The Coming Superworms


  Share  
|


Kwaadaardige wormen zijn snel evoluerende, het verhogen van hun capaciteiten te verspreiden en schade veroorzaken. We hebben onlangs gezien grote vernieuwingen in worm-technologie, met nieuwere wormen verspreiden meer kwaadwillig en efficiënter dan ooit, met geoptimaliseerde kernkoppen, gericht op selectie-algoritmes, en vermeerdering mechanismen. In de afgelopen jaren, heeft iemand ontketende een nieuwe worm elke twee tot zes maanden met een extra draai aan evolutionaire verwarren onze verdediging. Tegen het tarief we gaan, zullen we binnenkort geconfronteerd met zogenaamde superworms dat zou kunnen uitschakelen internet of anderszins ernstige ravage aanrichten. Hoewel verleden wormen hebben slecht geweest, ben ik ervan overtuigd dat we een toekomst die is veel wormier gezicht.

We kijken even naar enkele recente trends in de wormen te zien waar deze beesten zijn hoofd. Op basis van white papers, openbare presentaties op hacker conferenties, informele en een-op-een gesprekken die ik heb gehad met een worm ontwikkelaars, moeten we klaar te zijn voor wormen met een verscheidenheid van destructieve kenmerken, met inbegrip van multiplatform, multiexploit, zero-day, snel verspreiden, polymorf, metamorfe, echt vervelende wormen. Hoewel deze termen zouden klinken als technische mumbo-jumbo u nu, we analyseren elk van deze kenmerken in meer detail om een gevoel te krijgen voor wat we snel kunnen oplopen tegen. Ook niet gek uit en zorgen dat we tip uit de slechteriken over hoe ze hun wormen te verbeteren. Helaas zijn veel worm ontwikkelaars al weten over alle technieken die we zullen bespreken. Diverse code componenten zijn vrij beschikbaar om te downloaden, waaronder een aantal interessante stukjes code door Michal Zalewski uitgebracht in 2003. De slechteriken zijn klaar om deze dingen los te laten, we moeten ze te begrijpen, zodat we kunnen worden voorbereid.

Multiplatform Worms

De meeste wormen meestal aanval slechts een type besturingssysteem per worm, die beheerders patches implementeren op een soort systeem dat de nodige verdediging te voeren. In de nabije toekomst zal superworms exploiteren meerdere besturingssysteem soorten, waaronder Windows, Linux, Solaris, BSD, en anderen, allemaal verpakt in een kernkop. De oudere, single-platform wormen vereist de toepassing van een patch om een enkel type besturingssysteem, iets dat beheerders doen op een regelmatige basis anyway.

Verdedigen tegen sinistere multiplatform wormen vergt veel meer werk en coördinatie, zoals we zullen moeten patches toepassen in onze omgeving voor alle soorten besturingssystemen. Denk eraan: in plaats van alleen maar patching alle installaties van een type besturingssysteem in uw omgeving, moet u de patch al uw systemen, onafhankelijk van het besturingssysteem type. Met de noodzaak voor extra coördinatie tussen de verschillende soorten systeem zal onze reactie sterk worden afgeremd, waardoor de worm te veroorzaken veel schade.

Hoewel ze niet mainstream zijn (nog), hebben we al gezien een klein aantal multiplatform wormen uitgebracht tegen het internet. In mei 2001 heeft de Sadmind / IIS worm paddestoelen via het internet, gericht op Sun Solaris en Microsoft Windows. Zoals de naam al zegt, deze worm misbruikt sadmind de dienst die wordt gebruikt voor de coördinatie van beheer op afstand van Solaris-machines. Van deze slachtoffer machines, de worm verspreid naar Microsoft's IIS web server, waar het verder uitbreiden naar andere Solaris-machines, de voortzetting van de cyclus.

Multiexploit Worms

Veel van de wormen die we hebben gezien in het verleden waren eendagsvliegen, de exploitatie slechts een kwetsbaarheid in een systeem en vervolgens verspreiden naar nieuwe slachtoffers. Sommige nieuwere systemen wormen dringen op meerdere manieren, met behulp van gaten in een groot aantal van de netwerk-gebaseerde toepassingen alles in een worm. Een worm zou kunnen 5, 20, of zelfs meer kwetsbaarheden te exploiteren, allemaal verpakt in een geniepig kernkop. Met meer kwetsbaarheden te exploiteren, zullen deze wormen verspreiden met meer succes en snel. Zelfs als er een systeem is gepatched tegen enkele van de individuele gaten, een multiexploit worm zal nog steeds in staat zijn om het over te nemen door te profiteren van nog een andere kwetsbaarheid. Tot op heden de meest succesvolle multiexploit worm die we hebben gezien was Nimda, die, afhankelijk van hoe je telt, kon uitbreiden tot systemen in een dozijn verschillende manieren.

