Belemmeringen voor Worm Spread


  Share  
|

Nu we de typische elementen op de bouw van een worm hebben gezien, laten we nadenken over de grootste hinderpalen voor wormen gezicht als ze te verspreiden en de strategieën die gebruikt worden om deze obstakels te omzeilen. Hoewel het misschien op het eerste lijkt een slechte oefening om zulke dingen te overwegen, humor mij voor een minuut of twee. Door het begrijpen van de problemen die bij de verspreiding van wormen geconfronteerd, zouden we in staat zijn om een beter idee te krijgen hoe wormen kunnen evolueren in de toekomst en, nog belangrijker, hoe we kunnen verdedigen tegen een aantal van deze nieuwe trends.

Diversiteit van Target Milieu

Een van de grootste belemmeringen voor vraatzuchtige verspreiden een worm is haar afhankelijkheid van de omgeving van de slachtoffer machine. Hoewel we graag denken dat wormen worden vertraagd door onze verdediging, meestal, het is de diversiteit van onze computersystemen die wormen belemmert. Ieder van de componenten van de worm kan zich op specifieke programma's, bibliotheken, of configuratie-instellingen aanwezig te zijn op het slachtoffer systeem. Indien deze stukken die de worm moet lopen niet zijn opgenomen op het doel, de worm gewoon niet werken. Stel bijvoorbeeld dat een worm maakt gebruik van HTTP doorgeven aan de doelmachine. Het zal waarschijnlijk rekenen op een browser geïnstalleerd op het systeem, zoals Internet Explorer, Netscape Navigator, of zelfs de tekst-gebaseerde browser Lynx. Als de browser niet aanwezig is, zal de vooruitgang van de worm worden gearresteerd als het bot over, niet in staat te verspreiden naar de volgende reeks van de slachtoffers. Evenzo is een worm die zich verspreidt via TFTP meestal niet kan bewegen als een TFTP-client ontbreekt op een doelsysteem.

Om te voorkomen dat deze problemen kunnen wormen maken gebruik van drie verschillende strategieën. In de eerste plaats een aantal wormen pak die elementen die zij nodig hebben in de doelomgeving binnen de worm zelf. De worm werkt als een slak, die op zijn rug alles wat zij nodig heeft om een gezellige thuis te maken op het slachtoffer machine, met inbegrip van specifieke programma's, bibliotheken en configuratie-instellingen.

Alternatief, sommige wormen zijn gebouwd om te worden flexibel genoeg zijn om aan te passen aan meerdere omgevingen. Als de worm zelf vaststelt op een machine zonder enige element nodig om, propageren, zoals een browser, kan de worm in dienst sommige alternatieve regeling te verplaatsen over het netwerk. Als HTTP niet werkt omdat de worm een browser ontbreekt, is het gewoon kunnen proberen FTP of TFTP.

Een derde optie niet vaak gezien in het wild is voor de worm zijn omgeving te analyseren en vervolgens te verwerven in real-time de stukken en delen van het internet dat deze moet draaien. Als mijn worm opduikt op uw browserless systeem, kan mijn worm alleen verbinding te maken met haar favoriete browser distributie-website en installeert zijn eigen browser.

Het nadeel, vanuit het perspectief van de worm, van elk van deze oplossingen is dat ze de worm groter en complexer. Als het te voeren rond een bos van de code om haar doel te transformeren of veel van de verschillende alternatieven voor het verspreiden, de worm wordt groter bevatten. Grote wormen die verandering van hun omgeving zijn ook gemakkelijker worden opgespoord. Stel dat een Humongous inbreker breekt in uw huis en begint luidruchtig meubels te herschikken zodat hij zijn muffe oude lounge stoel kan brengen in het midden van je woonkamer. U zult nog veel meer waarschijnlijk tot zijn daden aankondiging als hij trounces rond uw woonkamer dan als een kleine muis wandelingen in en stelt het verblijf, stelen af en toe een stukje kaas. Daarnaast zijn deze grotere milieu-uitvoering en systeem-transformatie wormen complexer, en daarom hebben meer kans op storing op een doelsysteem.

Crashing Slachtoffers Grenzen Spread

Een andere beperking van de worm verspreid wordt geassocieerd met de gevolgen van de worm op het slachtoffer machine. Stel dat een laadvermogen hetzij met opzet of per ongeluk zorgt ervoor dat de beoogde systeem laten crashen. Met het slachtoffer systeem dood, de worm gewoon niet kan gebruiken om de infectie zich uitbreiden naar andere systemen. In biologische termen, bacteriën en virussen die infecteren een slachtoffer en snel te doden meestal zeer beperkt effect op de totale bevolking. Beschouw de verkoudheid. U krijgt de sniffles en een vervelende hoofdpijn, maar zijn nog steeds in staat om uit te gaan en over, werken en spelen. Toch, terwijl er aan de hand met je leven, kun je onbewust besmetten een heleboel andere mensen met een verkoudheid. Ebola, aan de andere kant, de oorzaken zijn slachtoffers tragisch sterven, meestal voordat ze anderen kunnen besmetten. Hoewel angstaanjagend, ebola is een veel minder succesvol pathogenen in termen van de omvang van de besmetting.

In een soortgelijke manier, de meest succesvolle verspreiding van wormen zijn degenen die niet vernietigen slachtoffer machine onmiddellijk. In plaats daarvan, zoals wormen zitten stiekem op het slachtoffer en beginnen te verspreiden naar andere doelen. Diezelfde wormen zou op een later tijdstip, volledig verknoeien dit slachtoffer, maar dat gebeurt pas na een relatief langere infectie cyclus.

Overexuberant verspreiding kan overbelasten Networks

Crashing slachtoffers is niet de enige manier waarop een worm zou onbedoeld remmen zijn eigen effectiviteit. Als verspreiding van een worm kolossale bedragen van de bandbreedte op de netwerken van het slachtoffer machine gebruikt, kon de worm verstoppen het netwerk met kopieën van zichzelf. Netwerk congestie veroorzaakt door de worm zou kunnen stikken uit eigen verspreiding van de worm. Talk about shooting jezelf in de voet.

We zagen dit inherent zelfgeschapen propagatie wrijving in het wild met de SQL Slammer-worm. Als een overzicht, in januari 2003, SQL Slammer snel verspreiden van enkele anonieme bron in Internet Service Providers (ISP's) in Zuid-Korea. Na zich te vestigen in heel Zuid-Korea, de worm gegenereerde zo veel verkeer proberen om elders te verspreiden dat de voortplanting ernstig werd belemmerd. -Netwerken in Zuid-Korea waren sloeg, niet in staat om de rest van de wereld toegang. Gelukkig voor de rest van de wereld, echter, als gevolg van dit verbruik van de bandbreedte in Zuid-Korea, SQL Slammer was veel minder schadelijk dan het anders zou zijn geweest. Een veel gemener worm zou hebben gewurgd eigen verbruik van bandbreedte te helpen zorgen voor het succes in de voortplanting.

Ga niet op Yourself!

Een andere beperking in de worm vermeerdering zeer nauw verwant met de problemen die we tot nu toe besproken gaat de worm intensivering op zichzelf. Stel dat de worm verspreidt zich met succes tot een doel machine. De kernkop en worm vermeerdering mechanismen werken perfect voor een compromis van dat slachtoffer. Net als de worm begint te draaien en zijn lading motor, doelgerichtheid WHAM! Een ander segment van de exact dezelfde worm springt in het netwerk en overschrijft de vorige installatie. Aangezien deze nieuw geïnstalleerde exemplaar van de worm wordt bereid haar lading lopen, is het misschien weer geraakt, toen een ander voorbeeld van exact dezelfde worm komt in vanaf het netwerk. Deze wormen zijn zo virulent in hun aanvallen die ze niet kunnen krijgen elke echte werk gebeurt op een doelsysteem. De lading loopt nooit, zoals de worm is zo druk opnieuw besmetten al veroverd doelen. Om te voorkomen dat dit probleem, sommige worm kernkoppen te controleren om te zien of de worm al is geïnstalleerd op een doelsysteem vóór infectie. Op die manier zullen ze niet vernietigen een eerder hetzelfde segment van de worm al op het doel.

Don't Get Stepped op door iemand anders

Een laatste belemmering voor de worm verspreiden betreft de mogelijkheid dat twee wormen gelanceerd door verschillende sets van aanvallers kunnen gebruik maken van dezelfde kernkop naar een ander doel te bereiken. De eerste worm te veroveren het doelsysteem zet winkel en begint te lopen met zijn lading en scanning engine. Daarna een heel andere worm aanvallen van het slachtoffer machine, overschrijven de eerste worm. Terwijl de tweede worm loopt, kan de eerste worm probeert opnieuw om de doelstelling. De belegerde slachtoffer machine is gevangen in een worm graszoden oorlog.

"Zeker, zulke dingen gebeuren niet in het wild, zou je kunnen denken. Nou, in feite doen. De Honeynet Project geconfronteerd zo'n geval eind 2000. Als u nog niet gehoord, de Honeynet Project is een groep van 30 veiligheid geeks, geleid door Lance Spitzner, dat systemen bouwt en zet ze op het internet, zodat ze kunnen krijgen gehackt. Op basis van de opmerkingen van de Honeynet Project van hoe de aanvallers het werk van hun magie, de hele beveiliging gemeenschap kan meer informatie over wat de slechteriken zijn tot. Ik heb een trots lid van de Honeynet Project voor meer dan drie jaar nu, en we hadden allemaal een aantal zeer leuke avonturen. In de white paper getiteld "Know Your Enemy: Worms At War," de Honeynet Project beschrijft hoe verschillende wormen gevochten met een van onze Windows 98 dozen over vier dagen.

Op basis van een aantal verdachte het verkeer hadden we gevonden op het internet, bouwden we een Windows 98-doos, aangesloten op het internet, en deelde het station C: \ om te zien wat er zou gebeuren. Bijna direct een worm nam het systeem via het geopende bestand delen en begon het draaien van een lading die probeerde een encryptie-sleutel te kraken. Binnen een dag, een heel andere worm nam hetzelfde vak, gehandicapten de eerste worm, en stel vervolgens over een andere kraken encryptie sleutel. Niet achter te blijven, nog een andere worm viel kort daarna. Het was heel grappig om deze vervelende beesten ongedaan hard elkaars werk zien door het verwijderen van de lading van de vorige worm en wissen van een van haar vooruitgang. Een slimmere versie van een van deze wormen zou hebben gehandicapten het delen van bestanden, zodat kernkoppen de andere wormen 'en vermeerdering motoren niet in staat zou zijn geweest om de doel machine toegang. Op deze manier zou elke worm veel meer succesvol zijn geweest als zij de kwetsbaarheid het gebruikt om het systeem te voeren in de eerste plaats hadden vastgesteld.

een artikel afkomstig van Sean Kazen

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions