211service.com
Lielākā daļa ļaunprātīgas programmatūras ir saistītas ar “maksas par instalāciju” tirgu
Jauni pētījumi liecina, ka lielākā daļa personālo datoru, kas inficēti ar ļaunprātīgu programmatūru, varētu būt nonākuši šajā stāvoklī, pateicoties rosīgajam pagrīdes tirgum, kas salīdzina noziedznieku bandas, kas maksā par ļaunprātīgas programmatūras instalēšanu, ar uzņēmīgiem hakeriem, kas vēlas pārdot piekļuvi apdraudētiem personālajiem datoriem.
Maksas par instalēšanu (PPI) pakalpojumi tiek reklamēti ēnainos pazemes tīmekļa forumos. Klienti savu ļaunprogrammatūru — surogātpasta robotu, viltotu pretvīrusu programmatūru vai paroles zagšanas Trojas zirgu — iesniedz PPI pakalpojumam, kas savukārt iekasē likmi no 7 līdz 180 USD par tūkstoti veiksmīgu instalāciju atkarībā no vēlamo upuru pieprasītās ģeogrāfiskās atrašanās vietas.
PPI pakalpojumi piesaista arī uzņēmēju ļaunprātīgas programmatūras izplatītājus vai saistītos uzņēmumus, hakerus, kuru uzdevums ir izdomāt, kā instalēt ļaunprātīgu programmatūru upuru iekārtās. Tipiskas instalēšanas shēmas ietver bojātu programmu augšupielādi publiskajos failu apmaiņas tīklos; likumīgu vietņu uzlaušana, lai automātiski lejupielādētu failus apmeklētājiem; un klusi palaist programmas datoros, kurus viņi jau ir apdraudējuši. Filiāles tiek ieskaitītas tikai par veiksmīgām instalācijām, izmantojot unikālu un statisku filiāles kodu, kas ir pievienots instalēšanas programmās un pēc katras instalēšanas tiek nosūtīts atpakaļ PPI pakalpojumam.
Iekšā jauns papīrs Pētnieki no Kalifornijas Universitātes Bērklijā un Madrides Programmatūras izstrādes tehnoloģiju progresīvo pētījumu institūta apraksta, ka 2010. gada augustā tika iefiltrēti četri konkurējoši PPI pakalpojumi, slepus nolaupot vairākus saistīto uzņēmumu kontus. Komanda izveidoja automatizētu sistēmu, lai regulāri lejupielādētu instalētājus, kurus spiež dažādi PPI pakalpojumi.
Pētnieki analizēja vairāk nekā vienu miljonu instalētāju, ko piedāvā PPI pakalpojumi. Šīs analīzes rezultātā tika izdarīts pārsteidzošs atklājums: no 20 pasaulē populārākajiem ļaunprātīgas programmatūras veidiem 12 izmantoja PPI pakalpojumus, lai iegādātos infekcijas.
Iedziļinoties šajā pētījumā, es nesapratu, ka PPI potenciāli ir pirmais ļaunuma vektors. Verns Paksons , elektrotehnikas un datorzinātņu asociētais profesors UC Berkeley. Tagad mēs apzināmies, ka robottīkli potenciāli ir vērti miljoniem [dolāru] gadā, jo tie nodrošina ļaundariem iespēju izmantot ārpakalpojumus savas ļaunprātīgās programmatūras globālai izplatīšanai.
Pētnieki plānoja kartēt šo pakalpojumu izraisītās ļaunprātīgās programmatūras ģeogrāfisko izplatību, tāpēc viņi izstrādāja automatizētu veidu, kā lejupielādēt instalētājus. Viņi izmantoja tādus pakalpojumus kā Amazon EC2 mākoņskaitļošanas platforma un Tor — bezmaksas pakalpojums, kas ļauj lietotājiem anonīmi sazināties, maršrutējot savus savienojumus caur vairākiem datoriem visā pasaulē, lai apmānītu programmu, kas maksā par instalēšanu, liekot domāt, ka pieprasījumi nāk no dažādām vietām. globuss.
Sistēma klasificēja savākto ļaunprātīgo programmatūru pēc tīkla trafika veida, katrs paraugs, kas tika ģenerēts, palaižot testa sistēmā. Pētnieki teica, ka viņi ir veikuši piesardzības pasākumus, lai novērstu to, ka saistītajos kontos tiek ieskaitītas testa instalācijas.