Zero-Day Exploit Worms

Een ander aspect van de komende superworms behandelt de versheid van de kwetsbaarheden ze te benutten. De wormen die we hebben gezien in het wild tot nu toe hebben meestal reeds bekende kwetsbaarheden gebruikt om systemen aan te vallen. Wormen zoals Code Red en Nimda alle verspreiden met behulp van buffer overflow en andere exploits die werden ontdekt maanden voordat de worm werd uitgebracht. Hoewel deze wormen systemen waren teistert op het internet, wisten we al over de kwetsbaarheden ze uitgebuit en verkopers waren al patches uitgebracht maanden van tevoren. Natuurlijk, omdat te weinig mensen van toepassing zijn vlekken op een tijdige basis, de wormen nog steeds deden hun schade. Echter, met behulp van off-the-shelf oudere exploits, werden deze wormen snel geanalyseerd en getemd door ijverige veiligheid teams. Patches zijn beschikbaar voor download via internet aan deze wormen te stoppen.

We zullen niet zoveel geluk in de toekomst. Nieuwer wormen zal waarschijnlijk breken in systemen met behulp van zogenaamde "zero-day" exploits, genoemd omdat ze zijn gloednieuw, beschikbaar voor het publiek precies nul dagen. Met een worm verspreidt met behulp van een zero-day exploit, zal nog geen patches beschikbaar zijn. De informatie beveiliging gemeenschap zal meer tijd nodig om te begrijpen hoe de worm zich verspreidt. De eerste keer dat we zien de exploit code die in deze wormen zullen worden wanneer ze compromis honderdduizenden of zelfs miljoenen van systemen, geen vrolijke gedachte.

Fast-Spreading Worms

Worms, door hun aard, proberen om snel te verspreiden. Een voorbeeld van een worm wordt gebruikt om te zoeken naar nieuwe slachtoffers, die bij veroverd, scan voor nog meer doelstellingen. Worms daarom vaak verspreid over een exponentiële basis, met het aantal systemen gevaar loop van de tijd lijkt op een hockeystick vorm. Zijn echter veel wormen die we hebben gevochten tot op heden vrij inefficiënte tijdens hun eerste verspreiding. Tijdens de eerste lancering van een worm, de verspreiding begint langzaam. De worm winsten geleidelijk snelheid als het beweegt tot de exponentiële curve. Het kan nog vele uren of zelfs dagen voor de worm naar de "knie" bereiken in de curve voor ernstige aantallen slachtoffer machines zijn veroverd.

In augustus 2001, twee kranten verscheen het beschrijven van nieuwe technieken voor het maximaliseren van de snelheid waarmee de wormen te verspreiden. Elke papier presenteerde een wiskundig model voor de ontwikkeling van technieken hyperefficient worm distributie. Gelukkig, geen code werd meegeleverd met de papieren, hoewel het schrijven van software op basis van deze ideeën is eenvoudig, zelfs voor een matig ervaren software ontwikkelaar. Het eerste papier, door Nicholas C. Weaver, geponeerd een Warhol-worm, die zou kunnen 99% van de kwetsbare systemen te veroveren op het internet binnen 15 minuten. Deze termijn heeft geleid tot de naam van de worm, gebaseerd op 15 pop-kunstenaar Andy Warhol's minutes of fame kwinkslag.

In 1968, Andy Warhol ooit zei, "In de toekomst zal iedereen beroemd worden gedurende 15 minuten." Ironisch genoeg, in de tijd, groeide Warhol moe van zijn meest beroemde uitspraak krijgt steeds meer geïrriteerd op haar herhaaldelijk gebruik door de media, reflecteren op eigen vermogen van de media om mensen te snel maar tijdelijk beroemd te maken.

Niet achter te blijven, de tweede papier op de voet gevolgd op de hielen van de eerste en presenteerde een lichte verbetering van de fundamentele Warhol worm techniek. Deze tweede papier, door Staniford, Grim, en Jonkman, geponeerd een zogenaamde Flash-worm die kunnen overheersing van het internet te bereiken in minder 30 seconden. Hoewel de wiskunde dit zou kunnen tonen aan theorie waar zijn, denk ik dat storingen in het internet een verschil tussen theorie en werkelijkheid zal opleveren. Mijn inzet is dat het gebruik van Warhol / Flash-technieken, kan het internet een worm onderwerpen in ongeveer een uur, geven of nemen 15 minuten. Dit is nauwelijks een afwikkeling tijdsbestek.

Om gebruik te maken van de Warhol / Flash-techniek, kan een aanvaller het internet gemaakt, die vanuit een vast systeem op zoek naar machines die kwetsbaar zijn voor de exploit code die later zal worden geladen in kernkop de worm. De aanvaller plaatst duizenden of tienduizenden kwetsbare systemen, zonder dat de exploitatie van hen of die ze overneemt. Met behulp van een lijst van de adressen van deze kwetsbare machines verspreid over de wereld, de aanvaller preprograms de worm met de eerste reeks van de slachtoffers. De worm wordt vervolgens losgelaten op die bekende kwetsbare systemen met hoge bandbreedte die het dichtst bij de internet-backbone. In plaats van willekeurige adressen selecteren om te scannen, de jonge, kan pas ingevoerde worm onmiddellijk bevolken de systemen die reeds vooraf gescande voor de kwetsbaarheid. De worm infecteert deze eerste reeks van de slachtoffers, dan splitst de resterende lijst van duizenden gescande, kwetsbare doelen. Verschillende segmenten van de oorspronkelijke worm elke aanval dan hun deel van de resterende vooraf gescande doelen. Tijdens de eerste, en is er geen tijd verloren gaat bij het selecteren of scannen van nieuwe doelstellingen. Prescanning De aanvaller fase heeft al deze doelstellingen, zodat de worm kan eenvoudig veroveren en doorgeven aan hen.

Nadat alle vooraf gescande doelstellingen in gevaar komen, de worm begint te scannen en te verspreiden naar de algemene bevolking. Door in eerste instantie in gevaar te brengen duizenden sappig, vooraf gescande doelen, de Warhol / Flash-worm springt in wezen om de hockeystick van exponentiële groei, zodat slechts een relatief korte tijd nodig is voordat de totale overheersing is bereikt.

Polymorfe Worms

Worm schrijvers willen niet dat hun kwaadaardige creaties worden gedetecteerd, geanalyseerd en gefilterd terwijl ze verspreiden. In de meeste netwerken kunnen, Intrusion Detection Systems (IDS) het identificeren wormen en andere aanvallen en alert de good guys, het functioneren als computer inbraakalarm. Tegenwoordig hebben de meeste netwerk-gebaseerd IDS instrumenten hebben een database van bekende aanval handtekeningen. De IDS sonde verzamelt netwerkverkeer en vergelijkt het tegen de bekende aanval handtekeningen om te bepalen of het verkeer is kwaadaardig. Vandaag IDS instrumenten zeer gemakkelijk identificeren traditionele wormen, die gebruik maken van gemeenschappelijke code beschikbaar met handtekeningen te exploiteren. Bovendien worm-fighting good guys wormen kunnen vangen tijdens hun verspreiding, en reverse-engineering van de schadelijke software tot een betere verdedigingen inclusief filters te creëren.

Te onttrekken aan de opsporing, folie reverse-engineering-analyse, en voorbij filters, zijn worm ontwikkelaars steeds vaker gebruik van polymorfe codering technieken in de wormen. Polymorfe programma's dynamisch veranderen hun uiterlijk elke keer dat ze lopen door versluiering van hun software-code. Hoewel de nieuwe software zelf is opgebouwd uit totaal verschillende instructies, de code is nog steeds precies dezelfde functie. Met polymorfisme, is alleen het uiterlijk veranderd, niet de functie van de code. Laadvermogen De worm wordt automatisch morph de hele worm in verschillende gemuteerde versies, zodat het niet langer detectie handtekeningen wedstrijden, maar nog steeds precies hetzelfde. Wanneer wormen gaan polymorfe, zal elk segment van de worm zijn nieuwe code gegenereerd. Ieder individu segment van de worm zal een andere verschijning op elk slachtoffer, waardoor het veel moeilijker op te sporen en te analyseren. Miljoenen unieke worm segmenten zullen worden verspreid over het netwerk, allemaal met dezelfde functionaliteit.

We hebben gezien wat kleine stapjes in de richting waar polymorf wormen in het wild. In januari 2002, aan de Klez worm verspreid via Microsoft Outlook e-mail en werknemers polymorfe eenvoudige technieken, het veranderen van de e-mail onderwerp, ontwijken e-mail spam filters. De Nimda e-mail distributie vector ook veranderd zijn onderwerp. Antispam op zoek naar een bos van berichten met hetzelfde onderwerp aan verschillende gebruikers, een mooi redelijk teken van e-mail spam. Toegegeven, slechts een klein stukje van Klez en Nimda (het onderwerp en zelfs de bijlage type bestand) is polymorf, maar het was een begin van deze weg.

