Video: Blackhole Exploit Kit (Oktober 2024)
Jika Anda ingin meneliti bagaimana suatu program dapat membedakan pesan email berbahaya dari surat biasa, Anda ingin menganalisis jutaan sampel dunia nyata, baik dan buruk. Namun, kecuali Anda memiliki teman di NSA, Anda akan kesulitan mendapatkan sampel itu. Twitter, di sisi lain, adalah media penyiaran. Hampir setiap tweet dapat dilihat oleh siapa saja yang tertarik. Profesor Jeanna Matthews dan Ph.D. mahasiswa Joshua White di Clarkson University memanfaatkan fakta ini untuk menemukan pengidentifikasi yang dapat diandalkan untuk tweet yang dihasilkan oleh Blackhole Exploit Kit. Presentasi mereka diakui sebagai makalah terbaik di Konferensi Internasional ke-8 tentang Perangkat Lunak Berbahaya dan Tidak Diinginkan (Malware 2013).
Siapa pun yang memiliki keinginan untuk mengirim spam, membuat pasukan bot, atau mencuri informasi pribadi dapat memulai dengan membeli Blackhole Exploit Kit. Matthews melaporkan bahwa satu perkiraan menunjukkan BEK terlibat dalam lebih dari setengah dari semua serangan malware pada 2012. Laporan lain mengikat BEK hingga 29 persen dari semua URL jahat. Meskipun penangkapan baru-baru ini atas dugaan penulis Blackhole, kit ini adalah masalah yang signifikan, dan salah satu dari banyak cara penyebarannya melibatkan pengambilan alih akun Twitter. Akun yang terinfeksi mengirimkan tweet yang berisi tautan yang, jika diklik, mengklaim korban berikutnya.
Dibawah garis
Matthews dan White mengumpulkan beberapa terabyte data dari Twitter selama 2012. Dia memperkirakan bahwa kumpulan data mereka berisi 50 hingga 80 persen dari semua tweet selama waktu itu. Apa yang mereka dapatkan adalah lebih dari 140 karakter per tweet. Header JSON setiap tweet berisi banyak informasi tentang pengirim, tweet, dan hubungannya dengan akun lain.
Mereka mulai dengan fakta sederhana: beberapa tweet yang dihasilkan BEK menyertakan frasa khusus seperti "Anda di foto?" atau frasa yang lebih provokatif seperti "Kamu telanjang di pesta) foto keren)." Dengan menambang dataset besar untuk frasa yang diketahui ini, mereka mengidentifikasi akun yang terinfeksi. Ini pada gilirannya membiarkan mereka menghasilkan frasa baru dan penanda lain dari tweet yang dihasilkan BEK.
Makalah itu sendiri bersifat ilmiah dan lengkap, tetapi hasil akhirnya cukup sederhana. Mereka mengembangkan metrik yang relatif sederhana yang, ketika diterapkan pada output dari akun Twitter yang diberikan, dapat dengan andal memisahkan akun yang terinfeksi dari yang bersih. Jika akun mendapat skor di atas garis tertentu, akun tersebut baik-baik saja; di bawah garis, itu terinfeksi.
Who Infected Who?
Dengan metode yang jelas ini untuk membedakan akun yang terinfeksi, mereka melanjutkan untuk menganalisis proses penularan. Misalkan akun B, yang bersih, mengikuti akun A, yang terinfeksi. Jika akun B terinfeksi segera setelah posting BEK oleh akun A, kemungkinan sangat bagus bahwa akun A adalah sumbernya. Para peneliti memodelkan hubungan-hubungan ini dalam grafik kelompok yang sangat jelas menunjukkan sejumlah kecil akun yang menyebabkan sejumlah besar infeksi. Ini adalah akun yang dibuat oleh pemilik Blackhole Exploit Kit khusus untuk tujuan penyebaran infeksi.
Matthews mencatat bahwa pada titik ini mereka memiliki kemampuan untuk memberi tahu pengguna yang akunnya terinfeksi, tetapi mereka merasa ini bisa dianggap terlalu invasif. Dia sedang berusaha bersama dengan Twitter untuk melihat apa yang bisa dilakukan.
Penambangan data modern dan teknik analisis data besar memungkinkan para peneliti untuk menemukan pola dan hubungan yang tidak mungkin dicapai hanya beberapa tahun yang lalu. Tidak setiap pencarian pengetahuan terbayar, tetapi yang ini berhasil, dalam sekop. Saya dengan tulus berharap Profesor Matthews berhasil membuat Twitter tertarik dengan aplikasi praktis dari penelitian ini.
