O Superworms De Vinda
Os sem-fins maliciosos estão evoluindo rapidamente, aumentando suas abilidades de espalhar e causar os danos. Nós temos visto recentemente inovações principais na tecnologia do sem-fim, com os sem-fins mais novos que espalham mais maliciosa e eficientemente do que sempre, com warheads optimized, alvejando algoritmos da seleção, e mecanismos da propagação. Sobre o último diversos anos, alguém desencadearam um sem-fim novo cada dois a seis meses com uma torção evolucionária extra para confundir nossas defesas. Na taxa nós estamos indo, nós logo estaremos enfrentando os superworms so-called que poderiam potencial incapacitar o havoc sério do Internet ou de outra maneira do wreak. Embora após sem-fins fui mau, eu acredito fortemente que nós enfrentaremos um futuro que fosse distante mais wormier. Deixe-nos analisar algumas tendências recentes nos sem-fins ver onde estas bestas são dirigidas. Baseado nos papéis brancos, as apresentações em conferências do hacker, e informais públicos um--um em discussões que eu tive com colaboradores do sem-fim, nós necessitam começar prontos para sem-fins com uma variedade de características destrutivas, including o multiplatform, multiexploit, zero-dia, rápido-espalhar, polymorphic, metamorphic, sem-fins verdadeiramente nasty. Embora estes termos possam soar como mumbo-mumbo-jumbo técnico a você agora, nós analisaremos cada uma destas características mais detalhadamente para começar uma sensação para o que nós pudemos logo estar acima de encontro. Também, não freak para fora e a preocupação que nós derrubaremos fora dos guys maus em como melhorar seus sem-fins. Infelizmente, muitos colaboradores do sem-fim sabem já sobre todas as técnicas que nós discutiremos. Os vários componentes do código estão livremente disponíveis para o download, including alguns snippets interessantes do código liberados por Michal Zalewski em 2003. Os guys maus estão começando prontos para desencadear estas coisas; nós necessitamos compreendê-los assim que nós podemos ser preparados. Sem-fins De MultiplatformA maioria de sem-fins atacam geralmente somente um tipo de sistema operando-se por o sem-fim, requerendo administradores desdobrar remendos a um único tipo de sistema para executar defesas apropriadas. No futuro próximo, os superworms explorarão tipos múltiplos do sistema operando-se, including Windows, Linux, Solaris, DEB, e outro, envolvidos toda acima em um único warhead. Os mais velhos, sem-fins da único-plataforma requereram aplicar um remendo a um único tipo de sistema operando-se, algo que os administradores fazem em uma base regular de qualquer maneira. Defender de encontro aos sem-fins sinister do multiplatform requererá muito mais trabalho e coordenação, porque nós teremos que aplicar remendos durante todo nossos ambientes a todos os tipos de sistemas se operando. Pense sobre ele: Em vez apenas de remendar todas as instalações de um tipo de sistema operando-se em seu ambiente, você necessitará remendar todos seus sistemas, não obstante o tipo do sistema operando-se. Com a necessidade para a coordenação adicionada entre vários tipos do sistema, nossa resposta será retardada extremamente para baixo, permitindo que o sem-fim cause distante mais danos. Embora não sejam mainstream (ainda), nós temos visto já um número pequeno dos sem-fins do multiplatform liberados de encontro ao Internet. Em maio 2001, o sem-fim de Sadmind/IIS cresceu rapidamente através do Internet, alvejando o sol Solaris e Microsoft Windows. Porque seu nome implica, este sem-fim explorou o serviço do sadmind usado coordenar a administração remota de máquinas de Solaris. Destas máquinas da vítima, o sem-fim espalhou ao web server de IIS de Microsoft, onde espalhou mais mais a outras máquinas de Solaris, continuando o ciclo. Sem-fins De MultiexploitMuitos dos sem-fins que nós vimos no passado eram um-bateram as maravilhas, explorando somente um único vulnerability em um sistema e espalhando então às vítimas novas. Alguns sem-fins mais novos penetram sistemas nas maneiras múltiplas, usando-se furam em um grande número aplicações rede-baseadas roladas toda em um sem-fim. Um único sem-fim pôde poder explorar 5, 20, ou mesmo mais vulnerabilities, envolvidos toda em um warhead dastardly. Com mais vulnerabilities a explorar, estes sem-fins espalharão mais com sucesso e