القادمة superworms

Share

|

الديدان الخبيثه هي تتطور بسرعة ، وزيادة قدراتهم على انتشار والتسبب في اضرار. لقد قمنا مؤخرا النظر الى ابتكارات رئيسية فى دودة التكنولوجيا ، مع أحدث الديدان خبيث ينتشر اكثر كفاءه واكثر من اي وقت مضى ، الى اقصى حد مع الرؤوس الحربيه ، التي تستهدف اختيار الخوارزميات ، وآليات الدعايه. خلال السنوات العديده الماضية ، أحدهم قد اطلقت العنان دودة جديدة كل شهرين او ستة اشهر مع اضافيا التطوري تويست لدينا دفاعات نخلط. في معدل we're الذهاب ، وسنقوم قريبا مواجهة ما يسمى superworms التي يمكن تعطيل شبكة الانترنت او خلاف ذلك تعيث فسادا خطيرة. ورغم ان الماضي كان سيئا والديدان ، واعتقد بقوة أننا سوف يواجهون مستقبلا ان أقصى اكثر الديدان.

دعونا نحلل بعض الاتجاهات الحديثة في الديدان لنرى اين هي ويرأس هذه الحيوانات. واستنادا الى الاوراق البيضاء ، في العروض العامة هاكر مؤتمرات ، وغير رسمي واحد على واحد والمناقشات قد قمت مع دودة مطورين ، ونحن بحاجة الى الاستعداد لالديدان مع مجموعة متنوعة من الخصائص التدميريه ، بما المتعدد ، multiexploit ، الصفر يوما ، الانتشار السريع ، متعلق ب تعدد الأشكال ، متحوله ، حقا حقير الديدان. ورغم ان هذه الشروط قد تبدو تقنيه mumbo - طائرة الجمبو اليكم الآن ، سنقوم بتحليل كل واحدة من هذه الخصائص في اكثر من التفصيل الى التعود على ما يمكن ان يصل قريبا ضد. ايضا ، لا النزوه الى ان تقلق وسنقوم نصيحه من سوء الرجال حول كيفية تحسين أوضاعهم والديدان. ومما يؤسف له ان العديد من مطوري بالفعل دودة تعرف عن كل من تقنيات سنقوم مناقشة. مدونة مختلف المكونات المتوافرة مجانا للتنزيل ، بما في ذلك بعض القصاصات مدونة للاهتمام الذي اصدرته ميشال zalewski فى عام 2003. السيءه الرجال هم يستعدون لاطلاق العنان لهذه الاشياء ؛ اننا بحاجة الى ان نفهم منها حتى يمكننا ان نكون على استعداد.

الديدان المتعدد

معظم الطفيليات عادة الهجوم سوى نوع واحد من نظام التشغيل لكل الدوده ، التي تحتاج الى مديرين لنشر الرقع الى امر واحد هو نوع من الملاءمه لتنفيذ نظام دفاعات. في المستقبل القريب ، سوف superworms استغلال نظام التشغيل متعددة الانواع ، بما فيها ويندوز ، لينكس ، وسولاريس ، بي اس دي ، وغيرها ، كل طويت الى واحد من الرؤوس الحربيه. الاكبر سنا ، وحيد - منهاج الديدان المطلوب تطبيق التصحيح على نوع واحد من نظام التشغيل ، ان المسؤولين الاداريين نفعل شيئا على اساس منتظم على اي حال.

الدفاع ضد شرير المتعدد الديدان سوف يتطلب قدرا اكبر من العمل والتنسيق ، كما سنقوم قد تنطبق على جميع انحاء الرقع بيئتنا لجميع أنواع نظم التشغيل. فكروا : بدلا من مجرد ترميم جميع المنشآت من نوع واحد من نظام التشغيل فى البيئة الخاصة بك ، فستحتاج الى كل رقعة من النظم الخاصة بك ، بغض النظر عن نوع نظام التشغيل. مع ضرورة اضافة التنسيق بين مختلف انواع النظام ، وردنا سيكون تباطا الى حد كبير ، مما يتيح الدوده الى قضية اكبر بكثير من الضرر.

