Impersonation-as-a-service (IMPaaS): mercato nero per il commercio di impronte digitali online

0
1405

La sicurezza su Internet è un gioco al gatto e al topo senza fine. Gli specialisti della sicurezza escogitano costantemente nuovi modi per proteggere i nostri preziosi dati, solo per i criminali informatici che escogitano modi nuovi e astuti per minare queste difese.

I ricercatori di TU / e hanno ora trovato prove di un mercato online altamente sofisticato con sede in Russia che scambia centinaia di migliaia di profili utente molto dettagliati. Queste ” impronte digitali ” personali consentono ai criminali di aggirare i sistemi di autenticazione all’avanguardia, dando loro accesso a preziose informazioni sugli utenti, come i dettagli della carta di credito.

La nostra economia online dipende dai nomi utente e dalle password per garantire che la persona che acquista o trasferisce denaro su Internet sia davvero la persona che sta dicendo. Tuttavia, questo modo limitato di autenticazione si è dimostrato tutt’altro che sicuro, poiché le persone tendono a riutilizzare le proprie password su diversi servizi e siti Web.

Ciò ha portato a un commercio illegale massiccio e altamente redditizio di credenziali utente: secondo una stima recente (dal 2017) circa 1,9 miliardi di identità rubate sono state vendute attraverso mercati clandestini in un anno.

Non sorprende che le banche e altri servizi digitali abbiano messo a punto sistemi di autenticazione più complessi, che si basano non solo su qualcosa che gli utenti conoscono (la loro password), ma anche su qualcosa che hanno (ad esempio un token).

Questo processo, noto come autenticazione a più fattori (MFA), limita notevolmente il potenziale di criminalità informatica, ma presenta degli svantaggi. Poiché aggiunge un passaggio in più, molti utenti non si preoccupano di registrarsi, il che significa che solo una minoranza di persone lo utilizza.

Per alleviare questo problema, un sistema alternativo di autenticazione è recentemente diventato popolare con servizi come Amazon, Facebook, Google e PayPal. Questo sistema, noto come autenticazione basata sul rischio (RBA), esamina le ” impronte digitali dell’utente ” per controllare le credenziali di qualcuno.

Questi possono includere informazioni tecniche di base, come il tipo di browser o sistema operativo, ma anche caratteristiche comportamentali, come il movimento del mouse, la posizione e la velocità dei tasti. Se l’ impronta digitale è conforme a ciò che ci si aspetta da un utente, in base al comportamento precedente, gli è consentito accedere immediatamente, utilizzando solo i nomi utente e le password.

In caso contrario, è necessaria un’autenticazione aggiuntiva tramite un token.

Naturalmente, i criminali informatici hanno rapidamente escogitato modi per aggirare la RBA, sviluppando kit di phishing che includono anche le impronte digitali. Tuttavia, hanno trovato difficile trasformare questo in un’attività efficace e redditizia. Uno dei motivi è che questi profili utente variano nel tempo e tra i servizi e devono essere raccolti tramite ulteriori attacchi di phishing.

Rappresentazione come servizio

I ricercatori della TU / e hanno ora trovato prove di un mercato su larga scala e altamente sofisticato che sembra superare questi limiti. Il mercato, che ha sede in Russia, offre oltre 260.000 profili utente altamente dettagliati, insieme ad altre credenziali utente, come indirizzi e-mail e password.

“Ciò che rende unico questo sito Web sotterraneo non è solo la sua scala, ma anche il fatto che tutti i profili vengono continuamente aggiornati, il che significa che mantengono il loro valore”, afferma Luca Allodi, ricercatore presso il gruppo Sicurezza presso il dipartimento di Matematica e Computer Science, che insieme a Ph.D. lo studente Michele Campobasso è stato responsabile della ricerca.

“Inoltre, i clienti possono eseguire ricerche nel database, in modo da selezionare con precisione l’utente Internet che desiderano prendere di mira, consentendo attacchi di spearphishing altamente pericolosi. Possono anche scaricare software che carica automaticamente i profili utente acquistati nei siti web di destinazione “.

Per sottolineare la natura sistematica del sito web, Allodi e Campobasso hanno coniato il termine ‘Impersonation-as-a-service’ (IMPaaS), facendo eco a noti servizi di cloud computing come SaaS (software-as-a-service) e IaaS (infrastruttura come servizio).

“Per quanto ne sappiamo, questo è il mercato criminale più vasto e sofisticato che offre sistematicamente questi servizi”.

La ricerca sul mercato non è stata facile. Per accedere agli elenchi dei profili utente disponibili, i ricercatori hanno dovuto procurarsi speciali codici di invito condivisi dagli utenti esistenti. Anche la raccolta dei dati è stata difficile, poiché gli operatori della piattaforma monitorano attivamente gli account “canaglia”. I ricercatori hanno anche deciso di mantenere segreto il vero nome del sito web per ridurre al minimo il rischio di azioni di ritorsione da parte degli operatori del mercato.

Prezzo

Il prezzo dell ‘”identità virtuale” di un utente sul mercato varia da 1 dollaro a circa 100 dollari. L’accesso ai profili di criptovaluta e alle piattaforme webmoney sembra essere il più apprezzato. “La semplice presenza di almeno un profilo correlato alla crittografia raddoppia quasi il valore medio del profilo”, afferma Allodi.

Un altro fattore importante che fa salire il prezzo è la ricchezza del paese in cui si trova l’utente. “Questo ha senso: gli aggressori che cercano di impersonare e monetizzare i profili degli utenti assegnano un valore maggiore ai profili che possono portare maggiori guadagni finanziari, e questi si trovano principalmente nei paesi sviluppati”, secondo Campobasso.

Molto apprezzati sono anche i profili utente che danno accesso a più di un servizio e profili con impronte digitali “reali”, al contrario delle impronte “sintetizzate” dalla piattaforma.

Mettere i profili da usare

Nel loro articolo i ricercatori descrivono anche alcuni esempi di come i criminali “armano” questi profili, che hanno trovato su un canale Telegram segreto utilizzato dai clienti della piattaforma. In uno degli attacchi segnalati, un aggressore descrive l’impostazione di filtri nelle caselle di posta di una vittima, con l’obiettivo di nascondere le notifiche di Amazon relative agli acquisti effettuati dall’aggressore utilizzando l’account Amazon della vittima.


BACKGROUND E LAVORI CORRELATI
Attacchi di rappresentazione degli utenti

Con l’avvento di sofisticate applicazioni web, gran parte dell’attività di un utente su Internet avviene accedendo a una moltitudine di servizi remoti, dal settore bancario all’e-commerce e alle piattaforme di social network, attraverso il browser. La maggior parte di questi servizi avrà meccanismi di autenticazione che hanno lo scopo di concedere l’accesso al servizio sottostante solo agli utenti autorizzati.

Dal punto di vista di un utente malintenzionato, la rappresentazione dell’utente fornisce un ampio portafoglio di ulteriori opportunità di attacco, che vanno dal guadagno economico [2, 16] a scenari più mirati come il phishing mirato [24] e i crimini violenti [21].

L’autenticazione basata su password (PBA) è la (prima) barriera più comune che gli aggressori devono superare per eseguire un attacco di rappresentazione. Mentre le password si sono rivelate difficili da gestire in modo sicuro, sono soggette a fughe di notizie e ad attacchi off-line [32, 43] e presentano ancora gravi problemi di usabilità [37], esse rappresentano il mezzo di autenticazione online più diffuso [7, 8].

PBA richiede agli utenti di creare un segreto non banale, di non riutilizzarlo su più servizi e di memorizzare sia il segreto sia dove è stato utilizzato; ciononostante, diversi studi indicano che fino al 90% degli utenti riutilizza le password o piccole variazioni delle stesse in diversi servizi [14, 28].

Sebbene ciò lasci spazio agli attacchi che indovinano la password, è possibile utilizzare vettori di attacco aggiuntivi (come malware e phishing [9, 40]) per ottenere le password degli utenti, indipendentemente dalla loro complessità. In generale, gli account dirottati possono consentire agli avversari di attingere alle connessioni sociali delle vittime per compromettere account aggiuntivi [18, 39], creando attacchi mirati di ingegneria sociale contro la loro cerchia di fiducia o inviando spam a contenuti dannosi [36], liquidando risorse finanziarie [ 27], rubano informazioni sensibili allo scopo di ricattare gli utenti [9, 36] e sextortion [42].

Inoltre, le credenziali dell’utente rubate sono spesso messe a disposizione della comunità dei criminali informatici attraverso mercati clandestini [35, 40]. Questi mercati generalmente forniscono “discariche” di credenziali rubate ottenute da fughe di dati da una piattaforma interessata o come risultato di una vasta campagna di phishing rivolta ai suoi utenti [40]; piattaforme di destinazione comuni includono siti Web bancari o di trading, servizi di criptovaluta, siti Web pornografici e altri servizi Internet. Una stima recente calcola che, tra marzo 2016 e marzo 2017, 1,9 miliardi di credenziali di phishing sono state vendute attraverso i mercati clandestini [40].

Contromisure agli attacchi contro PBA

Autenticazione a più fattori. Per mitigare le carenze dei meccanismi di autenticazione che si basano esclusivamente sulle password, le piattaforme web hanno iniziato ad adottare misure di autenticazione aggiuntive come Multi-Factor Authentication (MFA). MFA ha spostato il paradigma di autenticazione da (esclusivamente) qualcosa che l’utente conosce (ad esempio una password) a qualcosa che l’utente ha (ad esempio, un token) [15, 40].

Ciò si ottiene principalmente con una combinazione di una coppia di credenziali valide e di un One Time Passcode (OTP) ricevuto tramite un componente affidabile come un telefono cellulare, un’e-mail o un token hardware [15]. Sebbene esistano possibili scenari di attacco in cui l’aggressore può ottenere le informazioni necessarie per l’autenticazione quasi in tempo reale (generatore di token rubato, e-mail compromessa, attacchi di scambio SIM [33], ecc.), MFA aumenta notevolmente i costi per un utente malintenzionato e è ampiamente considerato come una contromisura efficace agli attacchi di rappresentazione basati su password [40].

Tuttavia, MFA non è privo di problemi di sicurezza, forse legati in particolare alla sua usabilità [31], preoccupazioni sui meccanismi di recupero dei token e fiducia di terze parti [7].

Autenticazione basata sul rischio. In parte per mitigare il problema dell’usabilità, l’autenticazione basata sul rischio (RBA) viene spesso adottata come mezzo per valutare se l’utente che esegue l’autenticazione è (probabilmente) quello che ha storicamente accesso a un account specifico. RBA è una tecnica di sicurezza adattiva che mira a rafforzare l’autenticazione basata su password monitorando quanto sia inaspettato o sospetto un tentativo di accesso dal punto di vista del servizio di autenticazione [31, 40, 41].

Durante l’autenticazione, il sistema RBA monitora le caratteristiche sia comportamentali che tecniche dell’utente e del dispositivo, producendo un’impronta digitale dell’utente che si autentica [41]. RBA calcola un punteggio di rischio associato all’autenticazione in corso confrontando il profilo esistente dell’utente che esegue l’autenticazione con le caratteristiche raccolte per quell’istanza dell’autenticazione.

Le funzionalità variano da informazioni di base come agente utente, ora di sistema e sistema operativo, a caratteristiche ambientali o comportamentali, come lingua di sistema, layout della tastiera, caratteri e plug-in installati, movimento del mouse, geolocalizzazione e velocità di battitura [1, 17, 40, 41]. 

Mentre l’elevata dimensionalità di questi dati genera, con alta probabilità, “impronte ” uniche di un utente, queste non sono necessariamente stabili nel tempo (poiché, ad esempio, gli utenti possono accedere al servizio da più o nuovi sistemi, possono aggiornare le configurazioni del software, o autenticare da posizioni diverse).

A seconda del punteggio di rischio calcolato per quella transazione, il servizio di autenticazione può concedere l’accesso all’utente solo con una password valida (se il livello di rischio è basso) o richiedere fattori di autenticazione aggiuntivi (ad esempio, codici inviati agli account di posta elettronica associati, verifica tramite SMS ) o addirittura negare l’accesso a livelli di rischio più elevati [31, 41].

Questo meccanismo si basa sul presupposto che gli aggressori non possano ricreare sistematicamente il profilo della vittima, a meno che l’attaccante non abbia già il controllo del sistema dell’utente. A seguito dell’implementazione delle tecniche RBA nei servizi critici, gli avversari hanno sviluppato soluzioni sofisticate che mirano a impersonare il profilo utente dell’utente che si autentica.