ràpidamente. Mesmo se um sistema foi remendado de encontro a alguns dos furos individuais, um sem-fim do multiexploit poderá ainda fazer exame sobre d explorar contudo por um outro vulnerability. Para datar, o sem-fim que o mais bem sucedido do multiexploit nós vimos era Nimda, que, dependendo de como você conta, poderia espalhar aos sistemas nas maneiras uma dúzia diferentes. Sem-fins Da Façanha De Zero-DiaUm outro aspecto dos superworms de vinda trata do frescor dos vulnerabilities que exploram. Os sem-fins que nós vimos no selvagem assim distante utilizaram na maior parte vulnerabilities já-sabidos para atacar sistemas. Os sem-fins como o vermelho do código e o Nimda todos espalharam usando o excesso do amortecedor e as outras façanhas que foram descobertos meses antes que o sem-fim estêve liberado. Quando estes sem-fins ravaging sistemas no Internet, nós soubemos já sobre os vulnerabilities que exploraram, e os vendedores tinham liberado já meses dos remendos adiantado. Naturalmente, porque demasiado poucos povos aplicam remendos em uma base oportuna, os sem-fins fizeram ainda seus danos. Entretanto, usando façanhas mais velhas off-the-shelf, estes sem-fins ràpidamente foram analisados e domesticados por equipes diligent da segurança. Os remendos estavam prontamente disponíveis para o download através do Internet para parar estes sem-fins. Nós não seremos assim afortunados no futuro. Uns sem-fins mais novos quebrarão provavelmente em sistemas usando as façanhas so-called de "zero-dia", nomeadas porque são brandnew, disponível ao público por os dias precisamente zero. Com um sem-fim que espalha usando uma façanha de zero-dia, nenhum remendo estará ainda disponível. A comunidade da segurança da informação requererá mais hora de compreender como o sem-fim espalha. A primeira vez que nós veremos que o código da façanha usado nestes sem-fins será quando comprometerem centenas dos milhares ou mesmo dos milhões dos sistemas, não um pensamento cheery. Sem-fins Rápido-EspalhandoOs sem-fins, por sua natureza very, tentam espalhar rapidamente. Um exemplo de um sem-fim é usado fazer a varredura para as vítimas novas, que, quando conquistado, varredura para contudo mais alvos. Os sem-fins conseqüentemente espalham frequentemente em uma base exponencial, com o número dos sistemas comprometidos sobre o tempo que assemelha-se a uma forma da vara do hockey. Entretanto, muitos sem-fins que nós battled para datar são consideravelmente inefficient durante sua propagação inicial. Durante o lançamento inicial de um sem-fim, a propagação começa para fora lentamente. O sem-fim ganha gradualmente a velocidade enquanto move para cima a curva exponencial. Poderia fazer exame de muitos horas ou mesmo dias para que o sem-fim alcance o "joelho" na curva antes que os números sérios de máquinas da vítima estejam conquistados. Em agosto 2001, dois papéis pareceram de descrição técnicas novas para maximize a velocidade em que propagação dos sem-fins. Cada papel apresentou um modelo matemático para o desenvolvimento de técnicas hyperefficient da distribuição do sem-fim. Feliz, nenhum código foi incluído com os papéis, embora escrevendo o software baseado nestas idéias é direto para uniforme um colaborador moderada hábil do software. O primeiro papel, por Nicholas C. Weaver, posited um sem-fim de Warhol, que poderia conquistar 99% de sistemas vulneráveis no Internet dentro de 15 minutos. Este frame de tempo deu a ascensão ao nome do sem-fim, baseado no artista que do PNF 15 minutos de Andy Warhol da fama quip. Em 1968, Andy Warhol dito famosa, "no futuro, todos será famoso por 15 minutos." Ironically, a tempo, Warhol cresceu tired de seu provérbio mais famoso, começando irritado cada vez mais em seu uso repetido pelos meios, refletindo em própria abilidade dos meios de fazer povos ràpidamente mas temporariamente famosos. Para não outdone, o segundo papel seguido pròxima nos saltos do primeiros e para não ser apresentado uma melhoria ligeira da técnica básica do sem-fim de Warhol. Este segundo papel, por Staniford, grim, e por Jonkman, posited um sem-fim flash so-called que poderia alcançar o domination do Internet menos em 30 segundos. Embora o math possa mostrar este para ser teòrica verdadeiro, eu acredito que os pulsos aleatórios no Internet renderão um disparity entre a teoria e a realidade. Minha