Le Prochain Superworms
Les vers malveillants évoluent rapidement, augmentant leurs capacités d'écarter et endommager. Nous avons récemment vu les innovations principales en technologie de ver, avec de plus nouveaux vers écartant plus avec malveillance et efficacement que jamais, avec les ogives optimisées, visant des algorithmes de choix, et des mécanismes de propagation. Au-dessus du bout plusieurs années, quelqu'un a lâché un nouveau ver tous les deux à six mois avec une torsion évolutionnaire supplémentaire pour confondre nos défenses. Au we're de taux allant, nous ferons face bientôt aux prétendus superworms qui pourraient potentiellement neutraliser l'Internet ou autrement assouvir le ravage sérieux. Bien qu'après des vers ai été mauvais, je crois fortement que nous ferons face à un futur qui est bien plus wormier. Analysons quelques tendances récentes dans les vers de voir où ces bêtes sont dirigées. Basé sur les livres blancs, les présentations publiques aux conférences d'intrus, et les discussions face à face sans cérémonie que j'ai eues avec des réalisateurs de ver, nous doivent être prêtes pour des vers avec une variété de caractéristiques destructives, y compris le multiplatform, multiexploit, zéro-jour, rapide-propagation, polymorphe, métamorphique, les vers véritablement méchants. Bien que ces limites pourraient ressembler à d'baragouin-enorme technique vous maintenant, nous analyserons chacune de ces caractéristiques en plus détail pour obtenir un sentir pour contre ce que nous pourrions bientôt être vers le haut. En outre, pas anormal dehors et le souci que nous inclinerons outre des mauvais types sur la façon dont améliorer leurs vers. Malheureusement, beaucoup de lotisseurs de ver savent déjà toutes les techniques que nous discuterons. Les divers composants de code sont librement disponibles pour le téléchargement, y compris quelques extraits intéressants de code libérés par Michal Zalewski en 2003. Les mauvais types sont prêts pour lâcher ces choses ; nous devons les comprendre ainsi nous pouvons être disposés. Vers De MultiplatformLa plupart des vers attaquent habituellement seulement un type de logiciel d'exploitation par ver, exigeant des administrateurs de déployer des pièces rapportées à un type simple de système pour mettre en application les défenses appropriées. Dans un proche avenir, les superworms exploiteront les types multiples de logiciel d'exploitation, y compris Windows, Linux, Solaris, schéma, et d'autres, tout enveloppés vers le haut dans une ogive simple. Plus le vieux, vers de simple-plateforme a exigé appliquer une pièce rapportée à un type simple de logiciel d'exploitation, quelque chose que les administrateurs font de façon régulière de toute façon. Défendre contre les vers sinistres de multiplatform exigera beaucoup plus de travail et de coordination, car nous devrons appliquer des pièces rapportées dans tous nos environnements à toutes sortes de logiciels d'exploitation. Pensez cela : Au lieu de raccorder juste toutes les installations d'un type de logiciel d'exploitation dans votre environnement, vous devrez raccorder tous vos systèmes, indépendamment du type de logiciel d'exploitation. Avec le besoin de coordination supplémentaire parmi de divers types de système, notre réponse sera considérablement ralentie, permettant au ver d'endommager bien plus. Bien qu'ils ne soient pas traditionnels (encore), nous avons déjà vu un nombre restreint de vers de multiplatform libérés contre l'Internet. En mai 2001, le ver de Sadmind/IIS a répandu par l'Internet, visant le soleil Solaris et Microsoft Windows. Car son nom implique, ce ver a exploité le service de sadmind employé pour coordonner l'administration à distance des machines de Solaris. De ces machines de victime, le ver s'est écarté au serveur de Web de l'IIS de Microsoft, où il a écarté plus loin à d'autres machines de Solaris, continuant le cycle. Vers De MultiexploitPlusieurs des vers que nous avons vus dans le passé étaient un-ont frappé des merveilles, exploitant seulement une vulnérabilité simple dans un système et puis se écartant à de nouvelles victimes. Quelques plus nouveaux vers pénètrent des systèmes des manières multiples, employant troue dans un grand nombre d'applications réseau-basées tout roulées dans un ver. Un ver simple pourrait pouvoir exploiter 5, 20, vulnérabilités ou plus, tout enveloppées dans une ogive horrible. Avec plus de vulnérabilités à exploiter, ces vers écarteront plus avec succès et rapidement. Même si un système a été raccordé contre certains des différents trous, un ver de multiexploit pourra toujours le reprendre en exploitant encore une autre vulnérabilité. Jusqu'ici, le ver de multiexploit le plus réussi que nous avons vu était Nimda, qui, selon la façon dont vous comptez, pourrait se écarter aux systèmes des manières une douzaine différentes. Vers D'Exploit De Zéro-JourUn autre aspect des prochains superworms traite la fraîcheur des vulnérabilités qu'ils exploitent. Les vers que nous avons vus dans le sauvage jusqu'ici ont la plupart du temps utilisé des vulnérabilités déjà-connues pour attaquer des systèmes. Les vers comme le rouge et le Nimda tous de code ont écarté en utilisant le débordement d'amortisseur et d'autres exploits ce qui ont été découverts des mois avant que le ver ait été libéré. Tandis que ces vers ravargeaient des systèmes sur l'Internet, nous avons déjà su les vulnérabilités qu'ils ont exploitées, et les fournisseurs avaient déjà libéré des mois de pièces rapportées à l'avance. Naturellement, parce que trop peu de personnes appliquent des pièces rapportées sur une base opportune, les vers faisaient toujours leurs dommages. Cependant, en utilisant des exploits plus anciennes disponibles immédiatement, ces vers ont été rapidement analysés et apprivoisés par les équipes diligentes de sécurité. Les pièces rapportées étaient aisément disponibles pour le téléchargement à travers l'Internet pour arrêter ces vers. Nous ne serons pas si chanceux à l'avenir. De plus nouveaux vers se casseront probablement en systèmes en utilisant de prétendues exploits d'"zéro-jour", appelées parce qu'ils sont nouveaux, disponible au public pendant les jours avec précision zéro. Avec un ver écartant en utilisant une exploit de zéro-jour, aucune pièce rapportée ne sera encore disponible. La communauté de sécurité de l'information aura besoin de plus d'heure de comprendre comment le ver écarte. La première fois que nous verrons que le code d'exploit utilisé dans ces vers sera quand ils compromettent des centaines de milliers ou même millions de systèmes, pas une pensée gaie. Vers DePropagationLes vers, par leur nature même, essayent d'écarter rapidement. Un exemple d'un ver est employé pour balayer pour les nouvelles victimes, pour lesquelles, une fois conquis, balayage pourtant plus de cibles. Les vers donc écartent souvent sur une base exponentielle, avec le nombre de systèmes compromis avec le temps ressemblant à une forme de bâton d'hockey. Cependant, beaucoup de vers que nous avons luttés jusqu'ici sont assez inefficaces pendant leur diffusion initiale. Pendant le lancement initial d'un ver, la diffusion commence dehors lentement. Le ver gagne graduellement la vitesse pendant qu'elle relève la courbe exponentielle. Il pourrait prendre beaucoup d'heures ou même jours pour que le ver atteigne l'"genou" dans la courbe avant que des nombres sérieux des machines de victime soient conquis. En août 2001, deux papiers ont semblé décrivants de nouvelles techniques pour maximiser la vitesse à laquelle diffusion de vers. Chaque papier a présenté un modèle mathématique pour le développement des techniques hyperefficient de distribution de ver. Heureusement, aucun code n'a été inclus avec les articles, bien qu'écrivant le logiciel basé sur ces idées est franc pour même un réalisateur modérément habile de logiciel. Le premier papier, par Nicholas C. Weaver, a posé en principe un ver de Warhol, qui pourrait conquérir 99% de systèmes vulnérables sur l'Internet dans un délai de 15 minutes. Cette tranche de temps a provoqué le nom du ver, basé sur l'artiste de bruit 15 minutes où d'Andy Warhol de renommée raillent. En 1968, Andy Warhol célèbre dit, "à l'avenir, chacun sera célèbre pendant 15 minutes." Ironiquement, à temps, Warhol s'est développé fatigué de sa énonciation plus célèbre, obtenant de plus en plus gêné à sa utilisation répétée par les médias, réfléchissant sur la propre capacité des médias de rendre des personnes rapidement mais temporairement célèbres. Ne pas être surpassé, le deuxième papier a suivi étroitement sur les talons du premier et a présenté une légère amélioration de la technique de base de ver de Warhol. Cet deuxième article, par Staniford, sinistre, et Jonkman, a posé en principe un prétendu ver instantané qui pourrait atteindre la domination de l'Internet en moins 30 secondes. Bien que les maths pourraient montrer ceci pour être théoriquement vraies, je crois que les problèmes dans l'Internet rapporteront une disparité entre la théorie et la réalité. Mon pari est cela qui emploie des techniques de Warhol/Flash, un ver pourrait soumettre l'Internet dans environ une heure, élasticité ou prendre 15 minutes. C'est à peine une armature de temps de stabilisation. Pour employer la technique de Warhol/Flash, pré-balayages d'un attaquant l'Internet d'un système fixe recherchant les machines qui sont vulnérables au code d'exploit qui plus tard sera chargé dans l'ogive du ver. L'attaquant localise des milliers ou des dizaines de milliers de systèmes vulnérables, sans les exploiter ou les reprendre. En utilisant une liste des adresses de ces machines vulnérables dispersées dans le monde entier, l'attaquant préprogramme le ver avec son premier ensemble de victimes. Le ver est alors lâché sur ces systèmes vulnérables connus avec la largeur de bande élevée la plus proche de la dorsale. Plutôt qu'aléatoirement choisissant des adresses pour balayer, les jeunes, ver nouvellement présenté peuvent immédiatement peupler les systèmes prescanned déjà pour la vulnérabilité. Le ver infecte cet premier ensemble de victimes, puis fractionne la liste restante de milliers de prescanned, les cibles vulnérables. Les divers segments du ver original que chacun attaque alors leur part du restant prescanned des cibles. Pendant la diffusion initiale, aucune heure n'est perdue en choisissant ou en balayant de nouvelles cibles. La phase prescanning de l'attaquant a déjà identifié ces cibles, ainsi le ver peut simplement conquérir et propager à elles. Après que tous prescanned des cibles sont compromises, les débuts de ver pour balayer et se écarter à la population générale. En compromettant au commencement des milliers de juteux, prescanned des cibles, le ver de Warhol/Flash saute essentiellement vers le haut du bâton d'hockey de la croissance exponentielle, de sorte que seulement temps relativement peu de soit exigé avant que la domination totale soit réalisée. Vers PolymorphesDes auteurs de ver ne veulent pas leurs créations malveillantes pour être détectés, analysés, et filtrés tandis qu'ils écartent. Dans la plupart des réseaux, les systèmes de détection d'intrusion (IDSs) peuvent identifier des vers et d'autres attaques et alerter les bons types, fonctionnant comme des alarmes de cambrioleur d'ordinateur. Aujourd'hui, la plupart des outils réseau-basés d'identifications ont une base de données des signatures connues d'attaque. Les identifications sondent le trafic de réseau de rassemblements et le comparent contre les signatures connues d'attaque pour déterminer si le trafic est malveillant. Les outils d'aujourd'hui d'identifications identifient très facilement les vers traditionnels, qui utilisent le code commun d'exploit avec les signatures aisément disponibles. En plus, les bons types decombat peuvent capturer les vers pendant leur diffusion, et l'renversé-ingénieur le logiciel malveillant pour créer les meilleures défenses comprenant des filtres. Pour éluder la détection, l'analyse de renversé-technologie de clinquant, et obtenir après des filtres, les réalisateurs de ver emploient de plus en plus des techniques polymorphes de codage dans les vers. Les programmes polymorphes changent dynamiquement leur aspect chaque fois que ils fonctionnent en brouillant leur code de logiciel. Bien que le nouveau logiciel lui-même se compose des instructions entièrement différentes, le code a toujours l'exact la même fonction. Avec le polymorphisme, seulement l'aspect n'est changé, pas la fonction du code. Du ver de la charge utile de volonté le morph automatiquement le ver entier dans différentes versions de mutant de sorte qu'il n'assortisse plus des signatures de détection, mais lui fait toujours l'exact la même chose. Quand les vers vont polymorphes, chaque segment du ver aura le nouveau code produit en marche. Chaque segment individuel du ver aura un aspect différent sur chaque victime, le rendant beaucoup plus dur pour détecter et analyser. Des millions de segments uniques de ver seront dispersés autour du réseau, tout avec la même fonctionnalité. Nous avons vu quelques étapes de bébé vers de véritables vers polymorphes dans le sauvage. En janvier 2002, la diffusion de ver de Klez par l'intermédiaire du E-mail de Microsoft Outlook et les techniques polymorphes simples utilisées, changeant la ligne de sujet de E-mail, pour éluder le Spam de E-mail filtre. Le vecteur de distribution de E-mail de Nimda a également changé sa ligne soumise. Les filtres d'Antispam recherchent un groupe de messages