Das Kommende Superworms


  Share  
|

Böswillige Endlosschrauben entwickeln schnell und erhöhen ihre Fähigkeiten, Beschädigung zu verbreiten und zu verursachen. Wir haben vor kurzem Hauptinnovationen in der Endlosschraube Technologie gesehen, wenn die neueren Endlosschrauben böswilliger und leistungsfähig als überhaupt, mit optimierten Warheads verbreiten und Vorwähleralgorithmen und Ausbreitungeinheiten gezielt. Über dem Letzten unleashed einige Jahre, jemand eine neue Endlosschraube alle zwei bis sechs Monate mit einer Extraentwicklungstorsion, zum unserer Verteidigung zu verwirren. Mit der Rate gehen wir, werden wir bald sogenannte superworms gegenüberstellen, die die ernste Verwüstung des Internets oder anders des wreak möglicherweise sperren konnten. Obgleich hinter Endlosschrauben bin, ich glaube stark schlecht gewesen, daß wir eine Zukunft gegenüberstellen, die weit wormier ist.

Lassen Sie uns einige neue Tendenzen in den Endlosschrauben analysieren, zu sehen, wo diese Tiere vorangegangen werden. Gegründet auf weißen Papieren, müssen allgemeine Darstellungen bei den Hackerkonferenzen und formlose ein-auf-ein Diskussionen, die ich mit Endlosschraube Entwicklern, wir gehabt habe, zu den Endlosschrauben mit einer Vielzahl der zerstörenden Eigenschaften, einschließlich multiplatform, multiexploit, Nulltag, das schnell-Verbreiten fertig werden, polymorph, metamorph, wirklich böse Endlosschrauben. Gegen obgleich diese Bezeichnungen wie technisches Popanz-riesiges jetzt klingen konnten Ihnen, analysieren wir jede dieser Eigenschaften ausführlicher, um zu erhalten fühlen für, was wir bald sein konnten oben. Auch nicht ungewöhnlich heraus und Sorge, die wir weg von den schlechten Kerlen spitzen auf, wie man ihre Endlosschrauben verbessert. Leider kennen viele Endlosschraube Entwickler bereits in allen Techniken aus, die wir uns besprechen. Verschiedene Codebestandteile sind frei für Download, einschließlich etwas interessante Code snippets vorhanden, die von Michal Zalewski 2003 freigegeben werden. Die schlechten Kerle werden fertig unleash diese Sachen; wir müssen sie verstehen, also können wir vorbereitet werden.

Multiplatform Endlosschrauben

Die meisten Endlosschrauben nehmen normalerweise nur eine Art Betriebssystem pro Endlosschraube in Angriff und erfordern Verwalter, Flecken zu einer einzelnen Art System zu entfalten, um passende Verteidigung einzuführen. In naher Zukunft nutzen superworms mehrfache Betriebssystemarten, einschließlich Windows, Linux, Solaris, Bd und andere aus, ganz oben aufgewickelt in einen einzelnen Warhead. Das ältere, Einzelnplattform Endlosschrauben erforderte das Anwenden eines Fleckens an einer einzelnen Art Betriebssystem, etwas, das Verwalter regelmäßig irgendwie tun.

Das Verteidigen gegen finstere multiplatform Endlosschrauben erfordert viel mehr Arbeit und Korrdination, da wir Flecken während unserer Klimas an allen Arten Betriebssysteme anwenden müssen. Denken Sie an es: Anstatt, alle Installationen von einer Art Betriebssystem in Ihrem Klima gerade auszubessern, müssen Sie alle Ihre Systeme, unabhängig davon die Betriebssystemart ausbessern. Mit der Notwendigkeit an zusätzlicher Korrdination unter verschiedenen System Arten, wird unsere Antwort groß verlangsamt und läßt die Endlosschraube weit mehr Beschädigung verursachen.

Obgleich sie nicht (schon) Hauptströmungs sind, haben wir bereits eine kleine Anzahl von den multiplatform Endlosschrauben gesehen, die gegen das Internet freigegeben werden. Im Mai 2001, vermehrte sich die Sadmind/IIS Endlosschraube durch das Internet explosionsartig und zielte Sonne Solaris und Microsoft Windows. Da sein Name andeutet, nutzte diese Endlosschraube den sadmind Service aus, der verwendet wurde, um Remoteleitung der Solaris Maschinen zu koordinieren. Von diesen Opfermaschinen die Endlosschraube verbritt zum web server IIS Microsoft, in dem es weiter zu anderen Solaris Maschinen verbritt und setzte den Zyklus fort.

Multiexploit Endlosschrauben

Viele der Endlosschrauben, die wir in die Vergangenheit gesehen haben, waren ein-schlugen die Wunder, nutzten nur eine einzelne Verwundbarkeit in einem System aus und dann verbreiten zu den neuen Opfern. Einige neuere Endlosschrauben dringen Systeme in den mehrfachen Weisen ein und verwenden durchlöchert in vielen Netz-gegründeten Anwendungen, die ganz in eine Endlosschraube gerollt werden. Eine einzelne Endlosschraube konnte in der LageSEIN, 5, 20 oder sogar mehr Verwundbarkeit auszunutzen, ganz aufgewickelt in einen dastardly Warhead. Mit mehr auszunutzen Verwundbarkeit, verbreiten diese Endlosschrauben erfolgreich und schnell. Selbst wenn ein System gegen einige der einzelnen Bohrungen ausgebessert worden ist,IST eine multiexploit Endlosschraube noch in der Lage, es durch die Ausnutzung dennoch eine andere Verwundbarkeit rüber zu nehmen. Bis jetzt war die erfolgreichste multiexploit Endlosschraube, die wir gesehen haben, Nimda, das, abhängig von, wie Sie zählen, zu den Systemen in unterschiedlichen Weisen Dutzend verbreiten könnte.

Null-Taggroßtat-Endlosschrauben

Ein anderer Aspekt der kommenden superworms beschäftigt die Frische der Verwundbarkeit, die sie ausnutzen. Die Endlosschrauben, die wir in das wilde bis jetzt gesehen haben, haben meistens bereits-gewußte Verwundbarkeit verwendet, um Systeme in Angriff zu nehmen. Endlosschrauben wie Code-Rot und Nimda alle verbritten mit Pufferüberlauf und anderen Großtaten, die Monate entdeckt wurden, bevor die Endlosschraube freigegeben wurde. Während diese Endlosschrauben Systeme auf dem Internet ravaging, kannten wir bereits in der Verwundbarkeit aus, die sie ausnutzten, und Verkäufer hatten bereits Fleckenmonate im voraus freigegeben. Selbstverständlich weil too.few Leute Flecken auf einer fristgerechten Grundlage anwenden, taten die Endlosschrauben noch ihre Beschädigung. Jedoch mit ab Lager älteren Großtaten, wurden diese Endlosschrauben schnell von den sorgfältigen Sicherheit Mannschaften analysiert und gezähmt. Flecken waren bereitwillig vorhanden für Download über dem Internet, diese Endlosschrauben zu stoppen.

Wir sind nicht zukünftig so glücklich. Neuere Endlosschrauben brechen wahrscheinlich in Systeme mit den sogenannten "Nulltag" Großtaten, genannt, weil sie nagelneu sind, vorhanden für die Öffentlichkeit für genau nulltage. Wenn eine Endlosschraube verbreitet, mit einer Nulltaggroßtat, sind keine Flecken schon vorhanden. Die Informationen Sicherheit Gemeinschaft benötigt mehr Zeit, zu verstehen, wie die Endlosschraube verbreitet. Das erste mal wir sehen, daß der Großtatcode, der in diesen Endlosschrauben verwendet wird, ist, wenn sie Hunderte Tausenden oder sogar Millionen Systeme sich vergleichen, nicht ein heitrer Gedanke.

Schnell-Ausgebreitete Endlosschrauben

Endlosschrauben, durch ihre Natur, versuchen, schnell zu verbreiten. Ein Fall einer Endlosschraube wird verwendet, um auf neue Opfer abzulichten, die, wenn Sie, Scan für dennoch mehr Ziele erobert werden. Endlosschrauben folglich verbreiten häufig auf einer exponentialen Grundlage, mit der Zahl den Systemen, die über der Zeit verglichen werden, die einer Hockeystockform ähnelt. Jedoch sind viele Endlosschrauben, die wir bis jetzt gekämpft haben, während ihrer Ausgangsverbreitung recht wirkungslos. Während der Ausgangsprodukteinführung einer Endlosschraube, beginnt die Verbreitung heraus langsam. Die Endlosschraube gewinnt stufenweise Geschwindigkeit, während sie die exponentiale Kurve hochschiebt. Sie könnte viele Stunden oder sogar Tage dauern, damit die Endlosschraube das "Knie" in der Kurve erreicht, bevor die ernsten Anzahlen von Opfermaschinen erobert werden.

Im August 2001, sahen zwei Papiere, beschreibend neue Techniken aus, um die Geschwindigkeit zu maximieren, an der Endlosschrauben Verbreitung. Jedes Papier stellte ein mathematisches Modell für die Entwicklung der hyperefficient Endlosschraube Verteilung Techniken dar. Glücklich war kein Code mit den Papieren eingeschlossen, obgleich, die Software schreibend, die auf diesen Ideen basierte, ist direkt für gleichmäßiges ein gemäßigt erfahrener Software-Entwickler. Das erste Papier, durch Nicholas C. Weaver, posited eine Warhol Endlosschraube, die 99% von verletzbaren Systemen auf dem Internet innerhalb 15 Minuten erobern könnte. Dieser Zeitrahmen verursachte den Namen der Endlosschraube, basiert auf Knallkünstler, den Andy Warhols 15 Minuten Ruhm witzeln.

1968 ist Andy Warhol, das berühmt zukünftig, "gesagt wird, jeder berühmt für 15 Minuten." Ironisch in der Zeit, wuchs erhielt Warhol von seinem berühmtesten Saying müde und in zunehmendem Maße an seinem wiederholten Gebrauch durch die Mittel gestört und reflektierte sich auf eigener Fähigkeit der Mittel, Leute schnell aber vorübergehend berühmt zu bilden.

Nicht übertroffen zu werden, folgte das zweite Papier nah auf die Fersen von der ersten und stellte eine geringfügige Verbesserung der grundlegenden Warhol Endlosschraube Technik dar. Dieses zweite Papier, durch Staniford, grimmig und Jonkman, posited eine sogenannte grelle Endlosschraube, die Herrschaft des Internets in abzüglich 30 Sekunden erreichen könnte. Obgleich Mathe dieses zeigen konnte, um theoretisch zutreffend zu sein, glaube ich, daß Störschübe im Internet eine Verschiedenheit zwischen Theorie und Wirklichkeit erbringen. Meine Wette ist die, die Warhol/Flash Techniken, eine Endlosschraube verwendet, könnte das Internet in einer ungefähr Stunde, Geben überwinden oder 15 Minuten dauern. Dieses ist kaum ein Rahmen der vereinbarenden Zeit.

Die Warhol/Flash Technik verwenden, Scan-Rückläufe eines Angreifers das Internet von einem örtlich festgelegten System, das nach Maschinen sucht, die zum Großtatcode verletzbar sind, der später in den Warhead der Endlosschraube geladen wird. Der Angreifer lokalisiert Tausenden oder 10 Tausenden der verletzbaren Systeme, ohne sie rüber auszunutzen oder sie zu nehmen. Mit einer Liste der Adressen dieser verletzbaren Maschinen, die weltweit zerstreut werden, programmiert der Angreifer die Endlosschraube mit seinem ersten Satz Opfern vor. Die Endlosschraube unleashed dann auf jenen bekannten verletzbaren Systemen mit der hohen Bandbreite, die zum Internet-Rückgrat am nähsten ist. Anstatt Adressen nach dem zufall, vorwählend, um abzulichten, können die Junge, eben eingeführte Endlosschraube die Systeme sofort bevölkern prescanned bereits für die Verwundbarkeit. Die Endlosschraube steckt diesen ersten Satz Opfer an, dann spaltet sich herauf die restliche Liste von Tausenden von prescanned, verletzbare Ziele auf. Verschiedene Segmente der ursprünglichen Endlosschraube, die jedes dann ihren Anteil vom restlichen in Angriff nehmen, prescanned Ziele. Während der Ausgangsverbreitung wird keine Zeit vergeudet, wenn man neue Ziele vorwählt oder ablichtet. Die prescanning Phase des Angreifers hat bereits diese Ziele gekennzeichnet, also kann die Endlosschraube zu ihnen einfach erobern und fortpflanzen.

Nachdem alle prescanned, werden Ziele, die Endlosschraube Anfänge verglichen, um zur allgemeinen Bevölkerung abzulichten und zu verbreiten. Indem Tausenden von saftigem zuerst sich vergleichen, prescanned Ziele, die Warhol/Flash Endlosschraube springt im Wesentlichen herauf den Hockeystock des exponentialen Wachstums, damit nur eine verhältnismäßig kurze Zeit angefordert wird, bevor Gesamtherrschaft erzielt wird.

Polymorphe Endlosschrauben

Endlosschraube Verfasser wünschen ihre böswilligen Kreationen ermittelt werden, analysiert werden und nicht gefiltert werden, während sie verbreiten. In den meisten Netzen können Eindringen-Abfragung Systeme (IDSs) Endlosschrauben und andere Angriffe kennzeichnen und die guten Kerle alarmieren und wie Computeralarmanlagen arbeiten. Heute haben die meisten Netz-gegründeten Identifikation Werkzeuge eine Datenbank der bekannten Angriff Unterzeichnungen. Die Identifikation prüfen Versammlungen Netzverkehr und vergleichen ihn gegen die bekannten Angriff Unterzeichnungen, um festzustellen, wenn der Verkehr böswillig ist. Heutige Identifikation Werkzeuge kennzeichnen sehr leicht traditionelle Endlosschrauben, die allgemeinen Großtatcode mit bereitwillig vorhandenen Unterzeichnungen verwenden. Zusätzlich können Endlosschraube-kämpfende gute Kerle Endlosschrauben während ihrer Verbreitung und Rück-Ingenieur gefangennehmen die böswillige Software, um bessere Verteidigung einschließlich Filter zu verursachen.

Um Abfragung, Folie Rück-Technik Analyse auszuweichen, und hinter Filtern zu erhalten, verwenden Endlosschraube Entwickler in zunehmendem Maße polymorphe Kodierungtechniken in den Endlosschrauben. Polymorphe Programme ändern dynamisch ihr Aussehen jede Zeit, die sie laufen lassen, indem sie ihren Software-Code kriechen. Obgleich die neue Software selbst völlig unterschiedliche Anweisungen besteht, hat der Code noch das genaue die gleiche Funktion. Mit Polymorphie nur das Aussehen wird, nicht die Funktion des Codes geändert. Das der Endlosschraube Nutzlast Wille morph automatisch die gesamte Endlosschraube in unterschiedliche Durch Mutation entstehende Variation Versionen, damit sie nicht mehr Abfragung Unterzeichnungen zusammenbringt, aber es tun noch das genaue die gleiche Sache. Wenn Endlosschrauben polymorph gehen, hat jedes Segment der Endlosschraube den neuen Code, der schnell erzeugt wird. Jedes einzelne Segment der Endlosschraube hat ein anderes Aussehen auf jedem Opfer und bildet es viel härter zu ermitteln und zu analysieren. Millionen der einzigartigen Endlosschraube Segmente werden um das Netz, alles mit der gleichen Funktionalität zerstreut.

Wir haben einige Babyschritte in Richtung zu den zutreffenden polymorphen Endlosschrauben im wilden gesehen. Im Januar 2002, filtert die Klez Endlosschraube Verbreitung über Microsoft Outlook E-mail und die eingesetzten einfachen polymorphen Techniken, die E-mail Themalinie ändernd, um E-mail Spam auszuweichen. Der Nimda E-mail Verteilung Vektor änderte auch seine vorbehaltliche Linie. Antispam Filter suchen einem Bündel nach Anzeigen mit dem gleichen Thema, das den unterschiedlichen Benutzern, ein hübsches angemessenes Zeichen von E-mail Spam geschickt wird. , nur ein kleines Stück von Klez und Nimda (die vorbehaltliche Linie und sogar die Zubehörakte Art) war polymorph, aber es war ein Anfang hinunter diese Straße zutreffend.

Zusätzlich hat ein Software-Entwickler, der K2 genannt wird, eine polymorphe Veränderungmaschine freigegeben, die ADMutate genannt wird. Dieses leistungsfähige Werkzeug wird zu den morph Puffersammelgroßtaten benutzt und könnte in eine Endlosschraube als seine morphing Maschine zum mutate alle des Codes in der Endlosschraube verbunden werden. Auch ein anderes Werkzeug benannte flexiblen polymorphen Code der Hydan Werkzeuge in hohem Grade. Klez und Nimda zeigten die Energie einer kleinen Spitze der Polymorphie in einer Endlosschraube, aber einige Angreifer besprechen die Annahme der polymorphen Maschinen, die in ADMutate und in Hydan eingeschlossen sind, um eine völlig polymorphe Endlosschraube herzustellen.

Metamorphe Endlosschrauben

Zusätzlich zum Ändern ihres Aussehens mit Polymorphie, ändern neue Endlosschrauben auch ihr Verhalten dynamisch und machen Metamorphose durch. Mit dieser Technik werden zusätzliche Angriff Fähigkeiten innerhalb der Endlosschraube verborgen. Polymorphe Techniken ändern den Code der Endlosschraube beim Halten der Funktionalität dieselben; metamorpher Code ändert wirklich die Funktionalität der Endlosschraube. Metamorphe Endlosschrauben sind wie die kleinen grünen Gleiskettenfahrzeuge, die hungrig durch das Internet verbreiten. Das Betrachten des Gleiskettenfahrzeugs selbst deckt keine Anzeige über den Schmetterling auf, der nach innen versteckt wird. Ähnlich verbreiten metamorphe Endlosschrauben schnell beim Verstecken ihrer Nutzlast mit Verdunkelung und Verschlüsselungtechniken. Nur nachdem die Endlosschraube völlig zu den enormen Anzahlen von Opfern verbritten hat, willen Sie sie aufdecken seinen versteckten Zweck. In aller Wahrscheinlichkeit ist es nicht ein Schmetterling, der herauskommt. Die Endlosschraube verdeckt ein anderes Angriff Werkzeug, wie ein heimliches, ein RootKit oder eine Tastenanschlagblockwinde.

Metamorphe Endlosschrauben helfen einem Angreifer, weil sie härterer Rück-Ingenieur sind und verteidigen folglich gegen. Wann immer eine Endlosschraube auf dem Internet freigegeben wird, erfassen Kerben der hartnäckigen Endlosschraube Geleitboote Fälle der Endlosschraube, um sie zu analysieren und seiner Verbreitung entgegenzuwirken. Viele dieser Völker arbeiten für antivirus Software-Firmen, die Filter und Verlegenheiten für die Endlosschraube freigeben, und andere sind gerade unabhängige Sicherheit Forscher. Indem man die metamorphen Techniken verwendet, kombiniert mit Polymorphie, sind diese Endlosschrauben viel härter, gegen zu verteidigen.

Wirklich Böse Endlosschrauben

Wenn Sie einen ehrlichen Blick an den Endlosschrauben nehmen, die wir in der Vergangenheit gegenübergestellt haben, sind sie wirklich verglichen ziemlich gutartiges gewesen mit, einem welchem Angreifer mit der zugehörigen Energie der Endlosschraube Techniken tun könnte. Die Mehrheit einen Endlosschraube Angriffen bis jetzt haben auf so weit und schnell fortpflanzen konzentriert, wie möglich, nicht auf eroberte Systeme wirklich zerstören. Tatsächlich haben wir ein Bündel Endlosschrauben mit ungültigen Nutzlasten gesehen. Erhalten Sie mir Unrecht nicht, zwar. Sogar die verhältnismäßig gutartigen züchtenden Endlosschrauben, die wir gesehen, haben bedeutende Beschädigung verursacht zu haben, indem wir einfach Betriebsmittel verbrauchten. Eine einfache züchtende Endlosschraube kann herauf die ganze Ihre Bandbreite, Rechnen von und sogar von Aufmerksamkeit Ihrer Computerangriff Mannschaft leicht saugen. Jedoch konnten Sachen weit schlechter sein.

Mit den superworms der nahen Zukunft, konnten wir Endlosschrauben gegenüberstellen, die ein in hohem Grade böswilliges Angriff Werkzeug innerhalb der Endlosschraube selbst verbritten. Einige Endlosschrauben verbreiten Ablehnung-von-Service Vertreter, die eine Internet-Flut gegen ein Opfer ausstoßen. Code-Rot tat gerade das, und Tendenzen zeigen an, daß die Technik viel populärer wird. Andere Endlosschrauben zerstören Akten und löschen empfindliche Daten. Einige konnten dienen als die Logikbomben, die Systeme veranlassen, nach einem bestimmten Zeitrahmen oder auf dem Befehl des Angreifers zusammenzustoßen und viele Maschinen sperren. Endlosschrauben konnten die Daten auch stehlen und durch die Systeme kämmen, die Akten gekennzeichnetem "Geheimnis" oder "nach Eigentümer" zur E-mail zurück zu dem Angreifer suchen. Werden Sie zu den Endlosschrauben mit weit böseren Absichten fertig.

dieses ist ein Artikel, der von Sean Kazen hinzugefügt wird


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions