Препятствия для распространения червь

Share

|

Теперь о том, что мы видели типичных компонентов, используемых для создания червей, давайте думать через крупные препятствия, которые сталкиваются черви, как их распространения и стратегий, используемых обойти эти препятствия. Хотя, возможно, на первый взгляд, как зло возможность осуществлять такие вещи, юмор мне на минуту или две. Понимание трудностей, с которыми сталкиваются черви в распространении, мы могли бы лучше почувствовать, как черви могут появиться в будущем и, что более важно, как мы могли защищаться от некоторых из этих новых тенденций.

Разнообразии целевых среды

Один из крупнейших препятствий на червей в voracious распространение опоры на машине жертвы окружающей среды. Хотя мы хотели бы думать, что черви являются замедлился наши возражения, чаще всего, это разнообразие наших компьютерных систем, что препятствует червей. Любой один из компонентов червь может полагаться на конкретные программы, библиотеки, или параметры конфигурации может присутствовать на жертву системы. Если эти кусочки, что червь необходимо запускать не включены в цели, червь даже просто работать не будет. Например, предположим, один червь использует HTTP для пропаганды на целевой машине. Он, вероятно, рассчитывать на браузере установлена в системе, таких как Internet Explorer, Netscape Navigator, или даже текст на основе браузера Lynx. Если браузер не присутствует, то червь прогресс будет арестован как flounders поводу, не распространился на следующий набор жертв. Кроме того, что червь распространяется через TFTP, как правило, не может двигаться, если TFTP клиент отсутствует на целевой системе.

Чтобы избежать подобных трудностей, черви могут использовать три различных стратегий. Во-первых, некоторые черви пакет этих элементов, что они нуждаются в целевых условиях внутри червь сам. Ришты акты, как улитка, осуществляет его обратно все, что может потребоваться сделать уютный дом на машине жертвы, в том числе конкретных программ, библиотек и конфигурационных настроек.

Кроме того, некоторые черви построены должен быть достаточно гибким для адаптации к несколько условий. Если червь находится на одном компьютере без некоторых элементов, необходимых для распространения, как, например, браузер, то червь может использовать некоторые альтернативные схемы двигаться в сети. Если HTTP не работает, поскольку червь не хватает браузера, то просто могут попытаться FTP или TFTP.

Третий вариант не часто видели в дикой природе это за червь для анализа окружающей среды, а затем приобрести в реальном времени деталей и узлов из Интернета, что необходимо запускать. Если я червь появляется на вашем browserless системы, мой червь может только сделать подключение к своей любимого браузера распределения веб-сайте и установить собственный браузер.

Оборотная с червем зрения каждого из этих решений заключается в том, что они делают, червь более и более сложной. Если он должен нести в кучу код для преобразования своей цели, либо содержат много различных альтернатив для распространения, то червь становится больше. Крупные черви, которые изменяют окружающую их среду, более легко обнаружить. Предположим, один humongous burglar выходные в ваш дом и начинает noisily перераспределения мебель так, что он может принести его musty старой гостиной председателя в центре вашей гостиной. Вам будет гораздо больше шансов заметить его действия, как он trounces вокруг вашей гостиной, чем если бы крохотной мыши прогулок и устанавливает жительства, периодически краже куска сыра. Кроме того, эти крупные условий перевозки и системы преобразования черви являются более сложными, и поэтому чаще всего неисправности на целевой системе.

Сбоями жертв пределов распространения

Другое ограничение распространения червь связано с последствиями, червь на машине жертвы. Предположим, в нагрузку либо намеренно или случайно причин целевой системе сбой. Что жертва системы мертвых, червь просто не может его использовать для распространения инфекции для других систем. В биологической точки зрения, бактерии и вирусы, инфицирующие жертвой и быстро убить его, как правило, имеют весьма ограниченное влияние на общее население. Рассмотрим общую холода. Вы получите sniffles и раздражает головная боль, но еще не в состоянии выходить на улицу и около, работая и играя. Однако, хотя происходит в вашей жизни, вы, возможно, невольно заражает множество других людей с холодной. Эбола, с другой стороны, причин своих жертв умирать трагически, как правило, прежде чем они могут инфицировать других. Хотя стресс, Эбола является гораздо менее успешными патоген в плане его темпов распространения инфекции.

В аналогии, наиболее успешно распространения червей те, которые не разрушают жертвой машину немедленно. Напротив, такие черви сидеть втихомолку на жертву и начать распространиться и на другие цели. Эти же черви, возможно, в будущем, полностью ввергает эту жертву, но это происходит только после относительно более инфекционный цикл.

