Hindringer Worm Spread


  Share  
|

Nå som vi har sett de typiske komponenter som brukes til å bygge en orm, la oss tenke gjennom de store hindrene som ormer ansiktet som de sprer seg og hvilke strategier som brukes for å komme rundt slike hindringer. Selv om det kan først virke som en ond øvelse å tenke på slike ting, humor meg for et minutt eller to. Ved å forstå de vanskelighetene som ormer sprer seg i ansiktet, kanskje vi kunne få en bedre følelse for hvordan ormer kunne utvikle seg i fremtiden, og mer viktig, hvordan vi kunne forsvare seg mot noen av disse nye trender.

Diversity of Target Miljø

En av de største hindringer for en orm er glupske spredningen er dens avhengighet på offerets maskin miljø. Selv om vi ønsker å tro at ormer er bremset ned av vårt forsvar, oftest er det mangfoldet i våre datasystemer som hemmer ormer. En av ormen og komponentene kan stole på bestemte programmer, biblioteker eller konfigureringsinnstillinger å være til stede på offerets system. Hvis disse brikkene som ormen trenger å kjøre er ikke inkludert på målet, ormen rett og slett ikke vil fungere. Anta for eksempel at en orm bruker HTTP overføres til målet maskinen. Det vil trolig avhengige av en nettleser installert på systemet, for eksempel Internet Explorer, Netscape Navigator, eller til og med tekstbaserte Lynx nettleseren. Hvis nettleseren ikke er til stede, vil ormen fremdrift bli arrestert som det flounders om, ikke kan spre seg til det neste settet med ofrene. Tilsvarende er en orm som sprer seg via TFTP vanligvis ikke kan flytte hvis en TFTP-klienten mangler på et mål system.

For å unngå slike problemer, kan ormer bruker tre ulike strategier. Først noen ormer pakke de elementene som de krever i målmiljøet inne i ormen seg selv. Ormen fungerer som en snegle, bære på ryggen alt det hende du må gjøre et koselig hjem på offerets maskin, inkludert bestemte programmer, biblioteker og konfigurasjonsinnstillinger.

Eventuelt noen ormer er bygget for å være fleksibelt nok til å tilpasse seg flere miljøer. Hvis ormen befinner seg på en maskin uten noen element nødvendig for å utbre, for eksempel en nettleser, kan ormen ansette noen alternativ plan for å flytte over nettverket. Hvis HTTP ikke fungerer fordi ormen mangler en nettleser, er det bare kan prøve FTP eller TFTP.

Et tredje alternativ ikke ofte sett i naturen er for ormen å analysere sine omgivelser, og deretter få i sanntid i stykker og deler av Internett som den trenger for å kjøre. Hvis min orm dukker opp på browserless systemet kan det hende jeg ormen bare opprette en forbindelse til sin favoritt-nettleser distribusjon nettstedet og installerer egen nettleser.

Ulempen fra ormen perspektiv, for hver av disse løsningene er at de lager ormen større og mer komplekse. Hvis det har å bære rundt på en haug med kode for å forvandle sine mål eller inneholder mange ulike alternativer for å spre, ormen blir større. Større ormer som endrer deres miljø er også lettere synlig. Anta at en humongous innbruddstyv bryter inn i ditt hus, og begynner noisily flytte møbler slik at han kan ta sin muggen gamle lounge stol midt inn i stuen din. Du vil være mye mer sannsynlig å legge merke til hans handlinger som han trounces rundt din egen stue enn om en liten mus går inn og setter opp bolig, stjele en tilfeldig stykke ost. I tillegg disse større miljø-bar og system-transformere ormer er mer komplekse, og derfor er mer sannsynlig at feil på et mål system.

Crashing Victims Grenser Spread

En annen begrensning på ormen spres er forbundet med virkningen av ormen på offerets maskin. Anta at en nyttelast enten med hensikt eller ved et uhell fører til målet systemet krasjer. Med offeret systemet døde ormen simpelthen ikke kan bruke den til å spre smitte til andre systemer. I biologiske termer, bakterier og virus som infiserer et offer og raskt drepe det vanligvis har svært begrenset effekt på den generelle befolkningen. Betrakt forkjølelse. Du får sniffles og en irriterende hodepine, men er fortsatt i stand til å gå ut og rundt, arbeide og spille. Likevel, mens det som skjer med livet ditt, kan du uforvarende infisere mange andre mennesker med en kald. Ebola, derimot, får sine ofre dø tragisk, vanligvis før de kan infisere andre. Selv skremmende, er Ebola en langt mindre vellykkede patogen i form av dens hastighet på infeksjon.

I en lignende måte, den mest vellykket spre ormer er de som ikke ødelegge et offer maskinen umiddelbart. I stedet, for eksempel ormer sitte stjålent på offeret, og begynner å spre seg til andre mål. Disse samme ormer kan, på et eller annet fremtidig tidspunkt, fullstendig rotet opp dette offeret, men det skjer først etter en relativt lengre infeksjon syklus.

