视频: æ½®å·å¸å ´ä¸é¶ç·æéå ¬å¸ä¼ä¸å®£ä¼ ç (十一月 2024)
加州大学伯克利分校电气工程与计算机科学教授Vern Paxson在2002年发表的一篇题为《如何在业余时间拥有互联网》的论文(在许多其他成就中),在安全界享有盛誉。 在对Red Code和Nimda蠕虫进行详细分析的基础上,本文提出了对网络“疾病控制中心”的需求。 如今,Paxson正在寻找一种用于处理大规模安全问题的不同模式-渗透。 他在第十届恶意软件和有害软件国际会议(简称MalCon 2015)上的主题演讲给我和与会人员留下了深刻的印象。
在您的业余时间赚大钱
想要在恶意软件行业赚大钱吗? 您不必是编码员。 即使您具有这些技能,也不必学习创建和分发恶意软件的所有方面。 恶意软件生态系统中有各种不同的工作。
这个生态系统中的关键人物是经纪人,他是知道业务但不编码的人。 他有两种客户。 恶意软件编码器具有讨厌的软件,希望将其安装在许多消费类PC上。 它可能是伪造的防病毒软件,勒索软件,僵尸网络组件,几乎任何东西。 然后是分支机构,编码人员,他们有资源来在不受保护的系统上安装任意软件。 他们使用偷渡式下载,垃圾邮件和网络钓鱼等技术在受害者系统上造成下载器。
现在车轮开始转动。 恶意软件编码员签订合同,要求其向经纪人付款,以使其代码安装在尽可能多的系统上。 关联公司会在尽可能多的系统上安装下载程序。 下载程序联系经纪人,经纪人从编码器(可能是多个实例)提供恶意软件。 会员会根据安装数量获得报酬。 每个人都为此付费安装(PPI)系统赚钱,这些网络非常庞大。
帕克森说:“这里有几个亮点。” “经纪人不做任何事情,不闯入,也不弄清楚漏洞利用。经纪人只是一个中间人,在牟取暴利。会员无需与坏人进行谈判,也不必知道闯入后该怎么做。所有成员都必须尽自己的一份力量。”
坏人安全性差
帕克森指出:“从历史上看,网络攻击的检测一直是一种mol鼠。 击落一次攻击,然后弹出另一个攻击。 这不是您可以赢的游戏。
他的团队针对此PPI系统尝试了另一种方法。 他们捕获了各种下载器的样本,并对它们进行了反向工程,以确定它们如何与各自的代理进行通信。 掌握了这些信息后,他们设计了一种系统,以对可下载恶意软件的请求爆炸经纪人。 Paxson将该技术称为“诱骗”恶意软件代理。
帕克森说:“您会认为这将失败。” “经纪人肯定有某种身份验证系统或速率限制吗?” 但事实证明,他们没有。 他继续说:“不针对恶意软件的网络犯罪要素在自身安全方面落后了十年,甚至十五年。” “它们面向客户,而不是面向恶意软件。” 会员可以通过第二次互动要求下载的信用额度; Paxson的团队自然跳过了这一步。
在五个月的时间里,该实验从四个会员计划中提取了代表9, 000个不同恶意软件家族的一百万个二进制文件。 该小组将其与20个最常见的恶意软件家族列表相关联,确定这种分布很可能是恶意软件分布的第一媒介。 “我们发现我们的样本比VirusTotal提前了大约一周,” Paxson说。 “我们正在不断更新。一旦经纪人想要将其推出,我们就会将其发布。一旦将其安装在VirusTotal上,您就不会将其发布。”
我们还能渗透什么?
帕克森(Paxson)的团队还使用了出售许多服务的工作帐户的网站。 他指出,这些帐户是完全有效的,而不是完全非法的,因为“他们的唯一罪行是违反服务条款”。 Facebook和Google的成本最高,因为它们需要电话验证。 Twitter帐户并不昂贵。
在Twitter的允许下,该研究小组购买了大量假账户。 通过分析包括Twitter提供的元数据在内的帐户,他们开发了一种算法,用于检测使用相同的自动注册技术创建的帐户,其准确性为99.462%。 Twitter使用此算法,记下了这些帐户; 第二天,帐户销售网站必须宣布它们缺货。 Paxson指出:“最好是在首次使用时终止帐户。” “那会造成混乱,并实际上破坏生态系统。”
您肯定会收到垃圾邮件,以向您出售男性性能补充剂,“真正的”劳力士等。 他们的共同点是,他们实际上必须接受付款并向您发货。 将垃圾邮件放入您的收件箱,处理您的购买以及将产品提供给您涉及大量的链接。 通过实际购买一些合法物品,他们发现该系统中的薄弱环节正在清除信用卡交易。 帕克森说:“与其试图破坏散布垃圾邮件的僵尸网络,不如说它没有用。” 怎么样? 他们说服信用卡提供商将阿塞拜疆,拉脱维亚和圣基茨和尼维斯的三家银行列入黑名单。
那是什么呢? Paxson说:“要进行大规模的Internet攻击,没有防止渗透的简便方法。渗透比试图保护每个端点要有效得多。”
MalCon是一个很小的安全性会议,大约有50名与会者,将学者,行业,新闻界和政府召集在一起。 它得到了布兰代斯大学和电气与电子工程师协会(IEEE)等的支持。 今年的赞助商包括Microsoft和Secudit。 几年后,我已经看到MalCon上的许多论文出现了,并且在Black Hat会议上有了更成熟的研究,因此我密切关注这里介绍的内容。
