가 오는 superworms

Share

|

악성 웜은 빠르게 변화, 그들의 능력을 증대를 확산 및 피해입니다. 저희는 최근 보아 주요 혁신에 웜 기술을 사용하여 최신 웜 확산 어느 때보다 더 많은 악의하고 효율적으로 최적화된 탄두를 타겟팅 선택 알고리즘, 및 전파 메커니즘입니다. 지난 몇 년 동안, 다른 사람이 unleashed 새로운 웜 매 2~6개월으로 여분의 진화 twist를 confound 우리의 방어합니다. 의 속도 보겠습니다, 우리들이 곧 직면하고있어 -라고 불리는 superworms 이어질가 능성이있는 인터넷이나 그렇지 않은 타격 심각한 충격파를 해제합니다. 과거 웜이 좋지 않지만, 나는 얼굴을 강하게 믿는 우리는 미래의 그것은 멀리 wormier.

일부 최근의 동향을 분석하는 봅시다 벌레를 볼 여기서 이러한 짐승들이 향했다. 를 기반 백서, 공개 프레 젠 테이션을 언제 해커 회의, 비공식 중 - 일 - 한 논의했습니다와 함께 있었다 웜 개발자는, 우리가 필요로받을 준비가 웜과 함께하는 다양한 파괴적 특성을 비롯한 다중 플랫폼을 multiexploit, 제로 - 데이, 패스트 - 확산, 소드, 있음을 진정 싸 웜. 이러한 용어 수도 있지만 소음과 같은 기술적 mumbo - 점보를 이제, 우리는 이러한 각각의 특성을 분석하는 것입니다에 대한 자세한 내용을 받으려면 느낌에 대해 곧 우리가 할 수도있습니다 최대 반대합니다. 또한, 전도사 명을 걱정할 필요가 없다는 것입니다 팁 해제를 나쁜 애들을 향상시키는 방법에 대한 자신의 웜. 유감스럽게도, 많은 웜 개발자는 이미 알고있는 모든 기법에 대해 논의할 것입니다. 다양한 코드가 구성 요소가 자유롭게 사용할 수있는 다운로드를 비롯한 몇가 지 재미있는 코드 조각 발표한 michal zalewski은 2003입니다. 에서 나쁜 애들은 준비하여 드릴것을 약속 이러한 것들; 우리가 그들을 이해하기 위해서는 준비가 필요합니다.

다중 플랫폼 웜

대부분의 웜 공격을 단 한 종류의 운영 체제를 당 보통 웜, 필요로하는 관리자를 배포하는 패치를 단일 유형의 시스템을 구현할 적절한 방어합니다. 앞으로 superworms이 악용 여러 개의 운영 체제 유형을 포함 창을 리눅스, solaris, bsd, 그리고 다른 사람, 모든 마무리를 단일 탄두를합니다. 기성, 단일 - 플랫폼 웜 필수 적용하는 패치를 단일 종류의 운영 체제, 당신이 관리자가 작업을 정기적 어쨌든.

사악한과의 방위 훨씬 더 많은 작업을 조정 다중 플랫폼 웜이 필요로 패치를 적용하도록하겠습니다 내내 우리의 환경을 모든 종류의 운영 체제입니다. 생각해 보라 : 대신 패치를 모두 설치의 한 종류의 운영 체제 사용자 환경에서 패치를해야합니다 귀하의 모든 시스템과 상관없이 운영 체제를 입력합니다. 과 함께 다양한 시스템을 유형들 사이의 필요성을들 공조, 우리의 반응이 크게 둔화를 허용하고 웜으로 인해 훨씬 더 많은 피해를합니다.

비록 그들이 주류 (아직), 우리가 이미 보아 작은 규모의 다중 플랫폼 벌레를 상대로 인터넷을 출시합니다. 2001 년 5 월, sadmind / iis 웜 막상 인터넷을 통해, 타겟팅 태양 solaris와 microsoft windows. 으로 그 이름이 암시,이 웜에 악용가 sadmind 서비스를 사용하여 좌표 원격 관리의 solaris 기계입니다. 이러한 피해자 기계, 웜 확산을 마이크로 소프트의 iis 웹 서버, 여기서이 확산 추가 다른 solaris 기계, 계속적인 순환합니다.

multiexploit 웜

대부분의 웜 우리가 과거에 보았던들은 한 - 히트 기이한, 단지 하나의 보안 취약점을 악용하는 시스템 및 그 다음에 새로운 피해자가 확산되고있습니다. 일부 최신 웜 뚫고 시스템은 여러가 지 방법을 사용하여 구멍에있는 대규모의 네트워크 - 기반 어플 리케이션을 하나로 모은 웜. 단일 웜 수도 악용 5, 20, 또는 더 많은 취약점, 모든 포장을 하나로 통합하기 탄두를합니다. 과 함께 많은 취약점을 악용, 이러한 웜이 급속히 확산 더 성공적으로하고있습니다. 시스템이 패치가 적용된 경우에도 반대의 일부 개별 홀, multiexploit 웜는 여전히를 취할 수있게 또 다른 취약점을 악용하는 것이 이상합니다. 을 날짜,가 장 성공적인 multiexploit 웜 우리가 보았던는 님다하고있는, 계산 방법에 따라, 수 십여 다른 방식으로 전파를 시스템에있습니다.