aposta é aquela que usa técnicas de Warhol/Flash, um sem-fim poderia subdue o Internet aproximadamente em uma hora, elasticidade ou fazer exame de 15 minutos. Este é mal um frame de tempo estabelecindo-se. Para usar a técnica de Warhol/Flash, pré-varreduras de um atacante o Internet de um sistema fixo que procura as máquinas que são vulneráveis ao código da façanha que será carregado mais tarde no warhead do sem-fim. O atacante encontra milhares ou dez dos milhares de sistemas vulneráveis, sem explorá-los ou fazer exame d sobre. Usando uma lista dos endereços destas máquinas vulneráveis dispersadas durante todo o mundo, o atacante preprograms o sem-fim com seu primeiro jogo das vítimas. O sem-fim desencadeia-se então naqueles sistemas vulneráveis sabidos com a largura de faixa elevada a mais próxima à espinha dorsal de Internet. Melhor que aleatòria selecionando endereços para fazer a varredura, os jovens, sem-fim recentemente introduzido podem imediatamente povoar os sistemas prescanned já para o vulnerability. O sem-fim infects este primeiro jogo das vítimas, a seguir racha-o acima da lista restante dos milhares de prescanned, alvos vulneráveis. Os vários segmentos do sem-fim que original cada um ataca então sua parte do restante prescanned alvos. Durante a propagação inicial, nenhuma hora é desperdiçada em selecionar ou em fazer a varredura de alvos novos. A fase prescanning do atacante tem identificado já estes alvos, assim que o sem-fim pode simplesmente conquistar-lhes e propagar. Depois que todos prescanned os alvos são comprometidos, os começos do sem-fim para fazer a varredura e espalhar à população geral. Inicialmente comprometendo milhares de suculento, prescanned alvos, o sem-fim de Warhol/Flash salta essencialmente acima da vara do hockey do crescimento exponencial, de modo que somente uma estadia relativamente curta fosse requerida antes que o domination total esteja conseguido. Sem-fins PolymorphicOs escritores do sem-fim não querem suas criações maliciosas ser detectados, analisado, e filtrado quando espalharem. Em a maioria de redes, os sistemas da deteção do intrusion (IDSs) podem identificar sem-fins e outros ataques e alertar os guys bons, funcionando como alarmes de assaltante do computador. Hoje, a maioria de ferramentas rede-baseadas dos IDS têm uma base de dados de assinaturas sabidas do ataque. Os IDS sondam o tráfego da rede dos recolhimentos e comparam-no de encontro às assinaturas sabidas do ataque para determinar se o tráfego for malicioso. As ferramentas de hoje dos IDS identificam muito fàcilmente os sem-fins tradicionais, que utilizam o código comum da façanha com as assinaturas prontamente disponíveis. Adicionalmente, os guys bons sem-fim-de combate podem capturar sem-fins durante sua propagação, e reverso-coordenador o software malicioso para criar defesas melhores including filtros. Para evade a deteção, a análise da reverso-engenharia da folha, e para começá-los após filtros, os colaboradores do sem-fim estão usando cada vez mais técnicas polymorphic do coding nos sem-fins. Os programas polymorphic mudam dinâmicamente sua aparência cada vez que funcionam scrambling seu código do software. Embora o software novo próprio seja composto de instruções inteiramente diferentes, o código tem ainda o exato a mesma função. Com polymorphism, somente a aparência é alterada, não a função do código. Do sem-fim do payload da vontade o morph automaticamente o sem-fim inteiro em versões diferentes do mutant de modo que nenhumas assinaturas mais longas da deteção dos fósforos, mas faça ainda o exato a mesma coisa. Quando os sem-fins vão polymorphic, cada segmento do sem-fim terá o código novo gerado na mosca. Cada segmento individual do sem-fim terá uma aparência diferente em cada vítima, fazendo a muito mais dura detectar e analisar. Os milhões de segmentos originais do sem-fim serão dispersados em torno da rede, tudo com a mesma funcionalidade. Nós vimos algumas etapas do bebê para sem-fins polymorphic verdadeiros no selvagem. Em janeiro 2002, a propagação do sem-fim de Klez através do E-mail do outlook de Microsoft e as técnicas polymorphic simples empregadas, mudando a linha do assunto do E-mail, para evade o Spam do E-mail filtram. O vetor da distribuição do E-mail de Nimda alterou também sua linha sujeita. Os filtros de Antispam procuram um grupo