В ближайшие Superworms

Share

|

Вредоносные черви быстро развивается, увеличивая свои возможности распространиться и нанести ущерб. Мы недавно видели основные нововведения в червь технологии с новых червей распространяется более злобное и эффективно, чем когда-либо, с оптимизированным боеголовок, ориентации выбора алгоритмов, и распространение механизмов. На протяжении последних нескольких лет, кто-то вызвала новый червь каждые два - шесть месяцев с дополнительной эволюционный поворот к сбить нашу оборону. По курсу мы будем, мы вскоре сталкиваются так называемые superworms которые потенциально могут отключить Интернет или иным образом причинить серьезные разрушения. Хотя последние черви были плохие, я твердо верю, мы окажемся в будущем, что далеко wormier.

Давайте анализировать некоторые последние тенденции в червей, чтобы увидеть, где эти животные являются главами. На основе официальных документов, государственных презентаций на конференциях хакеров и неофициальных один на один дискуссии я с червем разработчиков, мы должны готовиться для червей с рядом деструктивных особенностей, включая многоплатформенных, multiexploit, zero-day ", быстро распространяется, polymorphic, метаморфические, действительно nasty червей. Хотя эти условия может звучать технической mumbo jumbo - Вам сейчас, мы анализируем каждый из этих характеристик подробнее почувствовать, что мы вскоре может быть против. Кроме того, не freak, и беспокоиться о том, что мы оконечности у плохих парней о том, как улучшить свои черви. К сожалению, многие разработчики червь уже знаете обо всех методов, мы будем обсуждать. Различные компоненты код свободно доступны для скачивания, в том числе несколько интересных фрагментов кода освобождены Михал Залевский в 2003. Плохие парни становятся готовы развязать эти вещи; Мы должны понять их, чтобы мы могли быть готовы.

Мультиплатформенный Черви

Большинство червей обычно нападение только один тип операционной системы на червь, требующих администраторам развертывать патчи одного типа системы к осуществлению соответствующих возражений. В ближайшем будущем superworms будет использовать несколько типов операционных систем, включая Windows, Linux, Solaris, BSD, и другие, все завершила в одну боеголовку. В пожилых, одиноких - платформа червей требует применения патча для одного типа операционной системы, то, что администраторы делать на регулярной основе в любом случае.

Защита против зловещих многоплатформенных червей потребуется гораздо больше работы и координации, как мы должны применять патчи всей нашей среды для всех видов операционных систем. Подумайте над этим: вместо просто исправляет все объекты одного типа операционной системы, в вашей среде, вам понадобится патч все ваши системы, независимо от типа операционной системы. При необходимости для дополнительной координации между различными системами, наш ответ будет значительно замедлился, что позволило червь причинить гораздо больше ущерба.

Хотя они не являются основной (пока), мы уже видели небольшое число многоплатформенных червей освобождены от Интернета. В мае 2001 года Sadmind / IIS червь mushroomed через Интернет, ориентация Sun Solaris и Microsoft Windows. Как ее название, этот червь использовал sadmind службы использовать для координации дистанционного управления Solaris машины. Из этих жертвой машин, червь для распространения в Microsoft IIS Web сервер, где он передается далее в другие Solaris машины, продолжая цикл.

Multiexploit Черви

Многие из червей мы уже видели в прошлом один попали чудеса, используя лишь одну уязвимость в системе, а затем распространяется на новые жертвы. Некоторые новые черви проникают систем различными способами, используя дыры в большом количестве сетевых приложений все сворачивается в один червь. Один червь может использовать 5, 20, или даже больше уязвимости, все завернуты в один подлых боеголовку. Что больше эксплуатировать уязвимость, этих червей будет распространяться более успешно и быстро. Даже если система была установил заплатку против некоторых отдельных отверстий года multiexploit червь все равно смогут сделать это за счет эксплуатации еще одна уязвимость. На сегодняшний день наиболее успешных multiexploit червь мы уже видели был Nimda, которые, в зависимости от рассчитывать, как вы, может распространиться на систем десятка по-разному.

Zero - день использовать червей

Еще один аспект предстоящего superworms касается свежести уязвимости они эксплуатируют. В черви мы уже видели в дикой природе на сегодняшний день в основном используются уже известные уязвимости для нападения систем. Хотя эти черви были бушует систем в Интернете, мы уже знали об уязвимости их эксплуатации, и продавцы уже освобождены патчи месяцев. Конечно, поскольку слишком мало людей применять патчи на своевременной основе, червь пока не наносимого ими ущерба. Однако, используя готовые пожилых подвиги, эти черви были оперативно проанализированы и приручили к заботливый безопасности групп. Patches были легко доступны для загрузки через Интернет, чтобы остановить этих червей.