La letteratura recente ha dimostrato che i kit di phishing hanno sviluppato capacità per ottenere profili utente che possono essere riutilizzati dall’aggressore; allo stesso modo, il malware recente è stato progettato specificamente per riportare l’attività dell’utente all’aggressore [40]. 

In particolare, Thomas et al. [40] evidenziano le capacità migliorate dei kit di phishing nella raccolta di informazioni relative alle vittime, compresa la posizione geografica, i metadati del browser e le risposte alle domande di sicurezza; hanno scoperto che gli attacchi che si basano sulle informazioni del profilo utente raccolte dai kit di phishing hanno 40 volte più probabilità di avere successo rispetto agli attacchi “normali” basati su credenziali trapelate.

D’altra parte, la raccolta di informazioni sul profilo utente non si adatta bene agli utenti e alle piattaforme poiché i profili utente possono variare nel tempo, tra i servizi,mezzi di attacco (ad es. phishing).

Analisi delle attuali strategie di attacco

Capacità di attacco. Dall’analisi precedente, identifichiamo sei capacità richieste per bypassare sistematicamente i sistemi RBA.
Autenticazione con password. Come minimo, un utente malintenzionato necessita delle credenziali di autenticazione della vittima.

Profilazione dell’utente. Per tentare di aggirare i sistemi RBA, un utente malintenzionato dovrebbe disporre di una misurazione accurata del profilo / impronta digitale della vittima per quella piattaforma.

Multi piattaforma. L’aggressore potrebbe dover accedere a più piattaforme Web per aggirare alcuni controlli MFA (ad esempio token o OTP inviati a un account di posta elettronica della vittima).

Le credenziali di autenticazione e i profili utente devono essere raccolti anche per queste piattaforme aggiuntive. La capacità di impersonare la vittima su più piattaforme aumenta ulteriormente la superficie di attacco nell’ambito dell’aggressore.
Aggiornamenti del profilo.

I profili utente sono unici ma non necessariamente stabili. Ad esempio, un utente può aggiornare una password, modificare la configurazione del software o accedere al servizio da un’area geografica diversa. Queste modifiche possono invalidare i profili raccolti in precedenza per quell’utente, che potrebbero quindi richiedere un aggiornamento.

Infrastruttura di infezione. L’autore dell’attacco richiede un’infrastruttura per infettare gli utenti e raccogliere e aggiornare i profili utente raccolti. Ciò deve essere mantenuto con l’evolversi delle capacità difensive (ad esempio l’inserimento in una lista nera di un dominio di phishing utilizzato) e può richiedere l’acquisizione di servizi esterni (ad esempio, per l’aggiornamento di un’infezione [10, 20]).

Applicazione automatica del profilo. Una volta raccolto un profilo, l’attaccante deve imporlo durante l’autenticazione sulla piattaforma. Mentre alcuni aspetti del profilo sono facili da riprodurre (es. Agente utente, risoluzione dello schermo), altri non lo sono (es. Font / plug-in installati, velocità di battitura, movimenti del mouse, ecc.). Man mano che i profili cambiano tra utenti e piattaforme, è probabile che l’aggressore necessiti di un sistema in grado di applicare i profili raccolti in modo automatizzato.

Analisi attraverso strategie di attacco. Kurt et al. [40] identifica tre strategie principali per gli attacchi di rappresentazione. La tabella 1 fornisce una panoramica delle loro capacità.

Credenziali trapelate. credenziali derivate da violazioni dei dati su una piattaforma. Le credenziali trapelate vengono generalmente scambiate alla rinfusa nei forum sotterranei; i dati trapelati spesso contengono solo associazioni tra nomi utente e password (con hash), senza informazioni sul profilo utente. I dati sono statici e se un utente cambia la password, le informazioni possedute dall’aggressore perdono ogni valore.

Poiché la perdita riguarda solo una piattaforma (e più perdite sono probabilmente non correlate tra loro), gli attacchi multipiattaforma contro un utente non sono abilitati da questa strategia di attacco. Tuttavia, gli attacchi di riutilizzo della password possono fornire all’autore dell’attacco l’accesso a piattaforme aggiuntive oltre a quella che ha subito la perdita.

Kit di phishing. gli aggressori possono utilizzare kit per distribuire siti Web di phishing volti a rubare le credenziali degli utenti. Poiché gli utenti interagiscono direttamente con il kit di phishing, la profilazione degli utenti può essere ottenuta inserendo codice fingerprint nella pagina web di phishing [40]. I profili derivati ​​dai kit di phishing sono tuttavia limitati a una sola occorrenza dell’autenticazione (sul sito di phishing) e possono essere incompleti o imprecisi.

Ad esempio, l’utilizzo del software di gestione delle password può ostacolare il realismo dell’impronta digitale derivata (ad esempio, in termini di tempo di input o comportamento dell’utente sulla pagina) rispetto a quello misurato dalla piattaforma originale. Per ottenere funzionalità multipiattaforma, l’attaccante deve sviluppare o acquisire un kit di phishing per ciascuna delle piattaforme di phishing e raccogliere i dati rilevanti attraverso attacchi separati contro lo stesso utente.

Malware. l’attaccante ha accesso al sistema tramite un keylogger o un trojan / bot. Ciò richiede che l’aggressore acquisti / noleggi il sistema infetto [20] o crei l’infezione da solo (ad esempio, tramite malware allegato a un’e-mail di phishing o tramite i servizi Pay-per-Install [10]).

A causa della specificità dell’attacco, è probabile che sia necessario malware personalizzato per raccogliere e aggiornare i profili. Poiché l’aggressore ha praticamente già il pieno controllo del sistema utente, può raccogliere i profili utente relativi a qualsiasi piattaforma a cui la vittima accede. Tuttavia, a causa della posizione dell’aggressore, la maggior parte dell’impatto (ad esempio, l’accesso alla posta elettronica o il dirottamento della sessione Web) può essere ottenuto tramite malware senza la necessità di raccogliere i profili utente per poi replicarli in una fase successiva.

Figura 1: diagramma delle operazioni di rappresentazione come servizio.

