الباحثون عزل بلاكهول استغلال أعراض عدة ، وتحديد حسابات تويتر المصابة

إذا أردت البحث في كيفية تمييز برنامج ما لرسائل البريد الإلكتروني الضارة عن البريد العادي ، فأنت ترغب في تحليل ملايين عينات العالم الحقيقي ، سيئة وجيدة. ومع ذلك ، ما لم يكن لديك صديق في وكالة الأمن القومي ، سيكون لديك صعوبة في الحصول على هذه العينات. Twitter ، من ناحية أخرى ، هو وسيلة بث. تقريبًا كل تغريدة مرئية لأي شخص مهتم. البروفيسور جينا ماثيوز والدكتوراه استفاد الطالب جوشوا وايت من جامعة كلاركسون من هذه الحقيقة لاكتشاف معرف موثوق للتغريدات المتولدة عن Blackhole Exploit Kit. تم التعرف على عرضهم كأفضل ورقة في المؤتمر الدولي الثامن للبرامج الضارة وغير المرغوب فيها (البرامج الضارة 2013 للاختصار).

يمكن لأي شخص يرغب في إرسال رسائل غير مرغوب فيها أو إنشاء مجموعة من برامج الروبوت أو سرقة المعلومات الشخصية أن يبدأ من خلال شراء Blackhole Exploit Kit. ذكر ماثيوز أن أحد التقديرات يشير إلى أن BEK متورط في أكثر من نصف حالات الإصابة بالبرامج الضارة في عام 2012. ويربط تقرير آخر BEK بـ 29 بالمائة من جميع عناوين URL الضارة. على الرغم من إلقاء القبض مؤخراً على مؤلف Blackhole المزعوم ، فإن هذه المجموعة تمثل مشكلة كبيرة ، وأحد طرقها العديدة للنشر تتضمن الاستيلاء على حسابات Twitter. ترسل الحسابات المصابة التغريدات التي تحتوي على روابط ، إذا تم النقر فوقها ، فستتلقى الضحية التالية.

أسفل الخط

قامت Matthews and White بتجميع عدة تيرابايت من البيانات من Twitter على مدار عام 2012. وتقدر أن مجموعة بياناتها تحتوي على ما بين 50 إلى 80 بالمائة من جميع التغريدات خلال تلك الفترة. ما حصلوا عليه كان أكثر بكثير من 140 حرفًا لكل تغريدة. يحتوي رأس JSON لكل تغريدة على ثروة من المعلومات حول المرسل والتغريدة وارتباطها بالحسابات الأخرى.

لقد بدأوا بحقيقة بسيطة: تتضمن بعض التغريدات التي أنشأتها BEK عبارات محددة مثل "هل أنت على الصورة؟" أو عبارات أكثر استفزازية مثل "لقد كنت عارية في الحزب) صورة باردة)." من خلال استخراج مجموعة البيانات الضخمة لهذه العبارات المعروفة ، حددوا الحسابات المصابة. هذا بدوره يتيح لهم رفع عبارات جديدة وعلامات أخرى من التغريدات التي تم إنشاؤها بواسطة BEK.

الورقة نفسها علمية وكاملة ، لكن النتيجة النهائية بسيطة للغاية. لقد طوروا مقياسًا بسيطًا نسبيًا ، عندما يتم تطبيقه على إخراج حساب معين على Twitter ، يمكن أن يفصل بشكل موثوق الحسابات المصابة عن تلك النظيفة. إذا سجل الحساب أعلى سطر معين ، فسيكون الحساب على ما يرام ؛ تحت الخط ، إنه مصاب.

من المصاب من؟

مع هذه الطريقة الواضحة لتمييز الحسابات المصابة في مكانها ، واصلوا تحليل عملية العدوى. لنفترض أن الحساب B ، وهو نظيف ، يتبع الحساب A ، المصاب. إذا أصبح الحساب B مصابًا بعد فترة وجيزة من نشر BEK بواسطة الحساب A ، فستكون فرص جيدة جدًا أن يكون الحساب A هو المصدر. قام الباحثون بنمذجة هذه العلاقات في رسم بياني عنقودي أظهر بوضوح عدد قليل من الحسابات التي تسببت في أعداد هائلة من الإصابات. هذه حسابات تم إعدادها بواسطة مالك Blackhole Exploit Kit خصيصًا لغرض نشر العدوى.

لاحظ ماثيوز أنه في هذه المرحلة كان لديهم القدرة على إخطار المستخدمين الذين حساباتهم مصابة ، لكنهم شعروا أن هذا يمكن أن يكون الغازية للغاية. إنها تعمل على التواصل مع Twitter لمعرفة ما يمكن القيام به.

تتيح تقنيات استخراج البيانات الحديثة وتحليل البيانات الكبيرة للباحثين إيجاد أنماط وعلاقات كان من المستحيل الوصول إليها قبل بضع سنوات فقط. ليس كل السعي وراء المعرفة يؤتي ثماره ، ولكن هذا واحد فعل ، في البستوني. آمل مخلصًا أن يتمكن البروفسور ماثيوز من جذب اهتمام Twitter إلى تطبيق عملي لهذا البحث.