Analysis and detection of deviant and malicious behaviors in social media and beyond

Abstract

The purpose of this thesis is to study several relatively unexplored facets of deviant and malicious online behaviors in the areas of social media and cybercrime. Concretely, this work is organized in two parts. The first one focuses on the adult-content related deviant behaviors flourishing in the domain of Social Live Streaming Services (SLSS). This kind of social platforms allow a new level of social interaction, by enabling their users to share their daily lives through the cameras of their mobile devices. However, as they lack the mechanisms to effectively enforce their community guidelines, they are rife with adult content. This work examines in depth the mechanics of the adult production and consumption phenomenon in two large SLSS platforms in terms of interactions between their users and characterizing attributes of their behavior. Additionally, the largest-to-date dataset of chats and user interactions in the context of adult content live streams is constructed and analyzed to unveil evidence of sexual exploitation and grooming targeting underage users, as well as to disentangle the strategies adopted by malicious users to evade the moderation mechanisms of such platforms. Furthermore, this thesis sheds light on the semi-illicit adult content market layered on the top of popular social media platforms, its offerings, and the demographics of adult content producers. The second part concentrates on the world of cybercrime. Specifically, this dissertation studies the modus operandi of cybercrime vendors who use anonymous marketplace platforms on the Surface Web to sell illicit products and services such as leaked credentials, breached accounts and malware, while hiding in plain sight. Particularly for the case of malware, this work delves into the problem of detecting algorithmically generated domains, an approach employed by modern malware and botnets to enhance and scale their persistence and orchestration capabilities over millions of infected devices. To this end, this work presents the largest-to-date dataset of such domains, and proposes a novel set of features useful for the resilient and robust detection of a wide set of domain generation algorithms through machine learning approaches. Finally, this thesis explores the novel threats of the emerging field of blockchain-based DNS alternatives, focusing on the Namecoin and Emercoin ecosystems which are found to be abused for malicious purposes.

Σκοπός αυτής της διατριβής είναι να αναδείξει και να κατανοήσει διάφορες πτυχές κακόβουλων συμπεριφορών τόσο στον κόσμο των μέσων κοινωνικής δικτύωσης όσο και στον κόσμο του κυβερνοεγκλήματος. Συγκεκριμένα, η παρούσα μελέτη απαρτίζεται από δύο μέρη. Το πρώτο μέρος εστιάζεται στην μελέτη αποκλινουσών συμπεριφορών συνυφασμένων με την παραγωγή και κατανάλωση πορνογραφικού υλικού σε κοινωνικά δίκτυα ζωντανής µετάδοσης εικονοροών (Social Live Streaming Services - SLSS). Τα εν λόγω δίκτυα επιτρέπουν στους χρήστες να μοιράζονται την καθημερινότητά τους μέσω της κάμερας των κινητών συσκευών τους. Το επίπεδο διεπαφής που προσφέρουν τέτοιες πλατφόρμες, σε συνδυασμό με την αδυναμία επαλήθευσης της ηλικίας των χρηστών τους καθώς και την έλλειψη αποτελεσματικών μέσων επιβολής των κανόνων ασφαλούς χρήσης τους, δίνει σε κακόβουλους χρήστες τη δυνατότητα να προσεγγίζουν ευάλωτα άτομα (π.χ. ανηλίκους) με απώτερο σκοπό την αποπλάνηση και τη σεξουαλική εκμετάλλευσή τους. Στα πλαίσια αυτής της διατριβής έγινε εκτενής μελέτη συναφών συμπεριφορών σε δύο κοινωνικά δίκτυα αυτής της κατηγορίας, από τα οποία συλλέχθηκε μεγάλος όγκος από αλληλεπιδράσεις μεταξύ χρηστών. Τα δεδομένα που προέκυψαν, κατόπιν αναλύθηκαν ώστε να μοντελοποιηθούν τέτοιας φύσης παραβατικές συμπεριφορές και να “αποκρυπτογραφηθούν” τα μοτίβα επικοινωνίας κακόβουλων χρηστών που έχουν διαμορφωθεί με τρόπο τέτοιο ώστε να παρακάμπτουν τις δικλείδες ασφαλείας που εφαρμόζονται από αυτές τις πλατφόρμες. Επίσης, η μελέτη επεκτείνεται και στην ανάλυση της παράνομης εμπορευματοποίησης και διάχυσης πορνογραφικού υλικού σε δημοφιλή μέσα κοινωνικής δικτύωσης. Το δεύτερο σκέλος της διατριβής επικεντρώνεται στον κόσμο της σύγχρονης ηλεκτρονικής εγκληματικότητας. Συγκεκριμένα, τα προϊόντα και οι επί πληρωμή υπηρεσίες που προσφέρουν κυβερνοεγκληματίες στον ιστό επιφανείας (Surface Web), εκμεταλλευόμενοι την αποκεντροποιημένη και ανώνυμη φύση που χαρακτηρίζει εμπορικές πλατφόρμες όπως το Shoppy. Τέτοια παράνομα “προϊόντα” περιλαμβάνουν κλεμμένα διαπιστευτήρια για ψηφιακές υπηρεσίες, κακόβουλο λογισμικό κ.α. Εστιάζοντας στο κακόβουλο λογισμικό, η παρούσα διατριβή επιχειρεί να συμβάλλει στην αντιμετώπιση της εξάπλωσής του, μέσω της συλλογής και ανάλυσης ενός εκτενους συνόλου διευθυνσεων που έχουν δημιουργηθεί από αλγορίθμους δημιουργίας διευθύνσεων (Domain Generation Algorithms) και χρησιμοποιούνται για την ενορχήστρωση επιθέσεων και τον απομακρυσμένο έλεγχο προσβεβλημένων συστημάτων. Επίσης, παρουσιάζει και αξιολογεί ένα νέο σύνολο χαρακτηριστικών για την αποτελεσματική ανίχνευση τους με μεθόδους μηχανικής μάθησης. Τέλος, η διατριβή σκιαγραφεί τους κινδύνους που ελλοχεύουν στον αναδυόμενο κόσμο των συστημάτων διευθυνσιοδότησης που στηρίζονται στην τεχνολογία blockchain (Blockchain DNS), αναλύοντας τα οικοσυστήματα Namecoin και Emercoin που ως επί το πλείστον γίνονται αντικείμενο κατάχρησης από κυβερνοεγκληματίες για κακόβουλους σκοπούς.