Мы не будем так повезет в будущем. Новые черви, скорее всего перерыв в системах, использующих так называемый "нулевой день" эксплуатирует и называется потому, что они новые, гласности именно по нулевой дней. В червь распространяется с помощью "zero-day" эксплуатировать, не будут еще патчи будут. В информационной безопасности сообщества потребуется больше времени, чтобы понять, как червь распространяется. В первый раз мы увидите использовать код, используемый в этих червей будет, когда они компромисса сотни тысяч или даже миллионы систем, а не cheery мысли.

Быстро - распространения червей

Черви, по самой своей природе, попыток быстро. Одна, например в червячных используется для сканирования новых жертв, что, когда побежденным, сканирование еще больше задач. Черви Поэтому часто распространяются на экспоненциальный основе, с числом систем компьютере с течением времени напоминающее хоккея придерживаться формы. Однако многие черви мы воевал на сегодняшний день довольно неэффективной в ходе их первоначального распространения. Во время первоначального запуска в червь, распространение изначально медленно. В червь постепенно скорость успехи на пути деятельности степенной кривой. Он может занять несколько часов или даже дней для того, червь достичь "колено" в кривой до серьезных число жертв машин побежденных.

В августе 2001 года два документа, описывающих, как новые методы максимальной скорости, на которой распространения червей. Каждый представленный документ математической моделью для развития hyperefficient червь распространения методов. К счастью, не был включен код с документами, хотя написания программного обеспечения на основе этих идей прост даже для умеренно квалифицированный программист. В первом документе, в Николаса C. Weaver, posited один Вархол червь, которые могут победить 99% уязвимых систем в сети Интернет в течение 15 минут. Эти сроки привели к червь именем, основанная на поп исполнителя Энди Вархол в 15 минут славы quip.

В 1968, Энди Вархол известной сказал: "В будущем каждый будет знаменит 15 минут." По иронии судьбы в момент, Вархол вырос устал от его самая знаменитая фраза, получаю все annoyed на ее повторное использование в средствах массовой информации, задумавшись о СМИ собственной способности людей быстро, но временно знаменитый.

Не будет outdone, второй документ, внимательно следили за по Вслед за первым и представил некоторое улучшение основных Вархол червь техники. Это второй документ, в Станифорд, Grim, и Джонкман, posited так называемого Flash червь, которые могут достичь господства в Интернет менее 30 секунд. Хотя в математике может показывать это будет теоретически верно, я считаю, что glitches в Интернет даст расхождение между теорией и действительностью. Моя ставка, что использование Вархол / Flash методов года червь может покорить Интернет примерно через час, давать или принимать 15 минут. Это вряд ли является урегулирования сроки.

Для использования Вархол / Flash метод, злоумышленник prescans Интернет с фиксированной системой ищет машины, которые являются уязвимыми для использования кода, который позднее будет загружаться в червем в боеголовку. Нападавший находит тысячи или десятки тысяч уязвимых систем, без использования их или принимая их. Используя список адресов этих уязвимых машин, разбросанных по всему миру, то злоумышленник preprograms, червь с его первый набор жертв. Ришты затем высвободил этих известных уязвимых систем с высокой пропускной Ближайший к Интернету позвоночника. Вместо случайную выборку адресов для сканирования, молодой, новый червь может сразу же заполняет системы уже prescanned для уязвимости. В этот червь поражает первый набор жертв, а затем разбивается на список остальных тысяч prescanned, уязвимых объектов. Различные сегменты подлинные каждый червь затем нападение свою долю остальных prescanned целей. В ходе первоначального распространения, нет времени теряется при выборе или сканирования новые цели. В атакующего prescanning этапа уже определены эти цели, так что червь может просто победить и рассылается им.

Ведь prescanned цели компьютере, то червь начинает сканирование и распространение среди населения в целом. К первоначально ставя тысячи сочная, prescanned цели, Вархол / Flash червь основном прыжки составляют хоккея кнут экспоненциальный рост, с тем, что лишь сравнительно короткий период времени требуется общее господство достигается.

Polymorphic Черви

Worm писатели не хотят, чтобы их вредоносные творений будет обнаружена, анализируются, и фильтруются, а их распространения. В большинстве сетей, Intrusion Detection систем (IDSs) могут выявить червей и других посягательств и оповещения хороших парней, функционируют подобно компьютеру burglar сигнализации. Сегодня большинство сетевого IDS инструменты базы данных известных нападение подписей. В IDS зонд собирает сетевой трафик и сравнивает его против известного нападения подписей и определить, действительно ли трафик вредоносные. Сегодня IDS инструменты очень легко определить традиционных червей, которые используют общие использовать код с легкодоступными подписей. Кроме того, червь борьбы хороших парней может отразить червей в период их распространения, и вскрывать технологии вредоносной программы для создания более возражений в том числе фильтры.

Чтобы избежать обнаружения, пленку вспять - инженерные анализа, и обойти фильтры, червь разработчики все чаще используют polymorphic кодирования методов в червей. Polymorphic программы динамически изменяется их внешний вид каждый раз, когда они осуществляют путем скремблирования их программного кода. Несмотря на то, что новое программное обеспечение само состоит из совершенно различных инструкции, кодекс до сих пор точно такую же функцию. Что полиморфизм, только вид изменился, не функция код. В червь в ПН будет автоматически morph всего червь в различные мутанты версий, чтобы она больше не соответствует обнаружения подписей, но он пока что точно такую же вещь. Когда черви искать polymorphic, каждый сегмент, червь будет новый код "на лету". Каждый отдельный сегмент, червь будет иной вид на каждого пострадавшего, что гораздо труднее обнаруживать и анализировать. Миллионы уникальный червь сегменты будут разбросаны по всей сети, все с той же функциональности.

Мы видели некоторых детских шагов верно polymorphic червей в условиях дикой природы. В январе 2002 года Klez червь распространения через Microsoft Outlook электронную почту и работающих простых polymorphic методов, изменение электронной почте строке темы, чтобы избежать электронной почты фильтры. В Nimda электронной почте распределения вектора также изменила свою тему. Антиспам фильтры искать кучей сообщений с этой же теме направлены различных пользователей, довольно разумный подписать по электронной почте спам. Правда, лишь небольшая часть Klez и Nimda (темой, и даже тип файла вложения) был polymorphic, но она начала идти по этому пути.

Кроме того, разработчик названием K2 выпустила polymorphic мутации двигателя называется ADMutate. Это мощный инструмент используется для morph буфера подвиги, и может быть включен в червь, как его морфинг двигателя мутировать все код в червем. Кроме того, еще одним инструментом называется Hydan осуществляет очень гибкую polymorphic код. Klez и Nimda продемонстрировал мощь маленькой немного полиморфизма в червь, но несколько нападавших обсуждают принятие этого polymorphic двигателей, включенных в ADMutate и Hydan создать полностью polymorphic червем.

Метаморфических Черви

В дополнение к изменению их внешнего вида, используя полиморфизм, новые черви также изменить свое поведение динамически, претерпевает метаморфозы. Используя этот метод, нападение дополнительные возможности скрыты внутри червем. Polymorphic методов изменения червь код при сохранении той же функциональности; Метаморфические код фактически меняет червь функций. Метаморфических черви, как мало зеленых гусениц голодно распространяется через Интернет. Оглядываясь на гусеничном себя показывает никаких признаков бабочки скрыта внутри. Аналогичным образом, метаморфические черви будут быстро скрываться, а их аппаратура и помутнения с использованием методов шифрования. Лишь после того, червь полностью распространилась на огромное число жертв будет выявить свои скрытые цели. По всей вероятности, он не будет бабочки, что выходит. В червь будет маскировать еще одно нападение инструментом, как, например, backdoor, RootKit, или клавиши журналирования.

Метаморфических черви помогут атакующему, поскольку они труднее вскрывать технологии, и поэтому бороться против. Когда червь публикуется в Интернете, десятки орешек "червь граверы собрать случаи, червь для анализа и противодействия его распространению. Многие из этих ребят работы на антивирусное программное обеспечение компании, что освобождение фильтры и исправлений, червь, а другие только независимые исследователи безопасности. Используя метаморфические методы, в сочетании с полиморфизм, эти черви намного труднее защищать против.

Воистину Насти черви

Если вы откровенно взглянуть на червей мы столкнулись в прошлом, они действительно были весьма благоприятной сравнению с тем, что злоумышленник может делать с неотъемлемое право червь методов. Большинство червь нападения до сих пор были сосредоточены на пропаганде, как широко и быстро, как это возможно, не уничтожая фактически захваченных систем. Фактически, мы уже видели кучу червей с недействительными ПН. Не поймите меня превратно, хотя. Даже сравнительно благоприятной питательной червей мы уже видели причинили значительный ущерб, просто потребления ресурсов. Простая размножения червь легко попались все вашего канала, вычислительных мощностей, и даже сведения компьютер нападение команды. Однако, это может быть намного хуже.

С superworms в ближайшем будущем мы может столкнуться с распространением червей, весьма вредоносные нападение внутри инструмента, червь сам. Некоторые черви будут растянуты отказ в обслуживании агентов, что запуск в Интернете наводнений в отношении потерпевшего. Код Красного сделал просто, что и тенденции указывают метод станут более популярными. Другие черви будет уничтожать файлы и удалять важные данные. Некоторые могут выступать в качестве логики бомб причиной крушения системы по истечении определенного срока или на злоумышленника командования, отключение большого числа машин. Черви также могут похитить данные, с помощью гребенки систем ищет файлы с пометкой "Секрет", или "собственные" по почте обратно в атакующего. Готовьтесь для червей с далеко nastier намерений.