Overexuberant Spre Kunne Congest Networks

Crashing ofrene er ikke den eneste måten en orm kan utilsiktet hemme sin egen effektivitet. Hvis en orm er spredt bruker enorme mengder båndbredde på offerets maskin i nettverk, kan ormen tette nettverket med kopier av seg selv. Nettverksblokkering forårsaket av ormen kunne choken av ormen egen forplantning. Snakk om å skyte deg selv i foten.

Vi så denne iboende selvlagde forplantning friksjon i naturen med SQL Slammer-ormen. Som en oversikt, i januar 2003, SQL Slammer raskt spre seg fra en anonym kilde gjennom Internet Service Providers (ISP) i Sør-Korea. Etter å etablere seg i hele Sør-Korea, generert av ormen så mye trafikk forsøker å spre seg andre steder at forplantning var sterkt hemmet. Nettverk gjennom Sør-Korea var smalt, ikke tilgang til resten av verden. Heldigvis for resten av verden, men på grunn av dette forbruket av båndbredde i Sør-Korea, ble SQL Slammer langt mindre skade enn den ellers kunne ha vært. Et langt nastier ormen ville ha strupes sitt eget forbruk av båndbredde for å sikre sin suksess i utbredelse.

Ikke Steg på Yourself!

En annen begrensning i ormen forplantning svært nært knyttet til de sakene vi har diskutert så langt omfatter ormen tråkke på seg selv. Anta at ormen sprer seg vellykket til et mål maskin. Den stridshode og ormen forplantning mekanismer fungerer feilfritt på kompromiss av at offeret. Akkurat som ormen begynner å løpe sin nyttelast og målretting motor, WHAM! Et annet segment av nøyaktig samme ormen hopp i fra nettet og overskriver den forrige installasjonen. Som det nyinstallerte forekomsten av ormen blir klar til å kjøre sin nyttelast, kan det treffes igjen, når en annen forekomst av nøyaktig samme ormen kommer i fra nettverket. Slike ormer er så voldsom i sine angrep at de ikke kan få noen virkelige arbeidet gjort på et mål system. Den nyttelast kjører aldri så ormen er så opptatt re-smittet allerede erobret mål. For å unngå dette problemet, noen orm stridshoder kontrollere om ormen allerede er installert på en målsystemet før infeksjon. På den måten vil de ikke utslette en tidligere segment av den samme ormen allerede på målet.

Don't Get tråkket på av andre

En siste hinder for ormen spre innebærer muligheten for at to ormer lansert av ulike grupper angripere kunne utnytte det samme stridshode for å oppnå et annet mål. Den første ormen å erobre målet systemet setter opp butikken og begynner å kjøre sin nyttelast og skanning maskinen. Etterpå, en helt annen orm angriper offeret maskinen, overskrive den første ormen. Mens den andre ormen kjøres, kan den første ormen prøve igjen å nå målet. Den beleirede offerets maskin er fanget i en orm turf war.

"Sannelig, det gjør slike ting ikke skjer i naturen," du kanskje tenke. Vel, faktisk de gjør. Den Honeynet Project møtte nettopp en slik sak på slutten av 2000. Hvis du ikke har hørt, er Honeynet Project en gruppe på 30 security geeks, ledet av Lance Spitzner, som bygger systemer og plasserer dem på Internett slik at de kan bli hacket. Basert på Honeynet Project observasjoner av hvordan angriperne arbeidet deres magi, hele sikkerhet samfunnet kan lære mer om hva skurkene er opp til. Jeg har vært et stolt medlem av Honeynet prosjektet i mer enn tre år nå, og vi har alle hatt noen veldig morsomme eventyr. I hvitboken tittelen "Know Your Enemy: Worms At War, sier Honeynet Project beskriver hvordan flere ormer kjempet om en av våre Windows 98 bokser over en fire-dagers periode.

Basert på noe mistenkelig trafikk vi hadde funnet på Internett, bygde vi en Windows 98-boksen er koblet til Internett, og delte mappen C: \-stasjonen for å se hva som ville skje. Nesten umiddelbart en orm overtok systemet via den åpne fildeling og begynte å kjøre en nyttelast som forsøkte å knekke en krypteringsnøkkel. Innen en dag, tok en helt annen orm i samme boks, deaktiveres den første ormen, og deretter satte sprukket en krypteringsnøkkel. Ikke for å være dårligere, enda en orm invadert kort tid etterpå. Det var ganske komisk å se disse stygge beistene angre hverandres hardt arbeid ved å fjerne nyttelast på den forrige ormen og slette noen av fremgangen sin. En smartere versjon av noen av disse ormene ville ha deaktivert fildeling, slik at de andre ormer "stridshoder og forplantning motorer ikke ville ha fått tilgang til målet maskinen. På denne måten vil hver ormen har vært langt mer vellykket hvis det hadde løst sikkerhetsproblemet den pleide å gå inn i systemet i første omgang.

en artikkel presentert av Sean Kazen

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions