Video: Blackhole Exploit Kit Phishing Attack (Decembris 2024)
Ja vēlaties izpētīt, kā programma var atšķirt ļaunprātīgus e-pasta ziņojumus no parastajiem pasts, vēlaties analizēt miljoniem reālās pasaules paraugu, kas ir slikti un labi. Tomēr, ja vien jums nav drauga NSA, jums būtu grūti iegūt šos paraugus. Savukārt Twitter ir pārraides līdzeklis. Praktiski katrs tvīts ir redzams visiem interesentiem. Profesore Jeanna Matthews un Ph.D. Klārksona universitātes students Džošua Vaits izmantoja šo faktu, lai atklātu uzticamu tweet identifikatoru, kas izveidots Blackhole Exploit Kit. Viņu prezentācija tika atzīta par labāko darbu 8. Starptautiskajā konferencē par ļaunprātīgu un nevēlamu programmatūru (īsi - Malware 2013).
Ikviens, kurš mudina sūtīt surogātpastu, izveidot robotu armiju vai nozagt personisko informāciju, var sākt darbu, iegādājoties Blackhole Exploit Kit. Metjūss ziņoja, ka viens aprēķins liecina, ka BEK 2012. gadā bija iesaistīta vairāk nekā pusē visu ļaunprātīgas programmatūras invāziju. Citā ziņojumā BEK ir piesaistīts 29 procentiem no visiem kaitīgajiem URL. Neskatoties uz neseno Blackhole domājamā autora arestu, komplekts ir būtiska problēma, un viens no daudzajiem tā izplatīšanas veidiem ir Twitter kontu pārņemšana. Inficētie konti sūta tvītus ar saitēm, uz kurām pēc noklikšķināšanas tiek apgalvots viņu nākamais upuris.
Zem līnijas
Metjūsa un Vaita 2012. gadā no Twitter savāca vairākus terabaitus datu no Twitter. Viņa lēš, ka viņu datu kopā ir no 50 līdz 80 procentiem no visiem tviteriem tajā laikā. Viņi ieguva daudz vairāk nekā tikai 140 rakstzīmes vienā tvītā. Katra čivināt JSON galvenē ir daudz informācijas par sūtītāju, tvītu un tā saistību ar citiem kontiem.
Viņi sāka ar vienkāršu faktu: dažos BEK ģenerētos tvītos ir iekļautas īpašas frāzes, piemēram, "Vai tu esi uz foto?" vai provokatīvākas frāzes, piemēram, "Tu ballītē biji pliks (foršs foto)". Izzinot milzīgo šo zināmo frāžu datu kopu, viņi identificēja inficētos kontus. Tas savukārt ļāva viņiem parādīt jaunas frāzes un citus BEK ģenerēto tweets marķierus.
Pats darbs ir akadēmisks un pilnīgs, taču gala rezultāts ir diezgan vienkāršs. Viņi izstrādāja salīdzinoši vienkāršu metriku, kas, piemērojot attiecīgā Twitter konta izvadi, varēja droši atdalīt inficētos kontus no tīrajiem. Ja konta rādītājs pārsniedz noteiktu līniju, konts ir kārtībā; zem līnijas, tas ir inficēts.
Kurš inficēja?
Izmantojot šo skaidru metodi inficēto kontu atšķiršanai, viņi turpināja analizēt inficēšanās procesu. Pieņemsim, ka konts B, kas ir tīrs, seko kontam A, kurš ir inficēts. Ja konts B tiek inficēts neilgi pēc tam, kad konts A ir ienācis BEK, iespējams, ka avots bija konts A. Pētnieki šīs attiecības modelēja klasteru diagrammā, kas ļoti skaidri parādīja nelielu kontu skaitu, izraisot milzīgu infekciju skaitu. Šie ir konti, ko Blackhole Exploit Kit īpašnieks ir izveidojis īpaši infekcijas izplatīšanas nolūkā.
Metjūss atzīmēja, ka šajā brīdī viņi varēja paziņot lietotājiem, kuru konti ir inficēti, taču viņi uzskatīja, ka to var uzskatīt par pārāk invazīvu. Viņa strādā, lai sazinātos ar Twitter, lai redzētu, ko var izdarīt.
Mūsdienu datu ieguve un lielo datu analīzes paņēmieni ļauj pētniekiem atrast modeļus un attiecības, kuras būtu bijis vienkārši neiespējami sasniegt tikai pirms dažiem gadiem. Ne visi zināšanu meklējumi atmaksājas, bet tas notika lāpstiņās. Es patiesi ceru, ka profesoram Metjūsam izdosies ieinteresēt Twitter par šī pētījuma praktisko pielietojumu.