das mensagens com o mesmo assunto emitido aos usuários diferentes, um sinal razoável bonito do Spam do E-mail. Verdadeiros, somente uma parte pequena de Klez e Nimda (a linha sujeita e mesmo o tipo da lima do acessório) era polymorphic, mas era um começo abaixo esta estrada. Adicionalmente, um colaborador do software nomeado K2 liberou um motor polymorphic do mutation nomeado ADMutate. Esta ferramenta poderosa é usada às façanhas do excesso do amortecedor do morph, e poderia ser incorporada todo em um sem-fim como seu motor morphing ao mutate do código no sem-fim. Também, uma outra ferramenta chamou o código polymorphic altamente flexível dos instrumentos de Hydan. Klez e Nimda demonstraram o poder de um bocado minúsculo do polymorphism em um sem-fim, mas diversos atacantes estão discutindo o adoption dos motores polymorphic incluídos em ADMutate e em Hydan para criar um sem-fim inteiramente polymorphic. Sem-fins MetamorphicAlém a mudar sua aparência usando o polymorphism, os sem-fins novos mudarão também seu comportamento dinâmicamente, submetendo-se ao metamorphosis. Usando esta técnica, as potencialidades adicionais do ataque são escondidas dentro do sem-fim. As técnicas polymorphic mudam o código do sem-fim ao manter a funcionalidade o mesmos; o código metamorphic muda realmente a funcionalidade do sem-fim. Os sem-fins metamorphic são como as lagartas verdes pequenas que espalham com fome através do Internet. Olhar a lagarta própria não revela nenhuma indicação da borboleta escondida para dentro. Similarmente, os sem-fins metamorphic espalharão ràpidamente ao esconder seu payload usando técnicas do obfuscation e do encryption. Somente depois que o sem-fim espalhou inteiramente aos números enormes das vítimas queira-o revelam sua finalidade escondida. Em toda a probabilidade, não será uma borboleta que saia. O sem-fim mascarará uma outra ferramenta do ataque, tal como um backdoor, um RootKit, ou um logger do keystroke. Os sem-fins metamorphic ajudam a um atacante porque são um reverso-coordenador mais duro e defendem-no conseqüentemente de encontro. Sempre que um sem-fim é liberado no Internet, as contagens de caçadores die-hard do sem-fim recolhem exemplos do sem-fim para analisá-lo e neutralizar sua propagação. Muitos destes povos trabalham para as companhias do software do antivirus que liberam filtros e reparos para o sem-fim, e outros são apenas investigadores independentes da segurança. Usando as técnicas metamorphic, combinadas com o polymorphism, estes sem-fins são muito mais duros de defender de encontro. Sem-fins Verdadeiramente NastySe você fizer exame de um olhar honesto nos sem-fins que nós enfrentamos no passado, realmente foram razoavelmente benignos comparados a que atacante poderia fazer com o poder inerente de técnicas do sem-fim. A maioria de ataques do sem-fim assim distante focalizou em propagar tão extensamente e rapidamente como possível, não realmente em destruir sistemas conquistados. No fato, nós vimos um grupo dos sem-fins com payloads nulos. Não me comece o erro, though. Mesmo os sem-fins que produzindo relativamente benignos nós vimos para ter causado os danos significativos simplesmente consumindo recursos. Um sem-fim produzindo simples pode fàcilmente sugar acima de toda seu poder da largura de faixa, computar, e mesmo atenção de sua equipe do ataque do computador. Entretanto, as coisas podiam ser distante mais más. Com os superworms do futuro próximo, nós pudemos enfrentar os sem-fins que espalharam uma ferramenta altamente maliciosa dentro do sem-fim própria do ataque. Alguns sem-fins espalharão os agentes do negação-$$$-SERVIÇO que lançam uma inundação do Internet de encontro a uma vítima. O vermelho do código fêz apenas aquele, e as tendências indicam que a técnica se tornará muito mais popular. Outros sem-fins destruirão limas e suprimirão dados sensíveis. Alguns podiam agir porque as bombas da lógica que fazem com que os sistemas deixem de funcionar após um determinado frame de tempo ou no comando do atacante, incapacitando um grande número máquinas. Os sem-fins podiam também roubar os dados, combing através dos sistemas que procuram o "segredo marcado limas" ou o "proprietário" à parte traseira do E-mail ao atacante. Comece pronto para sem-fins com intenções distante mais nastier. este é um artigo adicionado por Sean Kazen
|
|||||
|