Дом Securitywatch Исследователи выявляют симптомы использования набора «черная дыра», выявляют зараженные аккаунты в Твиттере

Исследователи выявляют симптомы использования набора «черная дыра», выявляют зараженные аккаунты в Твиттере

Видео: ну где же Ñ‚Ñ‹ любовь моя прекрасное исполнение (Ноябрь 2024)

Видео: ну где же Ñ‚Ñ‹ любовь моя прекрасное исполнение (Ноябрь 2024)
Anonim

Если вы хотите исследовать, как программа может отличить вредоносные почтовые сообщения от обычной почты, вам нужно проанализировать миллионы реальных образцов, плохих и хороших. Однако, если у вас нет друга в АНБ, вам будет сложно получить эти образцы. Twitter, с другой стороны, является вещательным средством. Практически каждый твит виден всем, кто заинтересован. Профессор Жанна Мэтьюз и доктор философии Студент Джошуа Уайт из Университета Кларксона использовал этот факт, чтобы найти надежный идентификатор для твитов, сгенерированных с помощью набора Blackhole Exploit Kit. Их презентация была признана лучшей статьей на 8-й Международной конференции по вредоносному и нежелательному программному обеспечению (Malware 2013 для краткости).

Любой, у кого есть желание рассылать спам, создавать армию ботов или красть личную информацию, может начать с приобретения комплекта эксплойтов Blackhole. Мэтьюз сообщил, что, согласно одной оценке, BEK участвовал в более чем половине всех заражений вредоносным ПО в 2012 году. В другом сообщении BEK связывается с 29 процентами всех вредоносных URL-адресов. Несмотря на недавний арест предполагаемого автора Blackhole, набор является серьезной проблемой, и один из его многочисленных способов распространения включает в себя захват учетных записей Twitter. Зараженные учетные записи отправляют твиты со ссылками, которые, если щелкнуть по ним, заявляют о своей следующей жертве

Ниже линии

Мэтьюз и Уайт собирали несколько терабайт данных из Twitter в течение 2012 года. По ее оценкам, их набор данных содержит от 50 до 80 процентов всех твитов за это время. То, что они получили, было намного больше, чем просто 140 символов за твит. Заголовок JSON каждого твита содержит большое количество информации об отправителе, твите и его связи с другими учетными записями.

Они начали с простого факта: некоторые сгенерированные BEK твиты содержат конкретные фразы, такие как «Это ты на фото?» или более провокационные фразы типа "Вы были обнаженными на вечеринке) крутая фотография)". Изучив огромный набор данных для этих известных фраз, они обнаружили зараженные аккаунты. Это, в свою очередь, позволило им найти новые фразы и другие маркеры твитов, сгенерированных BEK.

Сам документ является научным и полным, но конечный результат довольно прост. Они разработали относительно простую метрику, которая при применении к выводу данной учетной записи Twitter могла надежно отделить зараженные учетные записи от чистых. Если счет превышает определенную линию, значит, с учетной записью все в порядке; ниже линии, он заражен.

Кто кого заразил?

С этим четким методом для распознавания зараженных учетных записей они продолжили анализировать процесс заражения. Предположим, что чистая учетная запись B следует за зараженной учетной записью A. Если учетная запись B становится зараженной вскоре после публикации BEK учетной записью A, очень велики шансы, что источником была учетная запись A. Исследователи смоделировали эти отношения в кластерном графике, который очень четко показал небольшое количество учетных записей, вызывающих огромное количество инфекций. Это учетные записи, созданные владельцем Blackhole Exploit Kit специально для распространения инфекции.

Мэтьюз отметил, что в этот момент у них была возможность уведомлять пользователей, чьи учетные записи заражены, но они чувствовали, что это может показаться слишком агрессивным. Она работает над тем, чтобы собраться с Twitter, чтобы посмотреть, что можно сделать.

Современные методы анализа данных и анализа больших данных позволяют исследователям находить закономерности и отношения, которые было бы просто невозможно установить всего несколько лет назад. Не каждый поиск знаний окупается, но этот был успешным. Я искренне надеюсь, что профессор Мэттьюс сможет заинтересовать Twitter практическим применением этого исследования.

Исследователи выявляют симптомы использования набора «черная дыра», выявляют зараженные аккаунты в Твиттере