ورغم انها ليست التيار الرئيسي (بعد) ، ولقد شهدنا بالفعل عدد قليل من الديدان المتعدد افرج ضد شبكة الإنترنت. في ايار / مايو 2001 ، sadmind / IIS دودة كابر عن طريق شبكة الإنترنت ، استهداف صن سولاريس ومايكروسوفت ويندوز. كما يعني اسمها ، هذه الدوده استغلت sadmind الخدمة المستخدمة لتنسيق الناءيه ادارة سولاريس آلات. هذه الآلات من الضحيه ، والى انتشار دودة ميكروسوفت IIS ملقم الويب ، حيث انتشر كذلك الى غيرها من آلات سولاريس ، واستمرار دوامة.

Multiexploit الديدان

كثير من الديدان لقد بحثنا رأينا في الماضي كانت واحدة تصل الى العجب ، واستغلال سوى واحدة من الضعف فى ظل نظام وثم ينتشر الى وقوع ضحايا جدد. أحدث بعض الديدان اختراق نظم بطرق متعددة ، باستخدام ثقوب في عدد كبير من التطبيقات القائمة على الشبكه جميع توالت الى احدى الديدان. دودة وحيدة قد تكون قادرة على استغلال 5 ، 20 ، أو حتى أكثر من الضعف ، وجميع ملفوفه في واحد من الرؤوس الحربيه الغادره. مع اكثر لاستغلال نقاط الضعف ، وهذه الديدان ستنتشر أكثر بنجاح وبسرعة. وحتى اذا كان النظام ترقيع ضد بعض الأفراد من الثقوب ، أ multiexploit دودة ستظل قادرة على ان اعتبر اكثر من خلال استغلال ضعف آخر. وحتى الان ، انجح multiexploit دودة قمنا nimda كان ينظر إليه ، والذي ، وفقا لكيفية العد لكم ، قد تمتد الى نظم في اثنتي عشرة بطرق مختلفة.

الصفر يوما استغلال الديدان

وثمة جانب آخر للالمقبلة superworms يتناول نضارة للمواطن الضعف تستغلهم. الديدان قمنا ينظر في البرية حتى الان قد استخدمت بالفعل فى معظمها معروف مواطن الضعف لنظم الهجوم. الديدان مثل مدونة الأحمر وجميع nimda انتشار استخدام عازل الفيض وغيرها من مآثر ان اكتشفت قبل أشهر دودة تم الافراج عنه. وفي حين ان هذه الديدان كانت تعصف نظم على الانترنت ، ونحن بالفعل على علم استغلوا مواطن الضعف ، والبائعين سبق ان افرج رقع له قبل شهور. وبطبيعة الحال ، لان عدد قليل جدا من الناس تنطبق على الرقع في الوقت المناسب ، لا تزال الديدان لم ضررها. ومع ذلك ، باستخدام الجاهزه استغل كبار السن ، وكانت هذه الديدان بسرعة وحلل أليفة الدؤوب من قبل فرق الامن. الرقع باتت متوفره للتحميل عبر الانترنت لوقف هذه الديدان.

لن نكون محظوظين حتى في المستقبل. أحدث الديدان سوف يرجح اقتحام النظم التي تستخدم ما يسمى ب "الصفر يوما" مآثر ، لأنها اسم جديد ، يتاح للجمهور لبالتحديد ايام صفر. مع انتشار دودة باستخدام الصفر استغلال ايام ، اي بعد الرقع سوف تكون متاحة. المعلومات الامنية المجتمع سيتطلب مزيدا من الوقت لنفهم كيف تنتشر الدوده. المرة الاولى التي سنقوم ان نرى استغلال المدونه تستخدم في هذه الديدان وسيتم عندما سطا مئات الآلاف أو حتى الملايين من نظم ، ليست فرحان الفكر.

الانتشار السريع الديدان

الديدان ، بحكم طبيعتها ، ومحاولة لتنتشر بسرعة. واحد مثلا من دودة يستخدم لمسح لضحايا جدد ، الذي ، عندما غزاها ، بعد مسح لمزيد من الاهداف. ومن ثم انتشار الديدان في كثير من الاحيان على اساس أسى ، مع عدد من نظم الشبهه على مر الزمن تشبه شكل عصا الهوكي. ومع ذلك ، كثير من الديدان حارب لقد قمنا حتى الآن هي جميلة غير فعالة خلال تقاريرها الاولية وانتشارها. خلال الاولية عن صدور دودة ، وانتشار تبدأ ببطء. الدوده تدريجيا المكاسب وهي تتحرك بسرعة تصل الاسيه المنحني. فهي لا تستطيع ان تتخذ العديد من ساعات او حتى ايام لتصل الى دودة "الركبه" في منحنى خطير قبل اعداد الضحايا آلات لغزا.

