Відео: Exploit Kit Cornucopia (Листопад 2024)
Якщо ви хочете дослідити, як програма може відрізнити шкідливі повідомлення електронної пошти від звичайної пошти, ви хочете проаналізувати мільйони зразків реального світу, поганих і хороших. Однак, якщо у вас є друг в АНБ, вам важко було б отримати ці зразки. Twitter, з іншого боку, є засобом мовлення. Практично кожен твіт видно всім, хто зацікавлений. Професор Жанна Меттьюз та к.т.н. студент Джошуа Уайт з Університету Кларксона застосував цей факт, щоб виявити надійний ідентифікатор твітів, згенерований Blackhole Exploit Kit. Їх презентація була визнана найкращим документом на 8-й Міжнародній конференції зі зловмисного та небажаного програмного забезпечення (коротко, програмне забезпечення 2013).
Усі, хто має бажання надсилати спам, створювати армію ботів або викрадати особисту інформацію, можуть розпочати роботу, придбавши комплект Blackhole Exploit Kit. Меттьюс повідомив, що одна оцінка передбачає, що BEK брав участь у більш ніж половині всіх зловмисних програм у 2012 році. Інший звіт пов’язує BEK з 29 відсотками всіх шкідливих URL-адрес. Незважаючи на нещодавній арешт передбачуваного автора Блекхолду, набір є суттєвою проблемою, і один з його багатьох способів поширення включає захоплення акаунтів у Twitter. Заражені акаунти надсилають твіти, що містять посилання, які, якщо натиснути, заявляють про наступну жертву.
Нижче лінії
Меттьюз і Уайт зібрали кілька терабайт даних з Twitter протягом 2012 року. Вона підрахувала, що їхній набір даних містить від 50 до 80 відсотків усіх твітів за цей час. Те, що вони отримали, було набагато більше, ніж просто 140 символів за твіт. Заголовок JSON кожного твіту містить велику інформацію про відправника, твіт та його зв’язок з іншими обліковими записами.
Вони почали з простого факту: деякі твіти, створені BEK, містять конкретні фрази на кшталт "Це ти на фото?" або більше провокаційних фраз на кшталт "Ви були голі на вечірці) класна фотографія". Видобувши величезний набір даних для цих відомих фраз, вони виявили заражені акаунти. Це, у свою чергу, дозволить їм з’являти нові фрази та інші маркери твітів, створених BEK.
Сама папір є науковою та повною, але кінцевий результат досить простий. Вони розробили порівняно просту метрику, яка при застосуванні до виходу певного облікового запису Twitter може надійно відокремити заражені акаунти від чистих. Якщо рахунок набрав вище певного рядка, рахунок добре; внизу лінії, вона заражена.
Хто заразив кого?
За допомогою цього чіткого методу розрізнення заражених облікових записів вони продовжили аналіз процесу зараження. Припустимо, чистий рахунок B, слід за рахунком A, який заражений. Якщо рахунок B заразиться незабаром після повідомлення в BEK за рахунок A, велика ймовірність того, що джерело А був джерелом. Дослідники моделювали ці взаємозв'язки в кластерному графіку, який дуже чітко показав невелику кількість облікових записів, що викликають величезну кількість інфекцій. Це облікові записи, створені власником Blackhole Exploit Kit спеціально для розповсюдження інфекції.
Меттьюс зазначив, що в цей момент вони мали можливість сповіщати користувачів, чиї облікові записи заражені, але вони вважають, що це може бути сприйнято як занадто інвазивне. Вона працює над тим, щоб зібратися з Twitter, щоб побачити, що можна зробити.
Сучасні методи видобутку даних та аналізу великих даних дозволяють дослідникам знайти закономірності та взаємозв’язки, до яких було б просто неможливо досягти всього кілька років тому. Не кожен пошук знань окупається, але це робив, піки. Я щиро сподіваюсь, що професору Метьюсу вдасться зацікавити Twitter у практичному застосуванні цього дослідження.