Lar Rever Ganhe muito dinheiro distribuindo malware (mas não)

Ganhe muito dinheiro distribuindo malware (mas não)

Vídeo: COMO GANHAR (muito) DINHEIRO TRABALHANDO EM CASA? 6 dicas de afiliados digitais (Novembro 2024)

Vídeo: COMO GANHAR (muito) DINHEIRO TRABALHANDO EM CASA? 6 dicas de afiliados digitais (Novembro 2024)
Anonim

Vern Paxson, professor de engenharia elétrica e ciências da computação da Universidade da Califórnia, Berkeley, é famoso na comunidade de segurança por um artigo de 2002 intitulado Como possuir a Internet em seu tempo livre (entre muitos outros feitos). Com base em uma análise detalhada dos worms Code Red e Nimda, o artigo promoveu a necessidade de um "Centro de Controle de Doenças". Atualmente, Paxson está procurando um modo diferente para lidar com problemas de segurança em larga escala - infiltração. Sua palestra na 10ª Conferência Internacional sobre Software Mal-Intencionado e Indesejável (MalCon 2015), impressionou a mim e aos participantes com a franqueza dessa abordagem.

Ganhe muito dinheiro no seu tempo livre

Deseja ganhar muito dinheiro na indústria de malware? Você não precisa ser um codificador. Mesmo se você tiver essas habilidades, não precisará aprender todos os aspectos da criação e distribuição de malware. Existem vários trabalhos diferentes no ecossistema de malware.

A figura-chave desse ecossistema é o corretor, o cara que conhece negócios, mas não codifica. Ele tem dois tipos de clientes. Os codificadores de malware têm um software desagradável que eles gostariam de instalar em muitos PCs de consumo. Pode ser antivírus falso, ransomware, componentes de botnet, praticamente qualquer coisa. Existem também os afiliados, codificadores que têm os recursos para instalar software arbitrário em sistemas desprotegidos. Eles usam técnicas como downloads drive-by, spam e phishing para infligir um downloader nos sistemas das vítimas.

Agora as rodas começam a girar. Os codificadores de malware contratam para pagar o corretor pela instalação do código no maior número possível de sistemas. As afiliadas instalam os downloaders no maior número possível de sistemas. O downloader entra em contato com o corretor, que fornece malware dos codificadores, provavelmente várias instâncias. E os afiliados são pagos com base no número de instalações. Todo mundo ganha dinheiro com esse sistema PPI (Pay Per Install), e essas redes são enormes.

"Há alguns talentos aqui", disse Paxson. "O corretor não faz nada, não invade, não descobre façanhas. O corretor é apenas um intermediário, obtendo lucros. Os afiliados não precisam negociar com bandidos ou saber o que fazer depois de invadir." Todos os membros apenas precisam fazer sua parte."

Os bandidos têm segurança ruim

"Historicamente, a detecção de ataques à rede tem sido um jogo de golpe", observou Paxson. Acerta um ataque, outro aparece. Não é um jogo que você pode ganhar.

Sua equipe tentou uma abordagem diferente contra esse sistema PPI. Eles capturaram amostras de vários downloaders e fizeram a engenharia reversa para determinar como eles se comunicam com seus respectivos corretores. Armado com essas informações, eles criaram um sistema para explodir o broker com solicitações de malware para download. Paxson chama essa técnica de "ordenha" do corretor de malware.

"Você pensaria que isso falharia", disse Paxson. "Certamente o corretor tem algum tipo de sistema de autenticação ou limite de taxa?" Mas, como se vê, eles não. "Os elementos do crime cibernético que não enfrentam malware estão dez anos atrás em sua própria segurança, talvez quinze", continuou ele. "Eles são voltados para o cliente, não para malware". Há uma segunda interação pela qual o afiliado reivindica crédito pelo download; A equipe de Paxson naturalmente pulou essa etapa.

Em cinco meses, o experimento ordenou um milhão de binários, representando 9.000 famílias distintas de malware, de quatro programas afiliados. Correlacionando isso com uma lista das 20 famílias de malware mais comuns, a equipe determinou que esse tipo de distribuição poderia ser o vetor número um da distribuição de malware. "Descobrimos que nossas amostras estavam cerca de uma semana à frente do VirusTotal", disse Paxson. "Estamos atualizando. Assim que os corretores quiserem avançar, estamos conseguindo. Quando estiver no VirusTotal, você não pressionará".

Em que mais podemos nos infiltrar?

A equipe de Paxson também contratou sites que vendem contas de trabalho para muitos serviços diferentes. Ele observou que as contas são completamente válidas, e não exatamente ilegais, porque "o único crime é violar os Termos de Serviço". O Facebook e o Google custam mais por mil, porque exigem verificação por telefone. As contas do Twitter não são tão caras.

Com a permissão do Twitter, o grupo de pesquisa comprou uma grande coleção de contas falsas. Ao analisar as contas, incluindo os metadados fornecidos pelo Twitter, eles desenvolveram um algoritmo para detectar contas criadas usando a mesma técnica de registro automatizado, com precisão de 99, 462%. Usando esse algoritmo, o Twitter derrubou essas contas; no dia seguinte, os sites de venda de contas tiveram que anunciar que estavam esgotados. "Teria sido melhor encerrar as contas no primeiro uso", observou Paxson. "Isso criaria confusão e realmente prejudicaria o ecossistema".

Você certamente recebeu ofertas de spam para vender suplementos de desempenho masculino, Rolexes "reais" e coisas do tipo. O que eles têm em comum é que eles realmente precisam aceitar pagamentos e enviar o produto a você. Existem muitos links envolvidos na entrada de spam na sua Caixa de entrada, na manipulação da compra e na entrega do produto. Ao comprar alguns itens legais, eles descobriram que o elo fraco desse sistema estava limpando a transação do cartão de crédito. "Em vez de tentar atrapalhar a botnet que vomita spam", disse Paxson, "nós a tornamos inútil". Quão? Eles convenceram o fornecedor do cartão de crédito a colocar três bancos na lista negra, no Azerbaijão, Letônia e St. Kitts e Nevis.

Então, qual é o objetivo? "Com um ataque de Internet em larga escala", disse Paxson, "não há maneira fácil de impedir a infiltração. A infiltração é significativamente mais eficaz do que tentar proteger cada ponto de extremidade".

A MalCon é uma conferência de segurança muito pequena, com cerca de 50 participantes, que reúne acadêmicos, indústria, imprensa e governo. É apoiado pela Universidade Brandeis e pelo Instituto de Engenheiros Elétricos e Eletrônicos (IEEE), entre outros. Os patrocinadores deste ano incluem Microsoft e Secudit. Vi vários artigos da MalCon aparecerem alguns anos depois, com pesquisas mais maduras, na conferência Black Hat, por isso presto muita atenção ao que é apresentado aqui.

Ganhe muito dinheiro distribuindo malware (mas não)