في آب / اغسطس 2001 ، ورقتين يبدو وصف تقنيات جديدة لزيادة السرعه في الديدان التي تنتشر. كل ورقة قدمت نموذج رياضي لتطوير تقنيات hyperefficient دودة التوزيع. ولحسن الحظ ، لم ادرج مع قانون الاوراق ، ورغم ان كتابه البرمجيات وبناء على هذه الافكار هو بسيط لولو باعتدال المهرة مطور برامج. الورقه الاولى ، من قبل نيكولاس جيم - الحائك ، وافترض أ ارهول الدوده ، التي يمكن الانتصار على 99 ٪ من انظمة ضعيفة على الانترنت في غضون 15 دقيقة. هذا الإطار الزمني قد ادى الى ظهور دودة اسم ، استنادا الى فنان البوب آندي وارهول لل15 دقيقة من الشهره المزحه.

في عام 1968 ، اندي وارهول بشكل مشهور قال : "في المستقبل ، الكل سيكون الشهيرة لمدة 15 دقيقة." ومن المفارقات ، في الوقت ارهول نمت تعبت من صاحب القول الشهير اكثر ، تزداد في ازعاج في دورته الاستخدام المتكرر من جانب وسائل الاعلام ، ما انعكس على وسائل الاعلام نفسها القدرة على ان تجعل الناس بسرعة ولكن مؤقتا الشهيرة.

لا يكون لمبزوز ، اما الورقه الثانية عن كثب على عقب الأولى وقدم التحسن الطفيف الذي طرأ على النظام الاساسي للدودة ارهول تقنيه. هذه الورقه الثانية ، عن طريق staniford ، قاتمه ، واقدم ، ويطرح ما يسمى فلاش الدوده التي يمكن ان تصل الى السيطرة على الانترنت في اقل من 30 ثانية. ورغم ان الرياضيات قد تبين أن هذا صحيح من الناحية النظريه ، اعتقد ان أعطاب في شبكة الانترنت من شأنه أن يؤدي إلى التفاوت بين النظريه والواقع. بلدي الرهان هو ان استخدام ارهول / فلاش التقنيات ، ودودة يمكن اخضاع الانترنت في حوالي ساعة ، وتعطى او تأخذ 15 دقيقة. وهذا امر لا يكاد تسوية الاطار الزمني.

استخدام ارهول / فلاش تقنيه ، وهو مهاجم prescans الانترنت من نظام ثابت يبحثون عن الآلات التي هي عرضة لاستغلال المدونه التي ستصبح فيما بعد تحميلها الى دودة 'sالرؤوس الحربيه. المهاجم الآلاف او يحدد مكانا لعشرات الآلاف من الانظمه الضعيفه ، دون استغلالها ، أو أخذها على مر. استخدام قائمة العناوين هذه الآلات الضعيفه المنتشره في كل انحاء العالم ، المهاجم preprograms الدوده مع اول مجموعة من الضحايا. الدوده ومن ثم اطلقت على تلك النظم المعروف الضعيفه مع ارتفاع عرض النطاق الترددى الاقرب الى العمود الفقري لشبكة الانترنت. بدلا من اختيار عشوائي لمسح العناوين ، الشابة ، التي ادخلت حديثا على الفور دودة يمكن تسكين النظم بالفعل prescanned للضعف. الدوده يصيب هذه المجموعة الاولى من الضحايا ، ثم انشقاقات حتى تبقى قائمة الالاف من prescanned ، الاهداف المعرضه للخطر. قطاعات مختلفة من الأصل كل دودة ثم الهجوم حصتها المتبقية prescanned الاهداف. وخلال انتشار الاولية ، لا يضيع الوقت في اختيار اهداف جديدة ، او مسح. المهاجم 'sprescanning المرحلة وقد حددت هذه الاهداف ، حتى الدوده ويمكن ببساطة التغلب على نشر الدعوة اليهم.

بعد كل prescanned الاهداف يثير الشبهه ، وتبدأ الدوده الى مسح وانتشرت الى السكان عموما. في البداية المساس بها الالاف من كثير العصير ، prescanned الاهداف ، وارهول / فلاش دودة اساسا يقفز تتناول الهوكي العصا من النمو الهائل ، الا ان ذلك خلال فترة زمنيه قصيرة نسبيا قبل ان المطلوب هو مجموع الهيمنة يتحقق.

متعلق ب تعدد الأشكال والديدان

دودة الكتاب لا نريد منها ان تكون المخلوقات الخبيثه المكتشفة ، وحلل ، وترشح في حين انها تنتشر. في معظم الشبكات ، وأنظمة كشف التسلل (المذكورين) ويمكن تحديد والديدان وغيرها من الهجمات وتنبيه الاخيار ، اداء مثل الحاسوب وأجهزة انذار ضد السرقه. اليوم ، معظم الشبكه القائمة على هويات ادوات قاعدة بيانات للتعرف الهجوم التوقيعات. الاستراتيجيه الانماءيه الدولية للبحث في شبكة تجمع المرور ويقارن ومن المعروف ضد الهجوم التوقيعات لتحديد ما اذا كانت الحركة هي خبيثة. اليوم معرفات السهل جدا تحديد الادوات التقليديه الديدان ، التي تستخدم في استغلال مشترك مع قانون التوقيعات متاحة بسهولة. وبالاضافة الى ذلك ، لمكافحة دودة الاخيار يمكن التقاط الديدان اثناء انتشارها ، والهندسه العكسيه للبرمجيات الخبيثه لايجاد افضل دفاعات بما الفلاتر.

التهرب من الكشف ، واحباط عكس الهندسه التحليل ، وأحصل على الماضي والفلاتر ودودة مطوري بصورة متزايدة باستخدام تقنيات تشفير متعلق ب تعدد الأشكال في الديدان. متعلق ب تعدد الأشكال برامج ديناميكيه التغيير ظهورهم في كل مرة وهم تديرها الجهاد على رمز البرامج. ورغم ان البرمجيات الجديدة نفسها تتكون من تعليمات مختلفة تماما ، والمدونه لا تزال لديه بالضبط نفس الوظيفة. مع تعدد ، الا مظهر هو تغيير ، وليس من مهمة هذا القانون. الدوده 'sالحموله اوتوماتيكيا morph بأسره دودة الى مختلف الصيغ المسخ حتى انه لم يعد مباريات اكتشاف التوقيعات ، ولكن ما زال يفعل بالضبط نفس الشيء. عندما تذهب الديدان متعلق ب تعدد الأشكال ، كل جزء من الدوده سيكون لها المدونه الجديدة المتولده عن الذبابه. لكل شريحة من دودة سيكون مختلفا عن كل مظهر الضحيه ، مما يجعلها اصعب بكثير لكشف وتحليل. الملايين من دودة شرائح الفريده ستكون متناثره في ارجاء الشبكه ، مع كل نفس الوظيفة.

لقد بحثنا شهدت بعض الخطوات في اتجاه صحيح الطفل متعلق ب تعدد الأشكال الديدان في البرية. في كانون الثاني / يناير 2002 ، عن طريق انتشار دودة klez مايكروسوفت التوقعات البريد الالكتروني واستخدام تقنيات بسيطة متعلق ب تعدد الأشكال ، وتغيير البريد الالكتروني سطر الموضوع ، لتجنب spam الفلاتر. فان nimda البريد الالكتروني توزيع ناقلات الامراض كما يغير سطر الموضوع. Antispam الفلاتر تبحث عن مجموعة من الرسائل مع نفس الموضوع ارسل الى مختلف المستخدمين ، أ جميلة من المعقول توقع spam. صحيح ، سوى قطعة صغيرة من klez وnimda (سطر الموضوع وحتى الحاق نوع الملف) هو متعلق ب تعدد الأشكال ، ولكنه كان بداية هذا الطريق.

وبالاضافة الى ذلك ، مطور برامج اسمه 2 افرجت عن احد متعلق ب تعدد الأشكال طفره محرك اسمه admutate. هذا هو أداة قوية لاستخدام الفائض يستغل morph عازلة ، ويمكن ان تدمج دودة لها تركيب محرك لتتحول جميعها مدونة في الدوده. ايضا ، أداة أخرى تسمى hydan ادوات شديدة المرونة قانون متعلق ب تعدد الأشكال. Klez nimda وأظهرت قوة ضءيله بعض الشيء من تعدد في دودة ، ولكن العديد من المهاجمين هي مناقشة اتخاذ تدابير للمتعلق ب تعدد الأشكال المدرجه في محركات admutate وhydan لخلق كاملا متعلق ب تعدد الأشكال دودة.

