Создан новый сторож для социальных сетей

Создан новый сторож для социальных сетей

Бесплатное приложение, созданное университетскими исследователями для защиты от спама и вредоносных ссылок в социальных сетях, показало эффективность обнаружения 97%. Случаи ложного срабатывания составили 0,005%. Программный продукт MyPageKeeper, разработанный в стенах Калифорнийского университета в Риверсайде, явился ответом академиков на рост интернет-угроз на социальных веб-сервисах.

Приложение непрерывно сканирует стены и новостные рассылки подлписчиков сервиса, отыскивает записи с признаками криминального или паразитического поведения и предупреждает о них владельцев профилей. Мусор, создаваемый спамерами, фишерами и распространителями зловредов в социальных сетях, исследователи называют собирательно – “socware”, от “social malware”.

Отслеживая определенные признаки, MyPageKeeper учитывает специфику “социального контекста”: характерные слова, число отметок “Like” и комментариев к записи. Например, присутствие такого слова, как “free” (“бесплатный”), “hurry” (“спешите”), “deal” (“выгодное предложение”) или “shoked” (“шокирован”), указывает на то, что использующая его запись – скорее всего, спам. По наблюдениям исследователей, малое количество положительных отзывов (“Like”) и комментариев также свидетельствует в пользу socware. URL, содержащиеся в сообщениях участников социальной сети, MyPageKeeper проверяет по черному списку доменов, уличенных в зловредной или спамерской деятельности, пишет securelist.com.

В прошлом году новинка была опробована на Facebook, где проработала в тестовом режиме 4 месяца. За это время MyPageKeeper проанализировал свыше 40 млн. записей, сделанных 12 тыс. пользователей. Как оказалось, 49% из них имели шанс стать жертвой socware, если бы не предупреждение сторожевого приложения. Исследователи также обнаружили, что на идентификацию socware у MyPageKeeper уходит лишь 0,0046 с – против 1,9 с для обычных поисковых роботов.

Тестирование новой защиты позволило сделать еще ряд полезных выводов.

  1. Потоки socware вбрасываются на Facebook ежедневно и в больших количествах, с заметными пиками во время масштабных скам-кампаний.
  2. Некоторые ключевые слова, по которым работает MyPageKeeper, более характерны для socware, чем для почтового спама. Например, сокращение “omg” (“oh my god!”, “о боже!”) встречается на Facebook в 322 раза чаще, а слово “bank” – в 56 раз реже. Присутствие в записи 6 из 100 ключевых слов, которыми оперирует MyPageKeeper, позволяет ему с уверенностью классифицировать ее как socware.
  3. К удивлению исследователей, лишь 54% ссылок, присутствующих в socware, оказались сокращены с помощью Bit.ly, TinyUrl.com и подобных им сервисов. Многие URL выглядели явно подозрительно, включая такие имена, как iphonefree5 и nfljerseyfree, однако пользователи все равно пытались их активировать.
  4. 20% страниц, указанных ссылками в socware, размещены в пределах сети Facebook.

Работа университетских исследователей была представлена на августовском симпозиуме USENIX по безопасности компьютерных систем и сетей (USENIX Security '12). MyPageKeeper уже вызвал коммерческий интерес, однако разработчики не планируют останавливаться на достигнутом и хотят усовершенствовать свое детище, добавив функцию автоматического удаления зловредных сообщений.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Golden dMSA: доступ к защищенным ресурсам AD через взлом контроллера домена

Специалисты Semperis обнаружили серьезный изъян проекта Managed Service Accounts (dMSA), который существенно упрощает взлом паролей к управляемым аккаунтам и позволяет получить постоянный доступ во всем их ресурсам в доменах Active Directory.

Функциональность dMSA была введена в Windows Server 2025 для зашиты от атак на протокол Kerberos. Разработанный экспертами способ внедрения бэкдора в обход аутентификации несложен в исполнении, однако для успешной атаки придется заполучить корневой ключ службы KDS.

Из-за этого создатели Golden dMSA оценили степень угрозы как умеренную: заветный ключ доступен только из-под учетной записи с высочайшими привилегиями — администратора корневого домена, админа предприятия либо SYSTEM.

С помощью этого мастер-ключа можно получить текущий пароль dMSA или gMSA (групповой управляемый аккаунт пользователя AD) без повторного обращения к контроллеру домена. Как оказалось, для регулярно и автоматически заменяемых паролей предусмотрено лишь 1024 комбинации, и они поддаются брутфорсу.

 

Таким образом, компрометация одного контроллера домена в рамках Golden dMSA может обернуться масштабным взломом управляемых аккаунтов AD-службы. Автор атаки также получает возможность горизонтально перемещаться между доменами целевой организации.

Примечательно, что представленный Semperis метод позволяет обойти Windows-защиту Credential Guard — механизм, предотвращающий кражу учеток, NTLM-хешей и тикетов Kerberos (идентификаторов TGT).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru