדוניות שניתן להוריד. פקססון מכנה טכניקה זו "חליבה" של מתווך התוכנות הזדוניות.

"היית חושב שזה ייכשל, " אמר פקסון. "בוודאי שיש למתווך מערכת אימות כלשהי, או מגבילת קצב?" אבל מסתבר שהם לא. "אלמנטים של פשעי רשת שלא מתמודדים עם תוכנות זדוניות נמצאים אחרי עשר שנים בביטחון שלהם, אולי חמישה עשר, " הוא המשיך. "הם פונים ללקוח, ולא מול תוכנות זדוניות." יש אינטראקציה שנייה שבאמצעותה השותף תובע אשראי בגין ההורדה; הצוות של פקסון דילג באופן טבעי על הצעד הזה.

בחמישה חודשים חילק הניסוי מיליון בינאריים, המייצגים 9, 000 משפחות זדוניות מובחנות, מארבע תוכניות שותפות. בקישור זה עם רשימה של 20 משפחות הנפוצה הנפוצות הנפוצות ביותר, הצוות קבע כי הפצה מסוג זה עשויה להוות את הווקטור מספר אחת להפצת תוכנות זדוניות. "מצאנו שהדגימות שלנו היו כשבוע לפני VirusTotal", אמר פקסון. "אנחנו מקבלים את זה טרי. ברגע שהמתווכים רוצים לדחוף אותו, אנחנו מקבלים את זה. ברגע שזה על VirusTotal אתה לא דוחף את זה."

לאילו דברים אחרים אנו יכולים להסתנן?

הצוות של פקסון לקח גם אתרים שמוכרים חשבונות עובדים עבור שירותים רבים ושונים. הוא ציין כי החשבונות תקפים לחלוטין, ולא בדיוק לא חוקיים, מכיוון ש"העבירה היחידה שלהם היא הפרת תנאי השירות ". פייסבוק וגוגל עולים הכי הרבה לאלף, מכיוון שהם דורשים אימות טלפוני. חשבונות טוויטר אינם יקרים כל כך.

באישור טוויטר, קבוצת המחקר רכשה אוסף גדול של חשבונות מזויפים. על ידי ניתוח החשבונות, כולל מטא נתונים שסופקו על ידי טוויטר, הם פיתחו אלגוריתם לגילוי חשבונות שנוצרו באותה טכניקת רישום אוטומטית, עם 99.462% דיוק. באמצעות אלגוריתם זה, טוויטר הסירה את החשבונות האלה; למחרת, אתרי מכירת החשבונות נאלצו להודיע ​​שהם לא במלאי. "עדיף היה לסיים את החשבונות עם השימוש הראשון", ציין פקסון. "זה היה יוצר בלבול ומערער למעשה את המערכת האקולוגית."

בטח קיבלת הצעת דואר זבל למכור לך תוספי ביצועים גבריים, רולקסים "אמיתיים" וכדומה. המשותף להם הוא שהם בעצם צריכים לקבל תשלום ולשלוח אליכם את המוצר. ישנם טונות של קישורים שמעורבים בהכנסת הספאם לתיבת הדואר הנכנס שלך, טיפול ברכישה וקבלת המוצר אליך. על ידי רכישה בפועל של כמה פריטים משפטיים, הם גילו שהחוליה החלשה במערכת זו מסלקת את עסקת כרטיסי האשראי. "במקום לנסות לשבש את הבוטנט התפוצץ זבל", אמר פקסון, "לא הפכנו את זה לבלתי מועיל." איך? הם שכנעו את ספק כרטיסי האשראי ברשימה השחורה של שלושה בנקים, באזרבייג'ן, לטביה, וסנט קיטס ונוויס.

אז מה הניתוק? "עם מתקפת אינטרנט בהיקף גדול באמת", אמר פקסון, "אין דרך קלה למנוע חדירה. הסתננות היא יעילה משמעותית מאשר לנסות להגן על כל נקודת קצה."

MalCon הוא ועידת אבטחה קטנה מאוד, בערך 50 משתתפים, המפגישה בין אנשי אקדמיה, תעשיה, עיתונות וממשל. זה מגובה על ידי אוניברסיטת ברנדייס והמכון למהנדסי חשמל ואלקטרוניקה (IEEE), בין היתר. נותני החסות השנה כוללים את מיקרוסופט ו- Secudit. ראיתי מספר מאמרים של MalCon מופיעים כמה שנים אחר כך, עם מחקר בוגר יותר, בכנס השחור כובע, אז אני שם לב מקרוב למה שמוצג כאן.