Lar Securitywatch Pesquisadores isolam os sintomas do kit de exploração do buraco negro e identificam contas do Twitter infectadas

Pesquisadores isolam os sintomas do kit de exploração do buraco negro e identificam contas do Twitter infectadas

Vídeo: Algo maciço foi observado saindo de um buraco negro e pesquisadores estão sem palavras! (Novembro 2024)

Vídeo: Algo maciço foi observado saindo de um buraco negro e pesquisadores estão sem palavras! (Novembro 2024)
Anonim

Se você quiser pesquisar como um programa pode distinguir mensagens de email mal-intencionadas de mensagens comuns, você deve analisar milhões de amostras do mundo real, ruins e boas. No entanto, a menos que você tenha um amigo na NSA, é difícil obter essas amostras. O Twitter, por outro lado, é um meio de transmissão. Praticamente todo tweet é visível para quem está interessado. Professora Jeanna Matthews e Ph.D. O aluno Joshua White, da Clarkson University, aproveitou esse fato para descobrir um identificador confiável para os tweets gerados pelo Blackhole Exploit Kit. Sua apresentação foi reconhecida como o melhor artigo na 8ª Conferência Internacional sobre Software Mal-Intencionado e Indesejável (Malware 2013, abreviado).

Qualquer pessoa com vontade de enviar spam, criar um exército de bots ou roubar informações pessoais pode começar comprando o Blackhole Exploit Kit. Matthews relatou que uma estimativa sugere que o BEK esteve envolvido em mais da metade de todas as infestações por malware em 2012. Outro relatório vincula o BEK a 29% de todos os URLs maliciosos. Apesar da recente prisão do suposto autor de Blackhole, o kit é um problema significativo, e uma de suas muitas formas de divulgação envolve a aquisição de contas no Twitter. As contas infectadas enviam tweets contendo links que, se clicados, reivindicam sua próxima vítima.

Abaixo da linha

Matthews e White coletaram vários terabytes de dados do Twitter ao longo de 2012. Ela estima que o conjunto de dados contenha de 50 a 80% de todos os tweets durante esse período. O que eles conseguiram foi muito mais do que apenas 140 caracteres por tweet. O cabeçalho JSON de cada tweet contém muitas informações sobre o remetente, o tweet e sua conexão com outras contas.

Eles começaram com um fato simples: alguns tweets gerados pelo BEK incluem frases específicas como "É você na foto?" ou frases mais provocativas como "Você estava nu na festa) foto legal)". Ao extrair o enorme conjunto de dados para essas frases conhecidas, eles identificaram contas infectadas. Isso, por sua vez, permite que apareçam novas frases e outros marcadores de tweets gerados pelo BEK.

O artigo em si é acadêmico e completo, mas o resultado final é bastante simples. Eles desenvolveram uma métrica relativamente simples que, quando aplicada à saída de uma determinada conta do Twitter, podia separar com segurança as contas infectadas das limpas. Se a conta tiver uma pontuação acima de uma determinada linha, ela estará correta; abaixo da linha, está infectado.

Quem infectou quem?

Com esse método claro de distinguir contas infectadas, eles analisaram o processo de contágio. Suponha que a conta B, que está limpa, siga a conta A, que está infectada. Se a conta B for infectada logo após uma postagem do BEK pela conta A, é muito provável que a conta A seja a fonte. Os pesquisadores modelaram essas relações em um gráfico de cluster que mostrou claramente um pequeno número de contas causando um grande número de infecções. Essas são contas criadas pelo proprietário do Blackhole Exploit Kit especificamente com a finalidade de espalhar a infecção.

Matthews observou que, nesse ponto, eles tinham a capacidade de notificar usuários cujas contas estão infectadas, mas consideravam que isso poderia ser visto como muito invasivo. Ela está trabalhando para se reunir com o Twitter para ver o que pode ser feito.

As técnicas modernas de mineração de dados e análise de big data permitem que os pesquisadores encontrem padrões e relacionamentos que seriam simplesmente impossíveis de alcançar apenas alguns anos atrás. Nem toda busca de conhecimento compensa, mas essa, em troca. Espero sinceramente que o professor Matthews consiga deixar o Twitter interessado em uma aplicação prática desta pesquisa.

Pesquisadores isolam os sintomas do kit de exploração do buraco negro e identificam contas do Twitter infectadas