211service.com
Většina malwaru je vázána na trh „platba za instalaci“.
Nový výzkum naznačuje, že většina osobních počítačů infikovaných škodlivým softwarem se mohla dostat do tohoto stavu díky rušnému podzemnímu trhu, který spojuje zločinecké gangy, které platí za instalace malwaru, s podnikavými hackery, kteří chtějí prodat přístup ke kompromitovaným počítačům.
Služby Pay-per-install (PPI) jsou inzerovány na temných podzemních webových fórech. Klienti zasílají svůj malware – spambot, falešný antivirový software nebo trojský kůň na krádež hesel – službě PPI, která si zase účtuje sazby od 7 do 180 $ za tisíc úspěšných instalací v závislosti na požadované geografické poloze požadovaných obětí.
Služby PPI také přitahují podnikatelské distributory malwaru nebo přidružené společnosti, hackery, kteří mají za úkol zjistit, jak nainstalovat malware na počítače obětí. Typická instalační schémata zahrnují nahrávání poškozených programů do veřejných sítí pro sdílení souborů; hackování legitimních webových stránek za účelem automatického stahování souborů návštěvníkům; a tiché spouštění programů na počítačích, které již kompromitovali. Přidruženým společnostem se připisují kredity pouze za úspěšné instalace prostřednictvím jedinečného a statického kódu přidruženého společnosti všitého do instalačních programů a sděleného zpět službě PPI po každé instalaci.
V nový papír výzkumníci z Kalifornské univerzity v Berkeley a Madridského institutu pro pokročilá studia technologií vývoje softwaru popisují infiltraci čtyř konkurenčních PPI služeb v srpnu 2010, kdy tajně ukradli několik přidružených účtů. Tým vytvořil automatizovaný systém pro pravidelné stahování instalačních programů, které jsou tlačeny různými službami PPI.
Výzkumníci analyzovali více než jeden milion instalačních techniků nabízených službami PPI. Tato analýza vedla k překvapivému zjištění: Z 20 nejlepších světových typů malwaru jich 12 využívalo služby PPI k nákupu infekcí.
Když jsem se pustil do této studie, neocenil jsem, že PPI je potenciálně vektorem číslo jedna pro špatnost, řekl Vern Paxson , docent elektrotechniky a počítačových věd na UC Berkeley. Nyní máme pocit, že botnety mají potenciálně hodnotu milionů [dolarů] ročně, protože poskytují prostředky pro darebáky k outsourcingu globálního šíření jejich malwaru.
Výzkumníci se rozhodli zmapovat geografickou distribuci malwaru šířeného těmito službami, a tak vymysleli automatizovaný způsob stahování instalačních programů. Používali služby, jako je cloudová platforma Amazon EC2, a Tor, bezplatná služba, která uživatelům umožňuje anonymně komunikovat směrováním jejich připojení přes více počítačů po celém světě, aby přiměli program s platbou za instalaci, aby si myslel, že požadavky přicházejí z míst v okolí. zeměkoule.
Systém klasifikoval shromážděný malware podle typu síťového provozu, který každý vzorek vygeneroval při spuštění na testovacím systému. Výzkumníci uvedli, že přijali opatření, aby zabránili připsání přidružených účtů k testovacím instalacím.
Analýza služeb PPI ukazuje, že nejčastěji cílí na PC v Evropě a Spojených státech. Tyto regiony jsou bohatší než většina ostatních a nabízejí přidruženým společnostem nejvyšší sazby za instalaci.
Výzkumníci však předpokládají, že existují faktory mimo cenu, které mohou ovlivnit výběr země klienta PPI. Například spambot, jako je Rustock, potřebuje k odesílání spamu jen o něco více než jedinečnou internetovou adresu, zatímco falešný antivirový software spoléhá na oběť, aby provedla platbu kreditní kartou nebo bankovním převodem, a proto může potřebovat podporu více jazyků nebo nákupních metod.
Tým také zjistil, že programy PPI téměř vždy instalovaly roboty, které zapojují infikované systémy do různých schémat podvodných kliknutí, zahrnujících podvodná nebo automatická kliknutí na reklamy, aby falešně generovaly příjmy z reklamy.
Jedno neočekávané zjištění může pomoci vysvětlit, proč počítače infikované jedním typem malwaru často rychle uvíznou v řadě infekcí: Stahovací programy, které jsou součástí jednoho schématu, často stahují stahovací programy z jiného. Jinými slovy, sami přidružení partneři jedné služby PPI někdy vystupují jako klienti jiných služeb. V důsledku toho mnoho instalačních programů vytlačených přidruženými společnostmi zahltí počítače příjemce mnoha typy škodlivého softwaru.
Domníváme se, že někteří z těchto přidružených společností poskytujících služby s více PPI jsou arbitrážní poradci, kteří se snaží využít cenových rozdílů mezi (vyššími) instalačními cenami placenými přidruženým společnostem jedné služby pro určitou zeměpisnou oblast oproti (nižším) instalačním sazbám účtovaným klientům. další služby PPI, napsali výzkumníci.
Tato dynamika propůjčuje trhu PPI neodmyslitelný střet zájmů, který poškozuje klienty i přidružené společnosti: Čím více instalací přidružená společnost poskytne, tím větší platbu obdrží. Čím více malwaru je však nainstalováno, tím větší je pravděpodobnost, že si vlastník infikovaného systému všimne problému a podnikne kroky k vymýcení malwaru.
Služby PPI mají hrozivé důsledky pro koordinované úsilí o ukončení činnosti botnetů. V posledních měsících výzkumní pracovníci v oblasti bezpečnosti, poskytovatelé internetových služeb a orgány činné v trestním řízení spolupracovaly na likvidaci některých z největších světových botnetů. Například v březnu se Microsoft spojil s bezpečnostními firmami, aby ochromili botnet Rustock, který je dlouhodobě jedním z nejaktivnějších spamových botnetů na planetě.
Výzkumníci z Berkeley tvrdí, že i když obránci dokážou vyčistit botnet – únosem jeho řídicích serverů a dokonce vzdálenou dezinfekcí počítačů – správce tohoto botnetu jej může znovu vytvořit tím, že provede skromné platby jedné nebo více službám PPI.
Na dnešním trhu stojí celý proces haléře na cílového hostitele – což je dostatečně levné na to, aby botmasteri jednoduše přebudovali své řady od nuly tváří v tvář obráncům, kteří zahajují rozsáhlé a energické úsilí o odstranění, uvedli výzkumníci.