211service.com
De flesta skadliga program kopplade till 'Pay-Per-Install'-marknaden
Ny forskning tyder på att majoriteten av persondatorer infekterade med skadlig programvara kan ha kommit till det tillståndet tack vare en livlig underjordisk marknad som matchar kriminella gäng som betalar för installation av skadlig programvara med driftiga hackare som vill sälja tillgång till komprometterade datorer.
Pay-per-install (PPI)-tjänster annonseras på skumma underjordiska webbforum. Klienter skickar in sin skadliga programvara – en spambot, falsk antivirusprogramvara eller trojan som stjäl lösenord – till PPI-tjänsten, som i sin tur tar ut priser från 7 till 180 USD per tusen framgångsrika installationer, beroende på den önskade geografiska platsen för de önskade offren.
PPI-tjänsterna lockar också entreprenöriella distributörer av skadlig programvara, eller affiliates, hackare som har till uppgift att ta reda på hur man installerar skadlig programvara på offrens maskiner. Typiska installationsscheman involverar uppladdning av smutsiga program till offentliga fildelningsnätverk; hacka legitima webbplatser för att automatiskt ladda ner filerna till besökare; och tyst köra programmen på datorer som de redan har äventyrat. Affiliates krediteras endast för framgångsrika installationer, via en unik och statisk affiliate-kod som är sammanfogad i installationsprogrammen och kommuniceras tillbaka till PPI-tjänsten efter varje installation.
I en nytt papper forskare från University of California, Berkeley och Madrid Institute for Advanced Studies in Software Development Technologies beskriver infiltration av fyra konkurrerande PPI-tjänster i augusti 2010, genom att i smyg kapa flera affiliate-konton. Teamet byggde ett automatiserat system för att regelbundet ladda ner de installatörer som drivs av de olika PPI-tjänsterna.
Forskarna analyserade mer än en miljon installatörer som erbjuds av PPI-tjänster. Den analysen ledde till en häpnadsväckande upptäckt: Av världens 20 bästa typer av skadlig programvara använde 12 PPI-tjänster för att köpa infektioner.
När jag gick in på den här studien insåg jag inte att PPI potentiellt är den främsta vektorn för dålighet där ute, sa Vern Paxson , docent i elektroteknik och datavetenskap vid UC Berkeley. Vi har nu en känsla av att botnät potentiellt är värda miljoner [av dollar] per år, eftersom de tillhandahåller ett sätt för skurkarna att lägga ut den globala spridningen av deras skadliga program.
Forskarna satte sig för att kartlägga den geografiska spridningen av skadlig programvara som drivs av dessa tjänster, så de utarbetade ett automatiserat sätt att ladda ner installationsprogram. De använde tjänster som Amazons EC2 cloud computing-plattform och Tor, en gratistjänst som låter användare kommunicera anonymt genom att dirigera sina anslutningar genom flera datorer runt om i världen, för att lura programmet betala-per-installation att tro att förfrågningar kom från platser runt om i världen. Globen.
Systemet klassificerade den insamlade skadliga programvaran efter typ av nätverkstrafik som varje prov genererade när det kördes på ett testsystem. Forskarna sa att de vidtog försiktighetsåtgärder för att förhindra att affiliate-konton krediteras med testinstallationerna.
Analysen av PPI-tjänsterna visar att de oftast är inriktade på datorer i Europa och USA. Dessa regioner är rikare än de flesta andra och erbjuder affiliates de högsta priserna per installation.
Men forskarna antar att det finns faktorer bortom priset som kan påverka en PPI-klients val av land. Till exempel kräver en spambot som Rustock lite mer än en unik internetadress för att skicka skräppost, medan falska antivirusprogram förlitar sig på att offret gör en kreditkorts- eller bankbetalning och därför kan behöva stödja flera språk eller inköpsmetoder.
Teamet fann också att PPI-program nästan alltid installerade bots som engagerar infekterade system i en mängd olika klickbedrägerisystem, som involverade bedrägliga eller automatiserade klick på annonser för att felaktigt generera annonsintäkter.
Ett oväntat fynd kan hjälpa till att förklara varför datorer som är infekterade med en typ av skadlig programvara ofta snabbt fastnar med flera infektioner: Nedladdare som ingår i ett system hämtar ofta nedladdare från ett annat. Med andra ord, affiliates från en PPI-tjänst agerar ibland själva som kunder till andra tjänster. Följaktligen kommer många av de installatörer som drivs av affiliates att överväldiga mottagardatorer med många typer av skadlig programvara.
Vi spekulerar i att några av dessa dotterbolag med flera PPI-tjänster är arbitragörer, som försöker dra fördel av prisskillnaderna mellan de (högre) installationspriserna som betalas till dotterbolagen till en tjänst för en viss geografisk region jämfört med de (lägre) installationspriserna som debiteras kunderna. av en annan PPI-tjänst, skrev forskarna.
Denna dynamik ger en inneboende intressekonflikt till PPI-marknaden som skadar både kunder och affiliates: Ju fler installationer ett affiliate tillhandahåller, desto större betalning erhålls. Men ju mer skadlig programvara installeras, desto större är sannolikheten att ägaren av ett infekterat system kommer att upptäcka ett problem och vidta åtgärder för att utrota skadlig programvara.
PPI-tjänster har olycksbådande konsekvenser för samordnade ansträngningar för att stänga av botnät. Under de senaste månaderna har säkerhetsforskare, internetleverantörer och brottsbekämpande myndigheter arbetat tillsammans för att avveckla några av världens största botnät. I mars, till exempel, samarbetade Microsoft med säkerhetsföretag för att förlama Rustock-botnätet, länge ett av de mest aktiva spam-botnäten på planeten.
Berkeley-forskarna hävdar att även om försvarare kan rensa upp ett botnät – genom att kapa dess kontrollservrar och till och med fjärrdesinficera datorer – kan styrenheten för det botnätet bygga om det genom att göra blygsamma betalningar till en eller flera PPI-tjänster.
På dagens marknad kostar hela processen slantar per målvärd – tillräckligt billigt för att botmasters helt enkelt ska kunna bygga upp sina led från grunden inför försvarare som lanserar omfattande, energiska nedtagningsinsatser, skrev forskarna.