Делайте большие деньги, распространяя вредоносные программы (но не)

Верн Паксон, профессор электротехники и компьютерных наук в Калифорнийском университете в Беркли, прославился в сообществе безопасности за статью 2002 года «Как владеть интернетом в свободное время» (среди многих других подвигов). Основываясь на детальном анализе червей Code Red и Nimda, в документе подчеркивалась необходимость создания кибер-центра по борьбе с болезнями. В настоящее время Паксон рассматривает другой способ решения крупномасштабных проблем безопасности - проникновение. Его основной доклад на 10-й Международной конференции по вредоносному и нежелательному программному обеспечению (MalCon 2015 для краткости) поразил меня и участников откровенностью этого подхода.

Делайте большие деньги в свободное время

Хотите заработать большие деньги в индустрии вредоносных программ? Вам не нужно быть кодером. Даже если у вас есть эти навыки, вам не нужно изучать все аспекты создания и распространения вредоносных программ. В экосистеме вредоносного ПО есть различные рабочие места.

Ключевой фигурой в этой экосистеме является брокер, парень, который знает бизнес, но не занимается кодированием. У него есть два вида клиентов. Вредоносные кодеры имеют неприятное программное обеспечение, которое они хотели бы установить на многие потребительские ПК. Это может быть поддельный антивирус, вымогатель, компоненты ботнета, что угодно. Тогда есть филиалы, кодеры, которые имеют ресурсы для установки произвольного программного обеспечения на незащищенные системы. Они используют такие методы, как скачивание с диска, спам и фишинг, чтобы вызвать загрузчик на системах-жертвах.

Теперь колеса начинают вращаться. Вредоносные кодеры заключают контракт с брокером на оплату установки кода на как можно большем количестве систем. Филиалы устанавливают загрузчики на максимально возможное количество систем. Загрузчик связывается с брокером, который поставляет вредоносное ПО от кодировщиков, возможно, несколько раз. А партнерам платят в зависимости от количества установок. Каждый зарабатывает на этой системе с оплатой за установку (PPI), и эти сети огромны.

«Здесь есть пара блесков, - сказал Паксон. «Брокер ничего не делает, не врывается, не обнаруживает подвигов. Брокер - это просто посредник, извлекающий прибыль. Партнерам не нужно договариваться с злодеями или знать, что делать после взлома». Все члены просто должны внести свой вклад ".

Плохие парни имеют плохую безопасность

«Исторически обнаружение сетевых атак было игрой в прятки», - отметил Паксон. Сбить одну атаку, другая всплывает. Это не игра, в которой ты можешь выиграть.

Его команда попробовала другой подход против этой системы PPI. Они взяли образцы различных загрузчиков и перепроектировали их, чтобы определить, как они общаются со своими соответствующими брокерами. Вооружившись этой информацией, они разработали систему, позволяющую брокеру запрашивать загружаемое вредоносное ПО. Паксон называет эту технику «доением» брокера вредоносных программ.

«Вы могли бы подумать, что это потерпит неудачу», сказал Паксон. «Конечно, у брокера есть какая-то система аутентификации или ограничение скорости?» Но, как оказалось, они этого не делают. «Элементы киберпреступности, которые не подвержены вредоносным программам, отстают на десять лет в своей собственной безопасности, возможно, на пятнадцать», - продолжил он. «Они ориентированы на клиентов, а не на вредоносные программы». Существует второе взаимодействие, при котором партнер запрашивает кредит для загрузки; Команда Паксона, естественно, пропустила этот шаг.

За пять месяцев эксперимент вывел миллион двоичных файлов, представляющих 9000 различных семейств вредоносных программ, из четырех партнерских программ. Сопоставив это со списком из 20 наиболее распространенных семейств вредоносных программ, команда определила, что этот вид распространения может стать вектором номер один для распространения вредоносных программ. «Мы обнаружили, что наши образцы были примерно на неделю впереди VirusTotal», - сказал Паксон. «Мы получаем его свежим. Как только брокеры хотят вытолкнуть его, мы получаем его. Как только он появится на VirusTotal, вы его не продвигаете».

Что еще мы можем проникнуть?

Команда Paxson также занялась веб-сайтами, на которых продаются рабочие аккаунты для различных сервисов. Он отметил, что учетные записи полностью действительны и не являются абсолютно незаконными, поскольку «их единственным нарушением является нарушение Условий обслуживания». Facebook и Google стоят больше всего за тысячу, потому что они требуют проверки телефона. Аккаунты в Твиттере не такие дорогие.

С разрешения Twitter исследовательская группа купила большую коллекцию фальшивых аккаунтов. Анализируя учетные записи, включая метаданные, предоставленные Twitter, они разработали алгоритм для обнаружения учетных записей, созданных с использованием той же технологии автоматической регистрации, с точностью 99, 462%. Используя этот алгоритм, Twitter снял эти учетные записи; на следующий день веб-сайты, продающие аккаунты, должны были объявить, что их нет в наличии. «Было бы лучше закрыть учетные записи при первом использовании», - отметил Паксон. «Это могло бы создать путаницу и фактически подорвать экосистему».

Вы наверняка получили спам, предлагающий продать вам мужские дополнения, «настоящие» Rolex и тому подобное. Общим для них является то, что они действительно должны принять оплату и отправить вам товар. Существует множество ссылок, связанных с доставкой спама в папку «Входящие», обработкой покупки и доставкой продукта вам. Фактически, купив некоторые легальные товары, они обнаружили, что слабым звеном в этой системе было очищение транзакции по кредитной карте. «Вместо того, чтобы пытаться нарушить спам-спонтанный ботнет, - сказал Паксон, - мы сделали его бесполезным». Как? Они убедили поставщика кредитных карт внести в черный список три банка: в Азербайджане, Латвии и на Сент-Китсе и Невисе.

Так что же на вынос? «При действительно широкомасштабной интернет-атаке, - сказал Паксон, - нет простого способа предотвратить проникновение. Проникновение значительно эффективнее, чем попытка защитить каждую конечную точку».

MalCon - это очень маленькая конференция по безопасности, в которой принимают участие около 50 человек, и которая объединяет ученых, промышленность, прессу и правительство. Он поддерживается Университетом Брандейса и Институтом инженеров по электротехнике и электронике (IEEE). Спонсорами этого года являются Microsoft и Secudit. Несколько лет спустя я увидел несколько статей из MalCon, с более зрелыми исследованиями, на конференции Black Hat, поэтому я обращаю пристальное внимание на то, что здесь представлено.