Йдучи за партнерськими мережами, ахілесова п'ята зловмисних програм

На конференції RSA було багато розмов про партнерські мережі - тобто люди та компанії, які свідомо чи несвідомо допомагають поширювати зловмисне програмне забезпечення, створювати ботнети та робити козливі дії можливими та вигідними для людей, які здійснюють ці зусилля. Хоча ці партнери допомагають зробити шкідливі програми більш небезпечними, вони також можуть стати ключем до відключення поганих хлопців.

Багато людей, напевно, припускають, що майстерні програми, які стоять за операціями зі зловмисним програмним забезпеченням, несуть повну відповідальність за створення та розповсюдження його жертвам. Однак це не так. Беручи сторінку від таких організацій, як Amway, творці зловмисних програм фактично використовують людей, щоб поширювати їх для них, або через фішинг-афери, зловмисні реклами, або інші вектори. Партнери можуть також бути перекладачами-фрілансерами або компаніями, що займаються обробкою кредитних карт, які несвідомо допомагають у діяльності в кіберзлочинності.

Що роблять філії

Партнерські мережі можуть набувати різноманітних форм і, мабуть, простежити їх коріння, щоб "підробляти АВ" приблизно з 2008 року. Старший радник із безпеки Софоса Честер Віснєвський пояснив, як з підробленими авторами АВ зверталися за допомогою до законних підрядників та компаній, щоб допомогти у виробництві їх небезпечного продукту. "Це повинно виглядати професійно", - сказав він, маючи на увазі графічний дизайн підроблених AV-продуктів. "І його потрібно було придбати так само, як ви купуєте справжній AV".

У грі партнерської мережі гроші можуть бути досить непоганими. За словами стратега з безпеки Fortinet Річарда Хендерсона, компанія якого розглядає ботнети та операції з кіберзлочинністю, деякі філії раніше отримували $ 0, 10 за інфекцію. Цей показник, як повідомляється, підвищився до $ 0, 50 за інфекцію. Він посилається на недавню атаку Цитаделі з NBC.com, де реклама завантажувала зловмисне програмне забезпечення на комп’ютери користувача. Він підрахував, що при консервативних 75 000-100 000 інфекцій для партнера "це генерує 50 000 доларів за кілька годин роботи".

Посилаючись на недавні напади викупних програм, які змушують жертв виплачувати зловмисникам після захоплення контролю над своїми комп’ютерами, Віснєвський зазначив, що Софос підозрює, що творці зловмисних програм збираються настільки далеко, щоб зайняти професійних перекладачів, щоб краще локалізувати їхні напади. На відміну від багатьох фішингових листів, він сказав, що ці напади мали майже ідеальну граматику рідною мовою цілі.

Крім розповсюдження шкідливих програм, філії також ускладнюють зупинку. З одного боку, філії додають прошарок між творцями шкідливих програм та ботнетів та тими, хто намагається їх зупинити. Для іншого це робить атаки зловмисних програм менш загальними. "Оскільки вони займаються роботою, існують різні види соціальних інженерій, різний напад", - пояснив Хендерсон. Таким чином, замість того, щоб зловмисне програмне забезпечення для створення ботнетів надсилалося з тим самим фішинговим повідомленням, різні філії можуть спробувати запустити завантаження, неправильну рекламу чи інший вектор.

Боротьба назад

Хоча афілійовані компанії значно покращують бізнес із безпекою, вони також надають засоби для закриття зловмисників. Оскільки багато філій платять за свою роботу, правоохоронні органи можуть працювати, щоб зробити цю роботу неекономічною. Майже кожен експерт з питань безпеки, з яким я спілкувався в RSA, погодився, що скорочення грошей може значно зменшити шкідливу діяльність.

Софос Вішневський розповів, як у випадку з Fake AV компанії з кредитних карток переконували припинити обробку платежів і таким чином позбавили творців шкідливих програм від їх грошової маси. "Певний час VISA була єдиною", - сказав він. "Так само, як Олімпіада", маючи на увазі те, як VISA була єдиною карткою, прийнятою на міжнародних іграх.

Звичайно, намагання зробити партнерські мережі неекономічним шляхом вимагає співпраці між охоронними компаніями, правоохоронними органами, а іноді навіть самими філіями. На щастя, багато постачальників та експертів, з якими я спілкувався в RSA, сказали, що обмін інформацією ніколи не був кращим.

Не забудьте бути в курсі більшості наших публікацій від RSA!