Overexuberant распространения может Конгест сетей

Сбоями жертв не только образом червь может непреднамеренно ограничивать свою собственную эффективность. Если спред червь использует колоссальные объемы трафика на потерпевшего машины сети, червь может засоряют сеть с копии. Сеть заторов, вызванных червем могут узких у червь собственной пропаганды. Поговорите о стреляли себе в стопы.

Мы видели это неотъемлемое самоуправления создан пропагандой трения в условиях дикой природы с SQL Сламмер червем. Как обзор, в январе 2003 года, SQL Сламмер быстро распространился из анонимного источника в Интернет услуг (ПИУ) в Южной Корее. После создания себя во всей Южной Кореи, червь в столь движения пытаются распространения других, что ее распространение сильно затруднено. Сети на всей территории Южной Кореи были slammed, удалось получить доступ к остальной части мира. К счастью для остального мира, хотя из-за этого потребление полосы пропускания в Южной Корее, SQL Сламмер был гораздо менее вредных, чем иным можно было бы. Гораздо nastier червь будет throttled его собственного потребления трафика, чтобы обеспечить ее успех в пропаганду.

Не Шаг на себя!

Другое ограничение распространения червь очень тесно связаны с вопросами, мы обсудили до сих пор связан с червем наступая сам. Предположим, что червь распространяется успешно целевой машине. В боеголовки и распространения червь механизмы работы безупречно компромисса этого потерпевшего. Точно так же, как червь начинает запускать ее и нагрузки двигателя ориентации, WHAM! Другой сегмент точно такой же червь прыжки из сети и переписывает предыдущие установки. Как недавно установлено, что случай, червь запускается готова к запуску своей нагрузки, то может получиться опять попали, когда один пример точно такой же червь приходит из сети. Такие черви столь опасной в их нападений, которые они не могут получить реальную работу на целевой системе. Полезная нагрузка никогда не проходит, как червь настолько занят вновь охватила уже завоевали целей. Чтобы избежать этой проблемы, некоторые червь боеголовок посмотреть, если червь уже установлена на целевой системе перед инфекцией. Таким образом, они не уничтожить ранее сегмент же червь уже о цели.

Не приближайтесь наступил на кем-то другим

Окончательный препятствием для распространения червь предполагает возможность, что два черви запущены разные наборы нападавшие могут использовать тот же боеголовки для достижения иной цели. Первый червь завоевать целевой системе устанавливает магазин и начинает запустил свой нагрузки и сканирования системы. Потом, совершенно другой червь атакует жертву машины, переписав первую червь. Хотя второй червь проходит, первый червь может повторить попытку для достижения цели. В несчастной жертвой машина собирается в червь грязевые войны.

"Конечно, такие вещи не произойти в условиях дикой природы", вы можете быть мышления. Ну, на самом деле они делают. В Honeynet Проект сталкивается только таком случае в конце 2000. Если вы не слышали, Honeynet Проект группы 30 безопасности фанатов, возглавляемая Ланс Спицнер, что строит системы и ставит их в Интернете, чтобы они могли получить взломанный. Исходя из Honeynet Проект замечания о том, как нападавшие творят чудеса, весь сообщества безопасности можете узнать больше о том, что плохие парни составляет. Я гордый член Совета Honeynet проект более трех лет, и мы все очень весело авантюры. В "Белой книге" под названием "Знай своего враг: На войне Черви", в Honeynet Проект описывает несколько червей воевали свыше одного из наших Windows 98 коробок в течение четырех дней.

Основываясь на некоторые подозрительные движения мы обнаружили в Интернете, мы создали Windows 98 окно, она связана с Интернетом, и разделяет C: \ диске, чтобы понять, что может произойти. Почти сразу один червь взял в систему через открытый файл долю и начали запуск полезной нагрузки, которые попытались крэк ключа шифрования. Через день, другой червь захватила же поле, инвалиды первой червь, а затем установить около трещин другого ключа шифрования. Не будет outdone, еще один червь захватили вскоре после этого. Было совершенно карикатурными, чтобы эти nasty звери отменить друг друга напряженную работу путем удаления нагрузки в предыдущем червь и стирает любое ее прогресса. Усовершенствованный вариант любого из этих червей будет отключен совместного использования файлов, с тем чтобы другие черви "боеголовок и распространение двигатели не смогли бы получить доступ к целевой машине. Таким образом, каждый червь был бы гораздо более успешным, если он установил ее уязвимость используется для ввода системы в первую очередь.