El investigador del Instituto IMDEA Software Dr. Juan Caballero, el Dr. Antonio Nappa (antiguo estudiante de doctorado en el Instituto IMDEA Software) y M. Zubair Rafique (antiguo becario de investigación en el Instituto) han recibido el premio al artículo más influyente DIMVA 2009-2013 por su artículo “Driving in the Cloud: An Analysis of Drive-by Download Operations and Abuse Reporting”. El premio reconoce al artículo más influyente publicado en un periodo de 5 años en DIMVA (International Conference on Detection of Intrusions and Malware & Vulnerability Assessment). Los autores recibieron el premio en la cena de gala de DIMVA 2017, que se celebró el 6-7 de Julio del 2017 en Bonn, Alemania.
El artículo premiado fue publicado en DIMVA 2013. El artículo proponía una técnica para identificar servidores de explotación controlados por la misma organización. Los servidores de explotación son servidores Web que intentan explotar vulnerabilidades en el navegador o los plugins del navegador (e.g., los reproductores PDF y Flash) de los visitantes. Si la explotación es exitosa, el servidor de explotación instala uno o varios programas maliciosos (i.e., malware) en el ordenador del visitante. Este proceso recibe el nombre de “drive-by download”. En este ecosistema, muchos servidores de explotación corren el mismo software de explotación y, por tanto, es un reto identificar cuáles de esos servidores son parte de la misma operación. Los resultados del artículo revelaron que aunque los servidores de explotación tienen una vida corta con una mediana de unas pocas horas, los atacantes que los controlan son capaces de mantener operaciones de distribución de malware a largo plazo utilizando la nube, en particular instalando sus servidores de explotación en servicios especializados de alojamiento en la nube.
Como resultado del artículo, los autores hicieron público el conjunto de datos Malicia, el cual contiene 11688 ejecutables malware recolectados de 500 servidores de explotación a lo largo de 11 meses, una base de datos que detalla cuando y de dónde se recolectaron los ejecutables y la clasificación de los ejecutables en familias de malware. El conjunto de datos Malicia permite, entre otras aplicaciones, evaluar soluciones de clusterización y etiquetado de malware. Desde su lanzamiento, el conjunto de datos Malicia ha sido requerido por 73 instituciones de investigación de todo el mundo.