Bovendien, een software-ontwikkelaar genaamd K2 heeft een polymorfe mutatie motor genoemd ADMutate. Deze krachtige tool wordt gebruikt om morph buffer overflow exploits, en kunnen worden opgenomen in een worm als haar morphing motor muteren alle van de code in de worm. Ook ander hulpmiddel, genaamd Hydan implementeert zeer flexibele polymorfe code. Klez en Nimda aangetoond dat de kracht van een klein beetje van polymorfisme in een worm, maar verschillende aanvallers hebben het over de goedkeuring van de polymorfe motoren opgenomen in ADMutate en Hydan het creëren van een volledig polymorfe worm.

Metamorfe Worms

Naast het veranderen van hun uiterlijk met behulp van polymorfisme zullen nieuwe wormen ook veranderen hun gedrag dynamisch, ondergaat metamorfose. Met behulp van deze techniek, zijn extra mogelijkheden aanval ingewerkt in de worm. Polymorfe technieken veranderen de code van de worm terwijl de functionaliteit hetzelfde; metamorfe code daadwerkelijk verandert de functionaliteit van de worm. Metamorfe wormen zijn als kleine groene rupsen hongerig verspreiden via het internet. Kijkend naar de rups zich openbaart geen indicatie van de vlinder verborgen binnenkant. Ook zal metamorfe wormen verspreiden zich snel, waarbij verbergen van hun lading met behulp van verwarring en encryptie technieken. Pas nadat de worm is volledig uitbreiden tot enorme aantallen slachtoffers zal het onthullen zijn verborgen doel. Naar alle waarschijnlijkheid zal het niet als een vlinder die uit komt. De worm zal masker een andere aanval hulpmiddel, zoals een backdoor, RootKit, of toetsaanslag logger.

Metamorfe wormen helpen een aanvaller, omdat zij moeilijker zijn om reverse-engineering en dus verdedigen tegen. Wanneer een worm is uitgebracht op het internet, scores van die-hard worm chasers verzamelen gevallen van de worm te analyseren en de verspreiding ervan tegen te gaan. Veel van deze mensen werken voor antivirus software bedrijven die vrijkomen filters en fixes voor de worm, en anderen zijn gewoon onafhankelijke veiligheid onderzoekers. Door het gebruik van metamorfe technieken, gecombineerd met polymorfisme, zijn deze wormen veel moeilijker te verdedigen tegen.

Truly Nasty Worms

Als je een eerlijke blik op de wormen die we in het verleden geconfronteerd te nemen, ze echt eerlijk zijn goedaardig is vergeleken met wat een aanvaller zou kunnen doen met de inherente kracht van de worm technieken. De meerderheid van de worm aanvallen tot nu toe hebben zich gericht op teeltmateriaal zo breed en snel mogelijk, niet over de daadwerkelijk vernietigen veroverd systemen. In feite hebben we gezien een stel wormen met nul lading. Begrijp me niet verkeerd, hoor. Zelfs de relatief goedaardige wormen kweken we gezien hebben veroorzaakt aanzienlijke schade door simpelweg consumeren middelen. Een eenvoudige fokkerij worm kan gemakkelijk zuigen up van al uw bandbreedte, rekenkracht, en zelfs de aandacht van uw computer aanval team. Toch kan dingen veel slechter.

Met de superworms van de nabije toekomst kunnen we wormen gezicht dat een zeer kwaadaardige aanval instrument verspreiding binnenkant van de worm zelf. Sommige wormen verspreidt denial-of-service-agenten die een Internet overstroming lanceren tegen een slachtoffer. Code Red deed precies dat, en trends geven aan de techniek zal nog veel populairder. Andere wormen zullen bestanden vernietigen en verwijderen gevoelige gegevens. Sommigen kunnen fungeren als logische bommen veroorzaken systemen crashen na een bepaald tijdsbestek of op bevel van de aanvaller, invaliditeit grote aantallen machines. Wormen kunnen ook gegevens te stelen, via systemen kammen op zoek naar bestanden met de vermelding "Secret" of "Eigendom" om e-mail terug naar de aanvaller. Maak je klaar voor wormen met veel gemener bedoelingen.

een artikel afkomstig van Sean Kazen

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions