Video: Как набрать юзеров в DarkComet, RMS (Kann 2024)
Wenn Sie nachforschen möchten, wie ein Programm bösartige E-Mail-Nachrichten von normalen E-Mail-Nachrichten unterscheiden kann, möchten Sie Millionen von Beispielen aus der realen Welt analysieren, sowohl schlechte als auch gute. Wenn Sie jedoch keinen Freund bei der NSA haben, fällt es Ihnen schwer, diese Proben zu bekommen. Twitter hingegen ist ein Übertragungsmedium. Praktisch jeder Tweet ist für jeden sichtbar, der interessiert ist. Professor Jeanna Matthews und Ph.D. Der Student Joshua White von der Clarkson University nutzte diese Tatsache, um eine zuverlässige Kennung für Tweets zu finden, die mit dem Blackhole Exploit Kit generiert wurden. Ihr Vortrag wurde auf der 8. Internationalen Konferenz für schädliche und unerwünschte Software (Malware 2013) als bestes Papier ausgezeichnet.
Mit dem Kauf des Blackhole Exploit Kits kann jeder loslegen, der Spam senden, eine Armee von Bots erstellen oder persönliche Daten stehlen möchte. Matthews berichtete, dass eine Schätzung besagt, dass die BEK 2012 an mehr als der Hälfte aller Malware-Infektionen beteiligt war. Ein anderer Bericht verknüpft die BEK mit 29 Prozent aller böswilligen URLs. Trotz der kürzlich erfolgten Verhaftung des mutmaßlichen Autors von Blackhole stellt das Kit ein erhebliches Problem dar, und eine der vielen Verbreitungsmöglichkeiten besteht in der Übernahme von Twitter-Konten. Die infizierten Konten senden Tweets mit Links, die bei einem Klick das nächste Opfer fordern.
Unter dem Strich
Matthews und White haben im Laufe des Jahres 2012 mehrere Terabyte an Daten von Twitter gesammelt. Sie schätzt, dass ihr Datensatz während dieser Zeit zwischen 50 und 80 Prozent aller Tweets enthält. Was sie bekamen, war viel mehr als nur 140 Zeichen pro Tweet. Der JSON-Header jedes Tweets enthält eine Fülle von Informationen über den Absender, den Tweet und seine Verbindung zu anderen Konten.
Sie begannen mit einer einfachen Tatsache: Einige von BEK generierte Tweets enthalten bestimmte Ausdrücke wie "Bist du auf einem Foto?" oder provokativere Sätze wie "Du warst auf der Party nackt) cooles Foto)." Durch das Mining des riesigen Datensatzes für diese bekannten Phrasen identifizierten sie infizierte Konten. Dies wiederum ließ sie neue Phrasen und andere Marker von BEK-generierten Tweets auftauchen.
Das Papier selbst ist wissenschaftlich und vollständig, aber das Endergebnis ist ziemlich einfach. Sie entwickelten eine relativ einfache Metrik, die, wenn sie auf die Ausgabe eines bestimmten Twitter-Kontos angewendet wird, infizierte Konten zuverlässig von sauberen Konten trennen kann. Wenn das Konto eine bestimmte Grenze überschreitet, ist das Konto in Ordnung. Unter dem Strich ist es infiziert.
Wer hat wen infiziert?
Mit dieser klaren Methode zur Unterscheidung infizierter Konten analysierten sie den Ansteckungsprozess. Angenommen, Konto B, das sauber ist, folgt auf Konto A, das infiziert ist. Wenn Konto B kurz nach einem BEK-Beitrag von Konto A infiziert wird, ist die Wahrscheinlichkeit sehr hoch, dass Konto A die Quelle war. Die Forscher modellierten diese Beziehungen in einem Cluster-Diagramm, das sehr deutlich zeigte, dass nur wenige Konten eine große Anzahl von Infektionen verursachten. Hierbei handelt es sich um Konten, die von einem Blackhole Exploit Kit-Besitzer speziell zum Zwecke der Infektionsverbreitung eingerichtet wurden.
Matthews bemerkte, dass sie zu diesem Zeitpunkt die Möglichkeit hatten, Benutzer zu benachrichtigen, deren Konten infiziert sind, aber sie waren der Meinung, dass dies als zu invasiv angesehen werden könnte. Sie arbeitet daran, sich mit Twitter zusammenzutun, um zu sehen, was getan werden kann.
Moderne Data-Mining- und Big-Data-Analysetechniken ermöglichen es Forschern, Muster und Beziehungen zu finden, die vor wenigen Jahren einfach nicht zu erreichen gewesen wären. Nicht jedes Streben nach Wissen zahlt sich aus, aber dieses hat sich in Schüben ausgezahlt. Ich hoffe aufrichtig, dass es Professor Matthews gelingt, Twitter für eine praktische Anwendung dieser Forschung zu interessieren.