I ricercatori trovano un mercato nero enorme e sofisticato per il commercio di "impronte digitali" online
Possedendo solo le credenziali della vittima, l’attaccante non può aggirare l’MFA poiché il sistema di autenticazione basata sul rischio (RBA) rileverà un’anomalia nel profilo dell’utente che esegue l’autenticazione. Affidandosi a Impersonation-as-a-Service (IMPaaS), l’autore dell’attacco può impersonare in modo affidabile quel profilo fornendo i valori che il sistema RBA si aspetta per quell’utente. IMPaaS ottiene i profili utente da una botnet (grande) e li fornisce in bundle come profili utente. Un utente malintenzionato acquista i profili di un utente sulla piattaforma IMPaaS insieme a un’estensione del browser che, fornito il profilo della vittima come input, lo riproduce quando accede a un servizio.

Tabella 1: Panoramica delle funzionalità di attacco di rappresentazione.

IL MODELLO DELL’IMPERSONAZIONE COME SERVIZIO

In questo documento descriviamo le prove di un nuovo modello di attacco emergente, vale a dire Impersonation-as-a-Service (in breve IMPaaS), e l’infrastruttura criminale che lo supporta.

IMPaaS affronta direttamente i principali limiti delle strategie di attacco di imitazione “tradizionali” evidenziate sopra spostando l’acquisizione e l’applicazione dei profili delle vittime da un processo ad-hoc a uno sistematico. Una panoramica del confronto tra IMPaaS e gli attuali vettori per gli attacchi di imitazione è riassunta nella Tabella 1. La Figura 1 fornisce una panoramica del processo di attacco, dall’acquisizione del profilo, alla selezione e applicazione. 

Gli operatori IMPaaS fanno affidamento su infezioni malware diffuse per acquisire “profili utente” a livello globale e fornire questi profili come “merci” tramite l’economia sommersa attraverso un mercato dedicato. Di conseguenza, gli aggressori possono acquisire un accesso sistematico a un ampio set di profili utente su più piattaforme (social network, e-mail, account aziendali, banche / criptovalute, ecc.), accanto alle credenziali e ai cookie associati; gli aggressori possono selezionare i profili a cui sono maggiormente interessati in base a una serie di funzionalità, tra cui la posizione geografica collegata al profilo, le piattaforme per le quali i dati di rappresentazione rappresentazione di utenti Internet in generale su più piattaforme.

Acquisizione del profilo. L’infrastruttura IMPaaS è alimentata da una botnet il cui obiettivo è, piuttosto che raccogliere unicamente informazioni sulla carta di credito o credenziali bancarie, fornire le informazioni necessarie per replicare i profili utente delle vittime infette attraverso le piattaforme online su cui sono attivo. 

La distribuzione del malware è indipendente dal modello IMPaaS: può essere fornita tramite campagne di phishing, attacchi mirati, infrastrutture pay-per-install [10] o exploitation-as-a-service [20]. 

Attraverso il vettore di attacco scelto, l’aggressore installa sul sistema della vittima un malware personalizzato progettato per raccogliere le credenziali dell’utente e i cookie dai browser della vittima; il malware personalizzato raccoglie inoltre un ampio set di informazioni tecniche e comportamentali (utente) che possono essere replicate, tramite l’infrastruttura stessa, per emulare completamente l’utente; questi includono le impronte digitali del browser della vittima e altri metadati comportamentali che identificano in modo univoco l’utente, come l’attività di rete, la cronologia del browser, i dati dei cookie e le interazioni con l’interfaccia utente della piattaforma. 

Poiché i profili vengono recuperati mediante un’infezione malware persistente, l’infrastruttura può fornire aggiornamenti dei dati del profilo e delle credenziali per ciascun utente interessato. I profili raccolti e i rispettivi aggiornamenti vengono quindi inviati ai server IMPaaS. 

l’infrastruttura può fornire aggiornamenti dei dati del profilo e delle credenziali per ogni utente interessato. I profili raccolti e i rispettivi aggiornamenti vengono quindi inviati ai server IMPaaS. l’infrastruttura può fornire aggiornamenti dei dati del profilo e delle credenziali per ogni utente interessato. 

I profili raccolti e i rispettivi aggiornamenti vengono quindi inviati ai server IMPaaS.

Selezione del profilo. 

Un operatore IMPaaS fornisce i profili utente raccolti agli aggressori interessati tramite un mercato dedicato. Il marketplace fornisce una panoramica delle caratteristiche dei profili raccolti disponibili per l’acquisto, in modo tale che l’attaccante possa selezionare quali profili si adattano meglio al proprio obiettivo cercando i profili delle vittime che mostrano caratteristiche specifiche, come una certa posizione geografica, servizi web per i quali sono disponibili credenziali rubate, presenza di cookie, ecc.

Anche se meno mirata di quanto consentito da uno scenario di attacco di spear-phishing, la procedura di selezione consente un elevato grado di precisione sulle caratteristiche e / o l’ambiente dell’utente. Ad esempio, sfogliando le credenziali disponibili è possibile identificare gli utenti che operano in un ambiente specifico (es. Una specifica azienda, università o altre organizzazioni), o con profili su piattaforme di interesse per l’aggressore. 

Una volta che un aggressore ha identificato le proprie vittime, l’attaccante può procedere all’acquisto dei profili selezionati. Ciò può essere ottenuto attraverso i consueti metodi di pagamento adottati nei mercati del crimine informatico, come i pagamenti in criptovaluta al mercato, e / o inoltrando il pagamento tramite un servizio di deposito a garanzia di terze parti. 

È importante sottolineare che, poiché ogni profilo può essere acquistato individualmente, la piattaforma IMPaaS è in grado di rimuovere i profili acquistati dagli elenchi del mercato, rassicurando così potenzialmente il cliente che sono l’unico (accanto agli operatori della piattaforma) con accesso a quel profilo.

Applicazione del profilo. La piattaforma IMPaaS fornisce ai propri clienti un pacchetto software personalizzato che include un browser personalizzato (basato su progetti open-source) e un’estensione del browser che consente agli aggressori di recuperare e “applicare” i profili utente acquistati durante la sessione di navigazione dell’aggressore su tale piattaforma. 

In base ai profili selezionati e acquistati dall’aggressore, il software fornito dalla piattaforma IMPaaS ricrea un ambiente di navigazione che replica l’ambiente della vittima istanziando copie esatte dei cookie rubati e delle credenziali dell’utente e falsificando altre informazioni sulle vittime. sistemi (ad es. font / plug-in installati, agente del browser,…).

 Inoltre, il sistema di imposizione dei profili fornisce cookie che incorporano metadati comportamentali derivati ​​dalla vittima [12] senza richiedere un’azione esplicita da parte dell’aggressore,

CARATTERIZZARE LE IMPAAS NEL SELVAGGIO

In questa sezione, descriviamo le operazioni di una piattaforma IMPaaS emergente, solo su invito, ImpaaS.ru 1. La piattaforma è operativa dalla fine del 2016 ed è cresciuta notevolmente, in termini di profili utente disponibili, nel 2019. Al momento della stesura di questo documento, ImpaaS.ru fornisce circa 260.000 (e in crescita) profili utente disponibili per attacchi di imitazione contro utenti Internet in tutto il mondo. 

ImpaaS.ru è una piattaforma IMPaaS russa raggiungibile dal web di superficie. Questa piattaforma è, al meglio delle nostre conoscenze, il primo, grande operatore IMPaaS che opera nel sottosuolo.

Su ImpaaS.ru, un profilo utente contiene informazioni provenienti da sistemi utente infettati da un malware personalizzato che ruba credenziali che agisce come un man-in-the-browser.

Il malware personalizzato consente l’esfiltrazione di cookie, credenziali e lo sniffing delle sequenze di tasti, insieme a ulteriori informazioni sull’ambiente e sul dispositivo che caratterizzano in modo univoco l’utente. 

La piattaforma IMPaaS afferma che i profili utente vengono aggiornati e inviati al sistema dell’aggressore in tempo reale e che i profili utente venduti vengono rimossi dagli elenchi dei profili disponibili per l’acquisto, sebbene ciò sia difficile da verificare empiricamente ed eticamente.2

Ai clienti che navigano viene fornita una panoramica delle caratteristiche del profilo; è possibile ricercare profili con caratteristiche specifiche attraverso l’interfaccia marketplace. Dalla piattaforma è possibile accedere alla lista dei profili acquistati e scaricare la relativa impronta digitale.

Inoltre, ImpaaS.ru fornisce ai propri clienti un plug-in per browser basato su Chrome personalizzato e una versione predefinita di Chromium per macOS, Linux e Windows. È possibile accedere a questo pacchetto solo dopo aver acquistato almeno un profilo utente sulla piattaforma.

Il plug-in è dotato della capacità di caricare le impronte precedentemente ottenute dai profili acquisiti e può incanalare il traffico attraverso un proxy SOCKS5 specificato dall’attaccante per falsificare la geolocalizzazione di una vittima.

Personalizzazione del malware. L’ultimo malware personalizzato noto utilizzato da ImpaaS.ru è basato sul malware AZORult [6, 13, 19]. ImpaaS.ru segnala un recente aggiornamento (novembre 2019) in AZORult che affronta le modifiche introdotte nel browser Chrome che sembrano aver influenzato la funzionalità del malware.

La conferma di massicce campagne di phishing in quel periodo associate ad AZORult proviene indipendentemente da Kaspersky e da altri ricercatori [6, 19, 30]. Si noti che, all’inizio del 2020, AZORult è stato abbandonato da ImpaaS.ru a favore di un nuovo (e, al momento della stesura, ancora senza nome), malware personalizzato. 

A causa della natura mutevole del malware adottato, qui forniamo solo una panoramica di alto livello delle operazioni di AZORult dagli esempi disponibili (al momento della raccolta dei dati) nei repository sotterranei e di malware.

Per la nostra analisi abbiamo replicato le ultime tre versioni di AZORult (al momento della stesura di 3.3, 3.4.1 e 3.4.2) in un ambiente virtuale, con l’obiettivo di valutarne le funzionalità generali e la loro rilevanza per ImpaaS.ru. La personalizzazione del malware avviene attraverso due moduli, ovvero il builder e il server C2.

Il builder ha lo scopo di generare la build personalizzata di AZORult incluso l’URL del server C2. Il modulo server C2 è un servizio web pronto per l’implementazione che fornisce una panoramica dei dati raccolti e una pagina per impostare le funzionalità del malware; queste funzionalità sono definite dall’utente e includono la raccolta della cronologia del browser, le password salvate, i file dei client di criptovaluta, la cronologia di Skype, un file grabber personalizzabile basato su regexp mirato alle cartelle definite dall’utente sull’host infetto e una configurazione aggiuntiva per la distribuzione di una seconda fase di infezione sul sistema della vittima: poiché AZORult si rimuove dal sistema dopo l’esecuzione, il meccanismo di seconda fase può consentire agli operatori di ImpaaS.ru di ottenere la persistenza sul sistema infetto e perfezionare ulteriormente la raccolta dei dati (ad es. dati comportamentali nel tempo,

Infiltrazione della piattaforma

L’accesso a ImpaaS.ru è solo su invito ed è necessario un account valido per accedere agli elenchi dei profili utente disponibili. L’accesso alla procedura di registrazione avviene tramite codici di invito a disposizione degli iscritti già attivi sulla piattaforma, a condizione che abbiano speso almeno 20 USD in profili utente acquistati.

Per ottenere l’accesso a ImpaaS.ru abbiamo sondato diversi forum sotterranei in cui abbiamo un punto d’appoggio preesistente e abbiamo identificato gli utenti che affermano di essere coinvolti con ImpaaS.ru. Poiché recenti prove suggeriscono che gli operatori di piattaforme sotterranee stanno attivamente monitorando e inserendo nella lista nera gli account “non autorizzati” (ad esempio, eseguendo attività di scraping) [11], abbiamo mirato alla raccolta di diversi account validi prima della raccolta dei dati per distribuire l’attività e avere “backup” identità da utilizzare se alcuni dei nostri account dovessero essere inseriti nella lista nera.

La nostra ricerca ci ha portato a sei membri a Torum e un membro a Crdclub (che affermava di essere uno degli operatori di ImpaaS.ru) che offrivano codici di invito gratuiti tra dicembre 2019 e marzo 2020.

Li abbiamo contattati tramite la funzione di messaggistica privata dei forum e sulla bacheca dei messaggi e abbiamo ottenuto codici di invito validi da tre di loro a Torum.

Da Crdclub abbiamo ottenuto l’accesso ad altri otto codici di invito validi utilizzando identità separate (e attive) sul forum, per un totale di undici account ImpaaS.ru in totale.

Profili utente su ImpaaS.ru

ImpaaS.ru offre una panoramica dei profili disponibili, evidenziando le informazioni raggruppate in quel profilo utente. Una vista dell’interfaccia a cui hanno accesso gli aggressori è fornita nella Figura 11 e nella Figura 10 nell’Appendice. Vale la pena notare che, mentre gli elenchi di ImpaaS.ru non forniscono prontamente informazioni di identificazione sull’utente, le informazioni disponibili su un elenco sono sufficientemente dettagliate da identificare gli utenti che operano in ambienti di destinazione specifici come un’organizzazione specifica (ad esempio, per eseguire attacchi laterali [25]).

ImpaaS.ru distingue tra le seguenti informazioni nel profilo di un utente: cookie, risorse e impronte digitali.
Biscotti. Questi sono i cookie catturati dal malware personalizzato e disponibili per l’iniezione verso le rispettive piattaforme una volta che il profilo utente è stato acquistato e applicato dall’aggressore.

Risorse. Le risorse sono raccolte di dati derivate dall’attività di registrazione delle chiavi e dall’analisi delle risorse locali del browser, come il database delle password memorizzate e la cronologia del browser. Alcune risorse ben note (ad esempio, relative a piattaforme di social media, home banking, ecc.) Sono evidenziate come risorse note dalla piattaforma, suggerendo che il tipo di risorse estratte è un’informazione importante da considerare per l’attaccante.

Una risorsa può includere più credenziali di accesso per la segnalazione dei dati, risposte a domande di sicurezza, informazioni dettagliate sul saldo per conti bancari, numeri di carte di credito / debito e dettagli del titolare. ImpaaS.ru afferma che il malware estrae Risorse dai sistemi infetti attraverso tre moduli principali: FormParser legge il contenuto dei dati del modulo immessi dall’utente; SavedLogins raccoglie le credenziali salvate nel database locale del browser; InjectScript implementa l’iniezione di codice nel browser della vittima per conto dell’aggressore, ma il suo funzionamento non è chiaro e la maggior parte dei profili elencati non sembra fare affidamento su di esso.

Impronte digitali

Le impronte digitali forniscono una raccolta delle funzionalità esposte da un browser durante l’interazione con i sistemi RBA, che vanno dai metadati tecnici (user-agent, versione del browser) a funzionalità più finemente granulari (geolocalizzazione, latenza, lingua del sistema, caratteri installati, autorizzazioni di accesso al dispositivo del sito Web , ecc.) 3. A seconda della specifica implementazione RBA, un servizio può sondare uno specifico sottoinsieme delle funzionalità che caratterizzano un browser o un sistema.

A differenza delle risorse (che sono legate a un servizio specifico, ad esempio una combinazione di nome utente / password su Amazon), le funzionalità raccolte in un’impronta digitale ImpaaS.ru non sono limitate a un servizio specifico, ma all’ambiente del browser stesso (ad esempio, font di sistema disponibili o plugin installati).

Pertanto, questi costituiscono un insieme di funzionalità che possono essere richieste da qualsiasi servizio, quando disponibile. ImpaaS.ru distingue tra due tipi di impronte digitali:

(1) Impronte digitali reali: vengono raccolte direttamente dal dispositivo della vittima, fornendo un’identità precisa del dispositivo impersonato; anche se raramente disponibili nei bot, sembrano essere ricercati dagli utenti del mercato;
(2) Impronte digitali sintetiche: queste impronte vengono generate sulla base dei dati raccolti dal malware. Tuttavia, non è possibile generare impronte “sintetiche” accurate senza i dati dell’utente (ad esempio, caratteri di sistema, plug-in installati in un browser, ecc.). Per questo motivo, consideriamo la disponibilità di Risorse e di dati del browser in un profilo utente come un’indicazione che il malware è in grado di raccogliere i dati necessari per generare un’impronta sintetica affidabile.

Strategia di raccolta dati

Per raccogliere dati sulle operazioni di ImpaaS.ru, consideriamo innanzitutto una serie di limitazioni strutturali al centro della nostra strategia di campionamento:

  • Lim-1 Per evitare di rivelare la nostra identità agli operatori di ImpaaS.ru, eseguiamo lo scraping dietro TOR. Ciò pone limiti tecnici (oltre a preoccupazioni etiche) per l’utilizzo della larghezza di banda.
  • Lim-2 Abbiamo un numero limitato di account per eseguire le nostre misurazioni; il sondaggio aggressivo rischia di esporre i nostri account agli operatori di ImpaaS.ru e portare alla lista nera.
  • Non è possibile accedere in blocco alle informazioni Lim-3 sulle risorse tramite un’API o altre richieste a ImpaaS.ru, ma devono essere richieste in bundle limitati con richieste separate. Questo esplode il numero di richieste necessarie per ottenere informazioni sulle risorse su tutti i profili utente su ImpaaS.ru.

Per affrontare Lim-1 e Lim-2, utilizziamo un crawler ad-hoc. Inizialmente il crawler era impostato per funzionare ≈ 24h / giorno emettendo, in media,
15 richieste al minuto; nonostante il volume di richieste relativamente basso, questa strategia ha portato due dei nostri account a essere inseriti nella lista nera, suggerendo che gli operatori di ImpaaS.ru potrebbero utilizzare soluzioni di monitoraggio della rete per evitare attività di misurazione. In seguito a [11], abbiamo progressivamente ridotto l’attività di scansione a ≈ 6 ore al giorno. Nel processo, sono stati banditi altri tre account, per un totale di cinque account vietati.

È interessante notare che tre dei cinque account bloccati non erano collegati tra loro in alcun modo, 4 suggerendo che gli operatori di mercato hanno mantenuto alti i loro sforzi di rilevamento della scansione durante le nostre attività. Per mitigare questo problema, abbiamo utilizzato diverse strategie per accedere a pagine e risorse specifiche per eseguire la scansione su ImpaaS.ru: come già notato in [11], l’accesso diretto agli URL (anziché tramite la navigazione del sito Web) può generare anomalie nei sistemi di monitoraggio del crawler.

Per questo motivo, abbiamo reso operative tutte le attività di scansione tramite la strumentazione del browser e abbiamo configurato il crawler in modo che imitasse modelli di attività compatibili con quelli di un utente umano (ad es. Timeout tra le richieste proporzionali alla lunghezza della pagina web visitata, pause, …). Con questa configurazione finale, siamo finalmente riusciti a eseguire la scansione silenziosa del mercato evitando il rilevamento e il ban degli account rimanenti in nostro possesso.
Sebbene necessaria, la strategia di cui sopra rende impossibile raccogliere informazioni complete sulle risorse a causa del numero esponenziale di richieste (Lim-3).

