Nektarios Leontiadis (CMU/EPP/CyLab) leontiadis@cmu.edu - - PowerPoint PPT Presentation

nektarios leontiadis cmu epp cylab leontiadis cmu edu
SMART_READER_LITE
LIVE PREVIEW

Nektarios Leontiadis (CMU/EPP/CyLab) leontiadis@cmu.edu - - PowerPoint PPT Presentation

May 15, 2023 374 likes •626 views

Nektarios Leontiadis (CMU/EPP/CyLab) leontiadis@cmu.edu Joint work with Nicolas Christin (CMU) and Tyler Moore (Harvard) Online crime Emergence of complex

slide-1
SLIDE 1

Nektarios ¡Leontiadis ¡(CMU/EPP/CyLab) ¡ ¡leontiadis@cmu.edu ¡ ¡

Joint ¡work ¡with ¡Nicolas ¡Christin ¡(CMU) ¡and ¡Tyler ¡Moore ¡(Harvard) ¡

slide-2
SLIDE 2

 Online ¡crime ¡

  • Emergence ¡of ¡complex ¡supply ¡chains ¡
  • Understanding ¡economics ¡is ¡key ¡to ¡combat ¡it ¡

 Why ¡focus ¡on ¡drugs? ¡

  • What ¡about ¡counterfeit ¡software, ¡fake ¡watches…? ¡
  • Most ¡dangerous ¡form ¡of ¡online ¡crime ¡

▪ Wrong ¡dosage ¡can ¡kill, ¡cf. ¡Ryan ¡Haight ¡

 Method ¡of ¡exposure ¡

  • Revealing ¡interesting ¡insights ¡about ¡the ¡mechanics ¡of ¡

the ¡illicit ¡trade ¡

2 ¡

slide-3
SLIDE 3

Email ¡spamming ¡has ¡been ¡the ¡key ¡tool ¡for ¡a ¡long ¡time ¡ Very ¡low ¡conversion ¡rate* ¡ (about ¡1 ¡purchase ¡every ¡10 ¡ million ¡emails ¡sent) ¡ Unsolicited ¡ ¡ More ¡recently: ¡social ¡network ¡spam ¡(e.g. ¡Twitter) ¡and ¡blog ¡spam ¡ Better ¡conversion ¡rate* ¡ (0.13%) ¡ Posting ¡malicious ¡links ¡via ¡ compromised ¡accounts ¡ Exploiting ¡trust ¡we ¡have ¡to ¡our ¡

  • nline ¡friends ¡

Search ¡engine ¡manipulation ¡ Targeted ¡to ¡users ¡looking ¡for ¡a ¡ product ¡ Probably ¡better ¡conversion ¡ rates ¡

3 ¡

*Ratio ¡of ¡realized ¡sales ¡over ¡the ¡ number ¡of ¡emails/clicks ¡

slide-4
SLIDE 4

4 ¡

slide-5
SLIDE 5

Bob ¡runs ¡a ¡query ¡on ¡Google ¡ (e.g. ¡no ¡prescription ¡cialis) ¡ Results ¡will ¡include ¡infected ¡ websites ¡ Clicking ¡on ¡an ¡infected ¡ result ¡triggers ¡injected ¡ code ¡at ¡the ¡infected ¡ web ¡server ¡ One ¡or ¡more ¡HTTP ¡ 302 ¡redirections ¡occur ¡ Bob ¡lands ¡on ¡an ¡online ¡pharmacy ¡ store ¡

5 ¡

slide-6
SLIDE 6

Exploitation ¡of ¡popular ¡ Web ¡applications’ ¡ vulnerabilities ¡and ¡ hosting ¡platforms ¡

Bluehost ¡ WordPress ¡ … ¡ Code ¡is ¡injected ¡which ¡alters ¡ the ¡behavior ¡of ¡the ¡web ¡ server ¡based ¡on ¡the ¡ parameters ¡of ¡the ¡request: ¡ Generic ¡traffic ¡ Requests ¡from ¡ search ¡engine ¡ crawlers ¡(User-­‑ Agent) ¡ Requests ¡coming ¡ from ¡a ¡search ¡ engine ¡results ¡ page ¡(referrer) ¡

6 ¡

slide-7
SLIDE 7

Online ¡ pharmacies ¡ Redirector(s) ¡ Source ¡ infection(s) ¡ Query ¡ executed ¡

no ¡prescription ¡cialis ¡ cs.umass.edu ¡ stat-­‑center.com ¡ securetabsonline.com ¡ best-­‑online-­‑cialis-­‑ store.com ¡ generictab.com ¡ genericrxpharma.com ¡ sylvan.k12.ca.us ¡ … ¡

7 ¡

302 ! 302 !

slide-8
SLIDE 8

8 ¡

  • 1. Experimental ¡methodology ¡
  • 2. Effect ¡of ¡search-­‑redirection ¡attacks ¡on ¡

search ¡results ¡

  • 3. Delving ¡into ¡the ¡RX ¡network ¡
  • 4. Sketching ¡conversion ¡rates ¡
slide-9
SLIDE 9

Run ¡218 ¡drug ¡related ¡ queries ¡daily. ¡

  • Daily ¡collection ¡from ¡

4/12/2010. ¡

  • Using ¡data ¡until ¡

10/21/2010. ¡

  • Complemented ¡by ¡a ¡

second ¡10-­‑week ¡dataset ¡

  • Collection ¡process ¡is ¡still ¡
  • running. ¡

Collect ¡top ¡64 ¡search ¡ results ¡from ¡Google ¡

  • The ¡limit ¡is ¡defined ¡by ¡

Google ¡Search ¡API ¡

  • Storing ¡all ¡results ¡ ¡for ¡

later ¡processing ¡

  • Will ¡also ¡examine ¡position ¡

information ¡ Identify ¡all ¡results ¡that ¡ perform ¡automated ¡ redirection ¡

  • A ¡search ¡result ¡defines ¡

the ¡website ¡that ¡a ¡user ¡ will ¡be ¡redirected ¡to ¡when ¡ clicking ¡on ¡the ¡link ¡

  • If ¡the ¡browser ¡is ¡

redirected ¡instead ¡to ¡a ¡ different ¡website ¡ (domain), ¡the ¡result ¡is ¡

  • infected. ¡

Follow ¡all ¡infected ¡ results ¡

  • Follow ¡each ¡result ¡

identified ¡as ¡infected ¡ from ¡previous ¡step ¡

  • Follow ¡all ¡redirections ¡

that ¡might ¡occur ¡

  • Record ¡all ¡the ¡redirection ¡

information ¡

9 ¡

slide-10
SLIDE 10

10 ¡

vicodin ¡no ¡prescription ¡ cheap ¡valium ¡non ¡prescription ¡ buy ¡ativan ¡online ¡injecting ¡pills ¡ buy ¡xanax ¡valium ¡online ¡florida ¡

  • rder ¡vicodin ¡si ¡levitra ¡online ¡

buy ¡xanax ¡valium ¡online ¡florida ¡ color ¡of ¡adipex ¡pills ¡safest ¡place ¡to ¡buy ¡online ¡ vicodin ¡without ¡prescription ¡ generic ¡cialis ¡free ¡sample ¡ cheap ¡tadalafil ¡ 20 ¡mg ¡ambien ¡overdose ¡ prozac ¡side ¡effects ¡ ambien ¡buy ¡online ¡ alprazolam ¡online ¡without ¡prescription ¡buy ¡cheap ¡

slide-11
SLIDE 11

11 ¡

URI ¡(number) ! ! URI ¡(%) ! ! Domains ¡(#) ! ! Domains ¡(%) ! ! Source ¡ infections ! 73909 ! 53.8 ! 4652 ! 20.2 ! ¡ ¡ ¡ ¡ ¡ ¡ ¡Active ! 44503 ! 32.4 ! 2907 ! 12.6 ! ¡ ¡ ¡ ¡ ¡ ¡ ¡Inactive ! 29406 ! 21.4 ! 1745 ! 7.6 ! Health ¡ resources ! 1817 ! 1.3 ! 422 ! 1.8 ! Pharmacies ! 4348 ! 3.2 ! 2138 ! 9.3 ! ¡ ¡ ¡ ¡ ¡Legitimate ! 12 ! 0.01 ! 9 ! 0.04 ! ¡ ¡ ¡ ¡ ¡Illicit ! 4336 ! 3.2 ! 2129 ! 9.2 ! Blog/forum ¡ spam ! 41335 ! 30.1 ! 8064 ! 34.9 ! Uncategorized ! 15945 ! 11.6 ! 7766 ! 33.7 ! Total ! ! 137354 ! ! 100 ! ! 23042 ! ! 100 ! !

slide-12
SLIDE 12

12 ¡

33−64 11−32 1−10 10 9 8 7 6 5 4 3 2 1

Classification by position in search results

% results with classification at position y position in search results

search−redirection attack (active) search−redirection attack (inactive) blog/forum spam illicit pharmacies health resources

  • ther

20 40 60 80 100

slide-13
SLIDE 13

200 400 600 800 1000 1200 1400

  • Avg. daily domains in search results

Date # Domains May Jun Jul Aug Sep Oct Nov Dec Jan

infections blog/forum spam illicit pharmacies health resources

13 ¡

Blog ¡spam ¡is ¡ declining ! Search ¡ redirection ¡ attack ¡is ¡rising !

slide-14
SLIDE 14

50 100 150 200 0.2 0.4 0.6 0.8 1.0

Survival function for search results (PageRank) t days source infection remains in search results S(t)

all 95% CI PR>=7 0<PR<7 PR=0 50 100 150 200 0.2 0.4 0.6 0.8 1.0

Survival function for search results (TLD) t days source infection remains in search results S(t)

all 95% CI .COM .ORG .EDU .NET

  • ther

14 ¡

.edu ¡sites ¡particularly ¡attractive, ¡as ¡well ¡as ¡high ¡PageRank ¡sites ¡(often ¡sites ¡fall ¡in ¡ both ¡categories) !

slide-15
SLIDE 15

15 ¡

Connected ¡components ¡in ¡the ¡graph ¡evidence ¡“some” ¡level ¡of ¡business ¡relationships ¡ between ¡the ¡nodes ¡they ¡connect ¡ ¡ Search ¡ result ¡

(hacked.edu) !

Redirector ¡

(attacker.com) !

Other ¡ pharmacy ¡

(cheaprx.com) !

Search ¡ result ¡

(pwned.com) !

Pharmacy ¡

(freerx.com) !

Redirector ¡

(1337.com) !

slide-16
SLIDE 16

16 ¡

 34 ¡connected ¡components ¡  One ¡connected ¡component ¡ ¡

¡ ¡ ¡ ¡ ¡contains ¡ ¡

  • 96% ¡of ¡all ¡infected ¡domains ¡
  • 90% ¡of ¡all ¡redirection ¡domains ¡
  • 92% ¡of ¡all ¡pharmacies ¡

 Is ¡one ¡person ¡responsible ¡for ¡all ¡of ¡this?! ¡

  • Not ¡necessarily, ¡but ¡evidence ¡of ¡partner ¡relationships !
slide-17
SLIDE 17

 Run ¡(spinglass) ¡

clustering ¡algorithm ¡in ¡ big ¡connected ¡ component ¡

 Evidence ¡of ¡separate ¡

  • rganized ¡groups/

campaigns ¡more ¡loosely ¡ connected ¡to ¡each ¡other ¡

 Interesting ¡AS/registrar ¡

  • patterns. ¡
  • 11 ¡ASes ¡host ¡most ¡redirect ¡

servers ¡

  • Some ¡are ¡over-­‑

represented ¡

  • 17 ¡
slide-18
SLIDE 18

Payment ¡processing ¡ visits ¡/ ¡month ¡ Payment ¡processing ¡for ¡ pharmacy ¡business ¡

855k ¡ per ¡ month ¡ 75% ¡ 640k ¡ per ¡ month ¡

Drug ¡query ¡popularity ¡ (Google ¡AdWords) ¡ Search-­‑Redirection ¡ attacks ¡ 58 ¡million ¡ per ¡ month ¡ 38% ¡ 20 ¡million ¡ per ¡ month ¡ *Ratio ¡of ¡realized ¡sales ¡over ¡ the ¡number ¡of ¡visitors ¡

slide-19
SLIDE 19

Other ¡forms ¡of ¡ advertisement ¡ Search-­‑ redirection ¡ advertisement ¡

Social ¡network ¡ spam ¡: ¡0.13% ¡ ¡

(Grier ¡et ¡al ¡2010) ¡

Email ¡spam ¡ ¡ 0.00001% ¡ ¡

(Kanich ¡et ¡al ¡2008) ¡

L

  • w

e r ¡ b

  • u

n d ¡ e s t i m a t e ¡ ¡ . 3 2 % ¡

19 ¡

slide-20
SLIDE 20

Disrupting ¡the ¡ redirection ¡ network ¡

Search ¡ engine ¡ intervention ¡ Remediation ¡ at ¡the ¡sources ¡

20 ¡

slide-21
SLIDE 21
  • 100

200 300 400 500 20 40 60 80 In− vs. out−degree in giant component in−degree

  • ut−degree

21 ¡

Redirectors ¡we ¡may ¡ want ¡to ¡go ¡after !

slide-22
SLIDE 22

Measuring ¡cybercrime ¡

Passive ¡ monitoring ¡of ¡ advertised ¡ commodities ¡

IRC ¡ channels ¡

(Franklin ¡et ¡al ¡ CCS ¡‘07) ¡

Web ¡ forums ¡

(Zhuge ¡et ¡al ¡ WEIS ¡‘08) ¡

Active ¡ participation ¡in ¡

  • nline ¡exchanges ¡

Botnet ¡ infiltration ¡

(Stone-­‑Gross ¡et ¡al ¡ CCS ¡‘09) ¡

Web ¡ server ¡

  • peration ¡

(Wondracek ¡et ¡al ¡ WEIS ¡‘10) ¡

Data ¡mining ¡on ¡publicly ¡available ¡web ¡data ¡

This ¡ study ¡

Spam ¡ and ¡ Phishing ¡

(Moore ¡et ¡al ¡ LEET ¡‘09) ¡

Typo-­‑ squatting ¡

(Moore ¡et ¡al ¡ ¡ FC ¡‘10) ¡

One ¡ click ¡ fraud ¡

(Christin ¡et ¡al ¡ CCS ¡‘10) ¡

Malware ¡ distribution ¡

(Provos ¡et ¡al ¡ USENIX ¡‘08) ¡

22 ¡

slide-23
SLIDE 23

One ¡group ¡of ¡ affiliates ¡is ¡ dominating ¡the ¡ illegal ¡online ¡ trade ¡ Popular ¡websites ¡ and ¡the ¡EDU ¡TLD ¡ are ¡most ¡ favorable ¡to ¡ attackers ¡ Unwelcome ¡ environment ¡for ¡

  • nline ¡legitimate ¡

pharmacies ¡– ¡

  • nly ¡0.04% ¡

legitimate ¡results ¡

Conversion ¡rate ¡ is ¡better ¡than ¡of ¡

  • ther ¡illicit ¡

advertising ¡ techniques ¡

Search-­‑ redirection ¡ attacks ¡is ¡where ¡ the ¡action ¡seems ¡ to ¡be ¡moving ¡

23 ¡

slide-24
SLIDE 24

Thank ¡you! ¡

24 ¡

Nektarios ¡Leontiadis ¡ ¡leontiadis@cmu.edu ¡ ¡ Carnegie ¡Mellon ¡University/EPP/CyLab ¡