متحوله الديدان

بالاضافة الى تغيير ظهورهم باستخدام جزيء ، والديدان الجديدة سوف ايضا تغيير سلوكهم بطريقة ديناميكيه ، تمر التحول. وباستخدام هذا الأسلوب ، وقدرات اضافية الهجوم تخفي داخل دودة. متعلق ب تعدد الأشكال تقنيات التغيير الدوده للقانون وبينما يحافظ على الوظيفة نفسها ؛ متحوله مدونة فعلا الدوده للتغيرات وظيفيه. متحوله هي مثل الديدان الخضراء قليلا اليرقات بجوع تنتشر عن طريق الانترنت. وعند النظر الى كاتربيلر في حد ذاته يكشف اي اشارة من مخباه داخل فراشة. وبالمثل ، متحوله الديدان وسوف تنتشر بسرعة في حين يختبئ منها التشويش والحموله باستخدام تقنيات التشفير. الا بعد انتشار الدوده بالكامل الى الاعداد الهاءله من الضحايا أنها سوف تكشف عن الغرض الخفي. في جميع الاحتمالات ، أنها لن تكون فراشة ان يخرج. الدوده سوف تحجب هجوم آخر اداة ، مثل مستتر ، rootkit ، او ضربة المفتاح المسجل.

متحوله الديدان تساعد اي مهاجم لانها اصعب الهندسه العكسيه وبالتالي الدفاع عن نفسه ضد. كلما دودة هو الافراج عن الانترنت ، ويموت عشرات من الصعب - دودة المطاردون جمع حالات الدوده لأنها تحليل ومواجهة انتشاره. العديد من هؤلاء الناس العمل لمضادات شركة برمجيات ان الافراج عن الفلاتر والبرامج العلاجيه لدودة ، وبعضها الآخر مجرد امنية مستقلة الباحثين. باستخدام تقنيات متحوله ، مع تعدد الجمع ، وهذه الديدان هي اصعب بكثير من الدفاع عن نفسه ضد.

حقا حقير الديدان

اذا كنت تأخذ شريفة انظروا لقد قمنا الديدان التي تواجهها في الماضي ، انهم حقا قد حميدة الى حد ما بالمقارنة مع ما يمكن ان يفعله اي مهاجم مع السلطة الملازمه للدودة التقنيات. غالبية الهجمات الدوده حتى الان فقد ركزت على ما نشر على نطاق واسع وبسرعة قدر الامكان ، ليست في الواقع على تدمير النظم المهزومه. في الحقيقة ، لقد بحثنا شهدت مجموعة من الديدان مع الحمولات لاغيه. لا يحصل لي الخطأ ، وإن كان. حتى حميدة نسبيا تربية الديدان قمنا شهدت تسببت في الحاق اضرار كبيرة بها مجرد استهلاك الموارد. بسيطة تربية دودة يمكن بسهولة الامتصاص متابعة كل الكلمات التي عرض النطاق الترددي ، والقدرة الحاسوبيه ، وحتى انتباه جهازك هجوم الفريق. بيد أن الامور يمكن أن تكون أسوأ بكثير.

مع superworms من المستقبل القريب ، ونحن يمكن ان يواجه الديدان التي شاعت غاية خبيثة داخل أداة للهجوم الدوده نفسها. بعض الديدان ستنتشر الحرمان من الخدمة ان وكلاء عن اطلاق شبكة الانترنت الفيضان ضد الضحيه. مدونة الاحمر فعلت ذلك بالضبط ، وتشير الاتجاهات الى هذا الاسلوب سوف تصبح اكثر شعبية. الديدان الاخرى سوف يدمر ملفات وحذف البيانات الحساسة. بعض المنطق قد تكون بمثابة قنابل تسبب نظم لتحطم بعد فترة زمنيه معينة او على المهاجم للقيادة ، وتعطيل عدد كبير من الآلات. الديدان ويمكن ايضا سرقة البيانات ، من خلال نظم التمشيط بحثا عن ملفات ذات العلامه "سرية" أو "الملكيه" الى البريد الالكتروني للعودة الى المهاجم. الأستعداد لالديدان مع النوايا الآن اكثر شرا.