avec le même sujet envoyé à différents utilisateurs, un joli signe raisonnable de Spam de E-mail. Vrais, seulement un petit morceau de Klez et Nimda (la ligne soumise et même le type de dossier d'attachement) était polymorphe, mais lui était un début en bas de cette route. En plus, un réalisateur de logiciel appelé K2 a libéré un moteur polymorphe de mutation appelé ADMutate. Cet outil puissant est utilisé aux exploits de débordement d'amortisseur de morph, et pourrait être incorporé à un ver en tant que son moteur morphing pour subir une mutation tout le code dans le ver. En outre, un autre outil a appelé le code polymorphe fortement flexible d'instruments de Hydan. Klez et Nimda ont démontré la puissance d'un peu minuscule de polymorphisme dans un ver, mais plusieurs attaquants discutent l'adoption des moteurs polymorphes inclus dans ADMutate et Hydan pour créer un ver entièrement polymorphe. Vers MétamorphiquesEn plus de changer leur aspect en utilisant le polymorphisme, les nouveaux vers changeront également leur comportement dynamiquement, subissant la métamorphose. En utilisant cette technique, des possibilités additionnelles d'attaque sont cachées à l'intérieur du ver. Les techniques polymorphes changent le code du ver tout en gardant la fonctionnalité les mêmes ; le code métamorphique change réellement la fonctionnalité du ver. Les vers métamorphiques sont comme de petits tracteurs à chenilles verts écartant voracement par l'Internet. Regarder le tracteur à chenilles lui-même n'indique aucune indication du papillon caché à l'intérieur. De même, les vers métamorphiques écarteront rapidement tout en cachant leur charge utile en utilisant des techniques d'obscurcissement et de chiffrage. Seulement après que le ver s'est entièrement écarté à d'énormes nombres des victimes voulez-l'indiquent son but caché. Dans toute la probabilité, ce ne sera pas un papillon qui sort. Le ver masquera un autre outil d'attaque, tel qu'un secret, un RootKit, ou un enregistreur de frappe. Les vers métamorphiques aident un attaquant parce qu'ils sont un renversé-ingénieur plus dur et le défendent donc contre. Toutes les fois qu'un ver est libéré sur l'Internet, une masse de chasseurs conservateurs de ver recueille des exemples du ver pour l'analyser et pour contrecarrer sa diffusion. Plusieurs de ces gens travaillent pour les compagnies de logiciel d'antivirus qui libèrent des filtres et des difficultés pour le ver, et d'autres sont juste les chercheurs indépendants de sécurité. En employant des techniques métamorphiques, combinées avec le polymorphisme, il est beaucoup plus difficile de défendre ces vers contre. Vers Véritablement MéchantsSi vous jetez un coup d'oeil honnête aux vers que nous avons faits face dans le passé, ils vraiment ont été assez bénins comparés à quel attaquant pourrait faire avec la puissance inhérente des techniques de ver. La majorité d'attaques de ver jusqu'ici se sont concentrées sur propager aussi largement et rapidement comme possible, pas sur détruire réellement les systèmes conquis. En fait, nous avons vu un groupe de vers avec les charges utiles nulles. Ne m'obtenez pas le mal, cependant. Même les vers de multiplication relativement bénins que nous avons vu pour avoir endommagé significatif en consommant simplement des ressources. Un ver de multiplication simple peut facilement sucer vers le haut de toutes votre largeur de bande, puissance de calcul, et même attention de votre équipe d'attaque d'ordinateur. Cependant, les choses ont pu être bien plus mauvaises. Avec les superworms du futur proche, nous pourrions faire face aux vers qui ont répandu un outil fortement malveillant d'attaque à l'intérieur de du ver lui-même. Quelques vers écarteront les agents de démenti-de-service qui lancent une inondation d'Internet contre une victime. Le rouge de code a fait juste cela, et les tendances indiquent que la technique deviendra beaucoup plus populaire. D'autres vers détruiront des dossiers et supprimeront des données sensibles. Certains ont pu agir en tant que des bombes de logique faisant briser des systèmes après une certaine tranche de temps ou sur la commande de l'attaquant, neutralisant un grand nombre de machines. Les vers ont pu également voler des données, peignant par des systèmes recherchant l'"secret" marqué par dossiers ou l'"classe des propriétaires" au E-mail de nouveau à l'attaquant. Soyez prêt pour des vers avec des intentions bien plus méchantes. c'est un article supplémentaire par Sean Kazen
|
|||||
|