PPI pakalpojumu analīze liecina, ka tie visbiežāk ir paredzēti personālajiem datoriem Eiropā un Amerikas Savienotajās Valstīs. Šie reģioni ir bagātāki nekā vairums citu un piedāvā partneruzņēmumiem visaugstākās instalēšanas likmes.
Taču pētnieki pieļauj, ka papildus cenai ir faktori, kas var ietekmēt PPI klienta valsts izvēli. Piemēram, surogātpasta robotam, piemēram, Rustock, ir nepieciešama tikai unikāla interneta adrese, lai nosūtītu surogātpastu, savukārt viltota pretvīrusu programmatūra paļaujas uz upuri, lai veiktu kredītkartes vai bankas maksājumu, un tādēļ var būt nepieciešams atbalstīt vairākas valodas vai pirkšanas metodes.
Komanda arī atklāja, ka PPI programmas gandrīz vienmēr instalēja robotprogrammatūras, kas iesaista inficētās sistēmas dažādās klikšķu krāpšanas shēmās, kas ietver krāpnieciskus vai automatizētus klikšķus uz reklāmām, lai nepatiesi radītu ieņēmumus no reklāmām.
Viens negaidīts atklājums var palīdzēt izskaidrot, kāpēc datori, kas ir inficēti ar viena veida ļaunprātīgu programmatūru, bieži vien ātri aizplūst ar vairākām infekcijām: lejupielādētāji, kas ir daļa no vienas shēmas, bieži ielādē lejupielādētājus no citas. Citiem vārdiem sakot, viena PPI pakalpojuma saistītie uzņēmumi dažreiz paši darbojas kā citu pakalpojumu klienti. Līdz ar to daudzi instalēšanas programmas, ko mudina saistītie uzņēmumi, pārņems saņēmēju datorus ar daudzu veidu ļaunprātīgu programmatūru.
Mēs domājam, ka daži no šiem vairāku PPI pakalpojumu saistītajiem uzņēmumiem ir arbitrāžas, cenšoties izmantot cenu atšķirības starp (augstākām) instalēšanas likmēm, kas tiek maksātas viena pakalpojuma saistītajiem uzņēmumiem noteiktā ģeogrāfiskā reģionā, salīdzinājumā ar (zemākām) instalēšanas likmēm, ko iekasē no klientiem. cita PPI pakalpojuma, pētnieki rakstīja.
Šī dinamika rada raksturīgu interešu konfliktu PPI tirgum, kas kaitē gan klientiem, gan saistītajiem uzņēmumiem: jo vairāk instalāciju nodrošina filiāle, jo lielāks ir saņemtais maksājums. Bet jo vairāk ļaunprātīgas programmatūras tiek instalēts, jo lielāka iespēja, ka inficētās sistēmas īpašnieks pamanīs problēmu un veiks pasākumus, lai to izskaustu.
PPI pakalpojumiem ir draudoša ietekme uz koordinētiem robottīklu slēgšanas centieniem. Pēdējos mēnešos drošības pētnieki, interneta pakalpojumu sniedzēji un tiesībaizsardzības iestādes ir strādājušas kopā, lai likvidētu dažus no pasaulē lielākajiem robottīkliem. Piemēram, martā Microsoft sadarbojās ar drošības firmām, lai izjauktu Rustock robottīklu, kas jau sen ir viens no aktīvākajiem surogātpasta robottīkliem uz planētas.
Bērklija pētnieki apgalvo, ka pat tad, ja aizstāvji var iztīrīt robottīklu, nolaupot tā vadības serverus un pat attālināti dezinficējot datorus, šī robottīkla kontrolieris var to atjaunot, veicot nelielus maksājumus vienam vai vairākiem PPI pakalpojumiem.
Mūsdienu tirgū viss process maksā santīmus uz vienu mērķa saimniekdatoru — pietiekami lēti, lai robotu meistari varētu vienkārši atjaunot savas rindas no nulles, saskaroties ar aizstāvjiem, kas uzsāk plašus, enerģiskus iznīcināšanas pasākumus, raksta pētnieki.