Ciò si traduce in due set di dati:

  • Il database completo include informazioni su circa 262’000 profili utente su ImpaaS.ru, comprese date (infezione, aggiornamento), prezzi, numero di browser per cui sono disponibili risorse, numero di impronte digitali raccolte per quel profilo utente e numero di furti biscotti.
  • Il database campionato aggiunge le informazioni sulle risorse a una selezione casuale di circa il 5% (n = 13′512) dei profili utente disponibili sul mercato.5

I dati raccolti sono disponibili per la condivisione con la comunità di ricerca su https://security1.win.tue.nl.

Procedura di analisi

L’analisi dei dati nella Sezione 5 è suddivisa in due sottosezioni: nella Sez. 5.1 forniamo una panoramica dei dati raccolti nel set di dati completo e caratterizziamo le operazioni di ImpaaS.ru osservandone l’evoluzione, le caratteristiche del profilo della vittima, gli aggiornamenti del profilo e i prezzi; in Sez. 5.2 analizziamo la distribuzione e l’effetto delle Risorse sui prezzi, come riportato nel database Sampled. I controlli di integrità standard (ad esempio sui risultati di regressione presentati nel paragrafo 5.2) vengono eseguiti su tutte le analisi. I logaritmi riportati sono logaritmi naturali se non diversamente specificato.


Classificazione manuale delle risorse. Per fattorizzare il tipo di risorse riportate nel database Campionato nell’analisi, forniamo una classificazione di ciascuna risorsa in una delle sei categorie. La tabella 2 elenca le categorie occupate e le loro definizioni corrispondenti. La classificazione è stata eseguita manualmente da uno degli autori su 454 piattaforme uniche per le quali sono riportate le risorse nel set di dati. L’altro autore ha classificato in modo indipendente un campione casuale di 100 piattaforme, raggiungendo un punteggio di accordo dell’89%; dopo la revisione, i conflitti sono stati risolti e la classificazione è stata aggiornata di conseguenza. Ulteriori controlli casuali non hanno rivelato alcuna mancata corrispondenza rimanente.

Considerazioni etiche e limitazioni. Nessuna informazione di identificazione personale è riportata nel nostro set di dati. Gli indirizzi IP delle vittime sono mascherati sulla piattaforma e non sono disponibili informazioni dettagliate sulle vittime senza l’acquisto di un profilo utente. Per ovvie preoccupazioni etiche, non ne abbiamo acquistato. Sebbene ciò limiti la nostra analisi in quanto non abbiamo accesso al pacchetto software fornito da ImpaaS.ru e non possiamo accertare in dettaglio la qualità o gli aspetti operativi del servizio IMPaaS fornito da ImpaaS.ru, siamo nella posizione di fornire un la valutazione completa dei dati è disponibile per l’attaccante durante la ricerca delle vittime.

