Microsoft Team traceert kwaadaardige gebruikers

Anonimiteit op internet kan zowel een zegen als een vloek zijn. Hoewel de mogelijkheid om zich te verschuilen achter anonieme proxy's en snel veranderende IP-adressen (Internet Protocol) de vrije meningsuiting mogelijk heeft gemaakt in landen met repressieve regimes, stellen dezelfde technologieën cybercriminelen in staat hun sporen te verbergen en kwaadaardige code en spam door te geven voor legitieme communicatie.





In een paper die volgende week wordt gepresenteerd op SIGCOMM 2009 in Barcelona, ​​Spanje, demonstreren drie onderzoekers van het onderzoekscentrum van Microsoft in Mountain View, CA, een manier om het schild van anonimiteit van dergelijke schimmige aanvallers te verwijderen. Met behulp van een nieuwe softwaretool konden de drie computerwetenschappers de machines identificeren die verantwoordelijk waren voor kwaadaardige activiteiten, zelfs wanneer het IP-adres van de host vaak veranderde.

Wat we echt proberen te bereiken, is de gastheer die verantwoordelijk is voor een aanval, zei Yinglian Xie , een lid van het Microsoft-team. We proberen die identifiers niet te volgen, maar associëren ze met een bepaalde host.

Het prototypesysteem, HostTracker genaamd, zou kunnen resulteren in een betere verdediging tegen online aanvallen en spamcampagnes. Beveiligingsbedrijven zouden bijvoorbeeld een beter beeld kunnen krijgen van welke internethosts moeten worden geblokkeerd om verkeer naar hun klanten te sturen, en cybercriminelen zouden het moeilijker hebben om hun activiteiten als legitiem verkeer te camoufleren.



Xie en haar collega's, Fang Yu en Martin Abadi, analyseerden de gegevens van een maand – 330 gigabyte – die waren verzameld van een grote e-mailserviceprovider, in een poging te bepalen welke gebruikers verantwoordelijk waren voor het verzenden van spam. Om de oorsprong van meerdere spam-uitbraken te achterhalen, bestudeerden de wetenschappers records, waaronder meer dan 550 miljoen gebruikers-ID's, 220 miljoen IP-adressen en een tijdstempel voor gebeurtenissen zoals het verzenden van een bericht of inloggen op een account.

Het traceren van de oorsprong van berichten - een belangrijke taak voor het opsporen van spam en andere soorten internetaanvallen - omvatte het reconstrueren van relaties tussen account-ID's en de hosts van waaruit gebruikers verbinding maakten met de e-mailservice. Om dit te doen, hebben de onderzoekers alle ID's samengevoegd die gedurende een bepaalde periode van verschillende hosts zijn gebruikt. De HostTracker-software kamde vervolgens deze gegevens door om eventuele conflicten op te lossen. Soms bleek bijvoorbeeld meer dan één gebruiker afkomstig te zijn van hetzelfde IP-adres of had een enkele gebruiker meerdere ID-adressen gedurende overlappende perioden.

HostTracker lost de conflicten op door te verwijzen naar de gegevens om proxyservers te identificeren, waardoor verschillende hosts als een enkel IP-adres kunnen worden weergegeven, en om te bepalen wanneer een gast een legitieme host gebruikte. Dat we kwaadaardig verkeer naar de proxy zelf kunnen traceren, is een verbetering, omdat we de exacte oorsprong kunnen achterhalen, zegt Xie.



De onderzoekers creëerden ook een manier om automatisch verkeer van een bepaald IP-adres op de zwarte lijst te zetten, zodra het HostTracker-systeem heeft vastgesteld dat de host op dat adres is gecompromitteerd. Door deze methode in simulatie te gebruiken, konden de onderzoekers kwaadaardig verkeer blokkeren met een foutenpercentage van vijf procent, met andere woorden, 5 van de 100 IP-adressen die als kwaadaardig waren geclassificeerd, waren echt legitiem. Het gebruik van aanvullende informatie om goed gebruikersgedrag te identificeren, verminderde dat percentage fout-positieven tot minder dan één procent.

De resultaten suggereren dat HostTracker een goede manier zou zijn om de huidige manier van verdedigen tegen gedistribueerde denial-of-service-aanvallen en spamcampagnes te verfijnen, zegt Gunter Ollmann, vice-president onderzoek en ontwikkeling bij Damballa , een bedrijf dat bedrijven helpt bij het vinden en elimineren van gecompromitteerde hosts in een computernetwerk.

Het gebruik van deze techniek zal helpen bij het vinden van botnets met veel verkeer, zoals spamcampagnes, DDoS-aanvallen en misschien doorklikaanvallen, zegt Ollmann. Andere aanvallen, zoals het stelen van wachtwoorden en banking trojans, waarbij de aanval meer op de host is gericht, zou niet zo effectief zijn.



Xie erkent dat hoewel de techniek nuttig is voor het maken van lijsten met te volgen hosts, deze minder nuttig kan zijn voor wetshandhavingsinstanties die proberen de aanvallers achter online misdaad te identificeren. De aansprakelijkheid waar we het over hebben is geen rechterlijke aansprakelijkheid, zegt ze. We willen de twee begrippen scheiden. De verantwoordelijkheid waar we het over hebben, is de mogelijkheid om de hosts te identificeren.

zich verstoppen