211service.com
Meeste malware gekoppeld aan 'Pay-Per-Install'-markt
Nieuw onderzoek suggereert dat de meeste pc's die met kwaadaardige software zijn geïnfecteerd, in die staat zijn terechtgekomen dankzij een bruisende ondergrondse markt die criminele bendes die betalen voor malware-installaties vergelijkt met ondernemende hackers die toegang tot gecompromitteerde pc's willen verkopen.
Pay-per-install (PPI)-services worden geadverteerd op schimmige ondergrondse webforums. Klanten dienen hun malware - een spambot, nep-antivirussoftware of wachtwoord-stelende trojan - in bij de PPI-service, die op zijn beurt tarieven in rekening brengt van $ 7 tot $ 180 per duizend succesvolle installaties, afhankelijk van de gevraagde geografische locatie van de gewenste slachtoffers.
De PPI-services trekken ook ondernemende malwaredistributeurs of gelieerde ondernemingen aan, hackers die moeten uitzoeken hoe de malware op de machines van slachtoffers kan worden geïnstalleerd. Typische installatieschema's omvatten het uploaden van besmette programma's naar openbare netwerken voor het delen van bestanden; het hacken van legitieme websites om de bestanden automatisch naar bezoekers te downloaden; en stilletjes de programma's draaien op pc's die ze al hebben gecompromitteerd. Partners worden alleen gecrediteerd voor succesvolle installaties, via een unieke en statische partnercode die in de installatieprogramma's is genaaid en na elke installatie terug wordt gecommuniceerd naar de PPI-service.
In een nieuw papier onderzoekers van de University of California, Berkeley, en het Madrid Institute for Advanced Studies in Software Development Technologies beschrijven het infiltreren van vier concurrerende PPI-services in augustus 2010, door heimelijk meerdere aangesloten accounts te kapen. Het team bouwde een geautomatiseerd systeem om regelmatig de installatieprogramma's te downloaden die door de verschillende PPI-services worden gepusht.
De onderzoekers analyseerden meer dan een miljoen installateurs aangeboden door PPI-services. Die analyse leidde tot een verrassende ontdekking: van 's werelds top 20 soorten malware, gebruikten er 12 PPI-services om infecties te kopen.
Toen ik deze studie begon, besefte ik niet dat PPI mogelijk de nummer één vector is voor slechtheid die er is, zei: Vern Paxson , universitair hoofddocent elektrotechniek en computerwetenschappen aan UC Berkeley. We hebben nu het gevoel dat botnets mogelijk miljoenen [dollars] per jaar waard zijn, omdat ze onverlaten de mogelijkheid bieden om de wereldwijde verspreiding van hun malware uit te besteden.
De onderzoekers wilden de geografische verspreiding van malware die door deze services wordt gepusht in kaart brengen, dus bedachten ze een geautomatiseerde manier om installatieprogramma's te downloaden. Ze gebruikten diensten zoals het EC2 cloud computing-platform van Amazon en Tor, een gratis dienst waarmee gebruikers anoniem kunnen communiceren door hun verbindingen via meerdere computers over de hele wereld te routeren, om het pay-per-install-programma te laten denken dat verzoeken afkomstig waren van locaties in de buurt. de wereldbol.
Het systeem classificeerde de verzamelde malware op type netwerkverkeer dat elk monster gegenereerde wanneer het op een testsysteem werd uitgevoerd. De onderzoekers zeiden dat ze voorzorgsmaatregelen hebben genomen om te voorkomen dat aangesloten accounts worden gecrediteerd met de testinstallaties.
Uit de analyse van de PPI-services blijkt dat ze zich het vaakst richten op pc's in Europa en de Verenigde Staten. Deze regio's zijn rijker dan de meeste andere en bieden aangesloten bedrijven de hoogste tarieven per installatie.
Maar de onderzoekers vermoeden dat er naast de prijs ook andere factoren zijn die de landkeuze van een PPI-klant kunnen beïnvloeden. Een spambot zoals Rustock heeft bijvoorbeeld weinig meer nodig dan een uniek internetadres om spam te verzenden, terwijl nep-antivirussoftware afhankelijk is van het slachtoffer om een creditcard- of bankbetaling te doen, en dus mogelijk meerdere talen of aankoopmethoden moet ondersteunen.
Het team ontdekte ook dat PPI-programma's bijna altijd bots installeerden die geïnfecteerde systemen betrekken bij een verscheidenheid aan klikfraudeprogramma's, waarbij frauduleuze of geautomatiseerde klikken op advertenties betrokken zijn om valselijk advertentie-inkomsten te genereren.
Een onverwachte bevinding kan helpen verklaren waarom pc's die zijn geïnfecteerd met één type malware vaak snel verzanden in meerdere infecties: downloaders die deel uitmaken van het ene schema halen vaak downloaders van een ander. Met andere woorden, affiliates van de ene PPI-service treden soms zelf op als klanten van andere services. Bijgevolg zullen veel van de installatieprogramma's die door filialen worden gepusht, de pc's van de ontvangers overstelpen met vele soorten kwaadaardige software.
We speculeren dat sommige van deze multi-PPI-service filialen arbitrageurs zijn, die proberen te profiteren van prijsverschillen tussen de (hogere) installatietarieven die worden betaald aan de filialen van één dienst voor een bepaalde geografische regio versus de (lagere) installatietarieven die aan klanten worden aangerekend van een andere PPI-service, schreven de onderzoekers.
Deze dynamiek zorgt voor een inherent belangenconflict op de PPI-markt die zowel klanten als gelieerde ondernemingen schaadt: hoe meer installaties een gelieerde onderneming levert, hoe hoger de ontvangen betaling. Maar hoe meer malware er wordt geïnstalleerd, hoe groter de kans dat de eigenaar van een geïnfecteerd systeem een probleem opmerkt en stappen onderneemt om de malware uit te roeien.
PPI-services hebben onheilspellende implicaties voor gecoördineerde inspanningen om botnets te sluiten. De afgelopen maanden hebben beveiligingsonderzoekers, internetserviceproviders en wetshandhavingsinstanties samengewerkt om enkele van 's werelds grootste botnets te ontmantelen. In maart werkte Microsoft bijvoorbeeld samen met beveiligingsbedrijven om het Rustock-botnet, lange tijd een van de meest actieve spambotnets ter wereld, te verlammen.
De Berkeley-onderzoekers stellen dat zelfs als verdedigers een botnet kunnen opruimen - door de controleservers te kapen en zelfs pc's op afstand te desinfecteren - de controller van dat botnet het kan herbouwen door bescheiden betalingen te doen aan een of meer PPI-services.
In de huidige markt kost het hele proces centen per doelhost - goedkoop genoeg voor botmasters om eenvoudig hun gelederen opnieuw op te bouwen in het licht van verdedigers die uitgebreide, energieke verwijderingsinspanningen lanceren, schreven de onderzoekers.