RIFERIMENTI

  1. Alaca, F., and Van Oorschot, P. C. Device fingerprinting for augmenting web authentication: classification and analysis of methods. In Proceedings of the 32nd Annual Conference on Computer Security Applications (2016), pp. 289–301.
  2. Allodi, L. Economic factors of vulnerability trade and exploitation. In Proceedings of the 2017 ACM SIGSAC Conference on Computer and Communications Security (2017), ACM, pp. 1483–1499.
  3. Anderson, R., and Moore, T. The economics of information security. Science 314 (2006).
  4. Bank, T. W. World development indicators. https://datacatalog.worldbank.org/ dataset/world-development-indicators.
  5. Binsalleeh, H., Ormerod, T., Boukhtouta, A., Sinha, P., Youssef, A., Debbabi, M., and Wang, L. On the analysis of the zeus botnet crimeware toolkit. In Privacy Security and Trust (PST), 2010 Eighth Annual International Conference on (2010), IEEE, pp. 31–38.
  6. Bisson, D. Azorult trojan disguised itself as fake protonvpn installer, Feb 2020.
  7. Bonneau, J., Herley, C., Van Oorschot, P. C., and Stajano, F. The quest to replace passwords: A framework for comparative evaluation of web authenti- cation schemes. In 2012 IEEE Symposium on Security and Privacy (2012), IEEE, pp. 553–567.
  8. Bonneau, J., Herley, C., Van Oorschot, P. C., and Stajano, F. Passwords and the evolution of imperfect authentication. Communications of the ACM 58, 7 (2015), 78–87.
  9. Bursztein, E., Benko, B., Margolis, D., Pietraszek, T., Archer, A., Aqino, A., Pitsillidis, A., and Savage, S. Handcrafted fraud and extortion: Manual account hijacking in the wild. In Proceedings of the 2014 conference on internet measurement conference (2014), pp. 347–358.
  10. Caballero, J., Grier, C., Kreibich, C., and Paxson, V. Measuring pay-per-install: The commoditization of malware distribution. In Usenix security symposium (2011).
  11. Campobasso, M., Burda, P., and Allodi, L. Caronte: crawling adversarial resources over non-trusted, high-profile environments. In 2019 IEEE European Symposium on Security and Privacy Workshops (EuroS&PW) (2019), IEEE, pp. 433– 442.
  12. Chen, Y., Pavlov, D., and Canny, J. F. Large-scale behavioral targeting. In Proceedings of the 15th ACM SIGKDD international conference on Knowledge discovery and data mining (2009), pp. 209–218.
  13. Cylance. Threat spotlight: Analyzing azorult infostealer malware, Jun 2019.
  14. Das, A., Bonneau, J., Caesar, M., Borisov, N., and Wang, X. The tangled web of password reuse. 2014. Cited on (2014), 7.
  15. Dmitrienko, A., Liebchen, C., Rossow, C., and Sadeghi, A.-R. On the (in)security of mobile two-factor authentication. In Financial Cryptography and Data Security (Berlin, Heidelberg, 2014), N. Christin and R. Safavi-Naini, Eds., Springer Berlin Heidelberg, pp. 365–383.
  16. Franklin, J., Paxson, V., Perrig, A., and Savage, S. An inquiry into the nature and causes of the wealth of internet miscreants. In Proc. of CCS’07 (2007), pp. 375– 388.
  17. Freeman, D., Jain, S., Dürmuth, M., Biggio, B., and Giacinto, G. Who are you? a statistical approach to measuring user authenticity. In NDSS (2016), pp. 1–15.
  18. Gao, H., Hu, J., Wilson, C., Li, Z., Chen, Y., and Zhao, B. Y. Detecting and characterizing social spam campaigns. In Proceedings of the 10th ACM SIGCOMM conference on Internet measurement (2010), pp. 35–47.
  19. Gatlan, S. Azorult malware infects victims via fake protonvpn installer, Feb 2020.
  20. Grier, C., Ballard, L., Caballero, J., Chachra, N., Dietrich, C. J., Levchenko, K., Mavrommatis, P., McCoy, D., Nappa, A., Pitsillidis, A., Provos, N., Rafiqe,M. Z., Rajab, M. A., Rossow, C., Thomas, K., Paxson, V., Savage, S., and Voelker,G. M. Manufacturing compromise: the emergence of exploit-as-a-service. In Proc. of CCS’12 (2012), ACM, pp. 821–832.
  21. Havron, S., Freed, D., Chatterjee, R., McCoy, D., Dell, N., and Ristenpart,T. Clinical computer security for victims of intimate partner violence. In 28th USENIX Security Symposium (USENIX Security 19) (Santa Clara, CA, Aug. 2019), USENIX Association, pp. 105–122.
  22. Herley, C. So long, and no thanks for the externalities: the rational rejection of security advice by users. In Proc. of NSPW’09 (2009), NSPW ’09, ACM, pp. 133–144.
  23. Herley, C. Why do nigerian scammers say they are from nigeria? In Proc. Of WEIS’12 (2012).
  24. Ho, G., Cidon, A., Gavish, L., Schweighauser, M., Paxson, V., Savage, S., Voelker, G. M., and Wagner, D. Detecting and characterizing lateral phishing at scale. In 28th USENIX Security Symposium (USENIX Security 19) (Santa Clara, CA, Aug. 2019), USENIX Association, pp. 1273–1290.
  25. Ho, G., Javed, A. S. M., Paxson, V., and Wagner, D. Detecting credential spearphishing attacks in enterprise settings. In Proceedings of the 26rd USENIX Security Symposium (USENIX SecurityâĂŹ17) (2017), pp. 469–485.
  26. Holt, T. J., Smirnova, O., and Hutchings, A. Examining signals of trust in criminal markets online. Journal of Cybersecurity (2016), tyw007.
  27. IOActive. Technical white paper: Reversal and analysis of zeus and spyeye banking trojans, 2012.
  28. Ion, I., Reeder, R., and Consolvo, S. âĂIJ… no one can hack my mindâĂİ: Comparing expert and non-expert security practices. In Eleventh Symposium On Usable Privacy and Security ( SOUPS 2015) (2015), pp. 327–346.
  29. Krebs, B. Krebs on security, Mar 2020.
  30. Labs, K. New azorult campaign abuses popular vpn service to steal cryptocur- rency, Feb 2020.
  31. Milka, G. Anatomy of account takeover. In Enigma 2018 (Enigma 2018) (Santa Clara, CA, Jan. 2018), USENIX Association.
  32. Morris, R., and Thompson, K. Password security: A case history. Communica- tions of the ACM 22, 11 (1979), 594–597.
  33. Mulliner, C., Borgaonkar, R., Stewin, P., and Seifert, J.-P. Sms-based one- time passwords: attacks and defense. In International Conference on Detection of Intrusions and Malware, and Vulnerability Assessment (2013), Springer, pp. 150– 159.
  34. Oest, A., Safei, Y., Doupé, A., Ahn, G.-J., Wardman, B., and Warner, G. Inside a phisher’s mind: Understanding the anti-phishing ecosystem through phishing kit analysis. In 2018 APWG Symposium on Electronic Crime Research (eCrime) (2018), IEEE, pp. 1–12.
  35. Onaolapo, J., Mariconti, E., and Stringhini, G. What happens after you are pwnd: Understanding the use of leaked webmail credentials in the wild. In Proceedings of the 2016 Internet Measurement Conference (2016), pp. 65–79.
  36. Sabillon, R., Cavaller, V., Cano, J., and Serra-Ruiz, J. Cybercriminals, cyber- attacks and cybercrime. In 2016 IEEE International Conference on Cybercrime and Computer Forensic (ICCCF) (2016), IEEE, pp. 1–9.
  37. Stobert, E. The agony of passwords: Can we learn from user coping strategies? In CHI’14 Extended Abstracts on Human Factors in Computing Systems. ACM New York, NY, USA, 2014, pp. 975–980.
  38. Stringhini, G., and Thonnard, O. That ainâĂŹt you: Blocking spearphish- ing through behavioral modelling. In International Conference on Detection of Intrusions and Malware, and Vulnerability Assessment (2015), Springer, pp. 78–97.
  39. Thomas, K., Li, F., Grier, C., and Paxson, V. Consequences of connectivity: Characterizing account hijacking on twitter. In Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security (2014), pp. 489–500
  40. Thomas, K., Li, F., Zand, A., Barrett, J., Ranieri, J., Invernizzi, L., Markov, Y., Comanescu, O., Eranti, V., Moscicki, A., et al. Data breaches, phishing, or malware? understanding the risks of stolen credentials. In Proceedings of the 2017 ACM SIGSAC conference on computer and communications security (2017), pp. 1421–1434.
  41. Wiefling, S., Iacono, L. L., and Dürmuth, M. Is this really you? an empirical study on risk-based authentication applied in the wild. In IFIP International Conference on ICT Systems Security and Privacy Protection (2019), Springer, pp. 134– 148.
  42. Wittes, B., Poplin, C., Jurecic, Q., and Spera, C. Sextortion: Cybersecurity, teenagers, and remote sexual assault. Center for Technology at Brookings (2016).
  43. Yan, Q., Han, J., Li, Y., DENG, H., et al. On limitations of designing usable leakage-resilient password systems: Attacks, principles and usability. In 19th Network and Distributed System Security Symposium (NDSS) (2012).

More information: Michele Campobasso, Luca Allodi. Impersonation-as-a-Service: Characterizing the Emerging Criminal Infrastructure for User Impersonation at Scale. arXiv:2009.04344 [cs.CR] DOI: 10.1145/3372297.3417892arxiv.org/abs/2009.04344

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.