제로 - 데이 익스플 웜

또 다른 측면은 오는 superworms 다루고 최신의 보안 취약점이 악용됩니다. 가 웜 우리가 보았던의 야생 지금까지이 대부분을 이미 - 알려진 보안 취약점을 공격 시스템을 활용합니다. 코드 레드와 님다 웜 등 모든 전파를 사용하여 버퍼 오버플로 및 기타 악용하는 웜가 발표되기 전에 발견된 개월입니다. 이러한 웜을들이 ravaging 시스템을하면서 인터넷에서, 우리가 이미 알고 있었다 내용은 취약점들은 착취, 그리고 공급 업체가 이미 사전에 릴리스된 패치 개월입니다. 물론 극소수의 사람들이 있기 때문에 패치를 제때 기준을 적용, 웜 여전히 자신의 피해를 못했습니다. 그러나, 오프 -는 - 선반을 사용하여 이전 버전을 악용, 이러한 웜들이 빠르게 분석하고 근면한 보안 팀에 의해 되곤합니다. 인터넷을 통해 다운로드를위한 패치를 즉시 사용할 수 있었다 이러한 웜을을 중지합니다.

미래에 우리는 없다 그래서 다행입니다. 새로운 웜 보인다 무단으로 시스템을 사용하므로 - "제로 - 데이"악용, 명명된 있기 때문에 그들은 브랜드를 새로 공개에 대한 정확가 0 일 이내에 사용할 수있습니다. 진 웜 확산을 사용하는 제로 - 데이 악용, 패치는 아직 사용할 수없습니다. 의 정보 보안을 지역 사회가 필요로 더 많은 시간을 이해하는 방법을 웜 확산됩니다. 처음 드리겠습니다 내용은 악용 코드가 사용되는 이러한 웜을 될 때 타협을 수십만 심지어 수백만의 시스템, 아닙니다 cheery 생각합니다.

패스트 - 확산되는 웜

웜, 블로그의 특성상, 시도가 확산을 빠르게합니다. 하나의 인스턴스가 웜을 사용하여 검사에 대한 새로운 피해자가, 어떤 때, 정복, 검사를 아직 더 많은 목표를합니다. 웜 따라서 자주 확산에 대한 지수 기준을 사용하여 시스템을 손상의 개수는 시간이 지남 방불케 a 하키 스틱 모양입니다. 그러나 많은 웜 드리기 위해 싸우고 자신의 초기 확산 중에 날짜가 상당히 비효율적입니다. 기간 동안의 초기 출시는 웜, 아웃 서서히 확산이 시작됩니다. 웜 점차 이득 속도로 움직가 지수 곡선입니다. 많은 시간이 걸릴 수있습니다, 심지어 일 이내에 웜에 도달은 "무릎"는 커브를 앞두고 심각한 숫자의 피해자가 기계가 정복.

2001 년 8 월, 2 개의 논문 '새로운 기법을 설명하는 속도에 웜 확산을 극대화합니다. 각각의 종이를 제시 수학 모델을 개발 hyperefficient 웜 유통 기법입니다. 행복, 없음에 포함된 코드는 논문, 비록 작성을위한 소프트웨어를 기반으로 이러한 아이디어는 간단합니다 심지어는 비교적 숙련된 소프트웨어 개발자입니다. 의 첫 번째 논문을 통해 니컬러스 3 위버, 신의 a 워홀 웜, 정복 99 %의 취약한 시스템 될 수있는 인터넷에서 15 분 내에있습니다. 이 시간 프레임을 주었다 상승세를 웜의 이름을 기반으로 팝 아티스트 앤디 워홀의 15 분의 전당 평을합니다.

1968 년 앤디 워홀 famously라고 말했다, "앞으로는 모든 사람이 유명한 15 분입니다." 역설적으로이 시간, 워홀 성장 피곤은 그의 유명한 말이, 점점 더 annoyed 언제 그 반복적인 사용으로 미디어를 반영해에있는 미디어가 자신의 능력을 만드는 사람들이 급격히하지만 일시적으로 유명합니다.

되지 않을 것으로 outdone, 두 번째 종이 뒤를 밀접한에 heels의 첫 번째와 제시 약간 개선을 기본 워홀 웜 기법입니다. 이 두 번째 논문을 통해 staniford, 냉엄한, 그리고 jonkman, 신의 a 그래서 -라고 불리는 플래시 웜 접근할 수있는 인터넷의 지배에 덜 30 초. 수학을 수도 있지만이되도록 표시 이론적 사실, 나는 결함에있는 것으로 판단되는 인터넷은 이윤율 a 불균형 사이의 이론 및 현실입니다. 나의 내기는 사용 워홀 / 플래시 기법으로 웜 수 써왔던에서 인터넷에 관한 한 시간을 부여하거나 복용 15 분. 이것은 거의 a 정착 시간 프레임입니다.

를 사용하는 워홀 / 플래시 기법, 공격자 prescans는 인터넷에서 고정 시스템을 찾고 기계는 나중에 취약하여 악용하는 코드가 될 것이다 웜의 탄두에로드합니다. 공격자를 찾은 수천 또는 수만 명의 취약 시스템을 악용하거나 복용하지 않고 그들을 통해합니다. 아래의 주소를 사용하여 이러한 공격에 취약 기계 흩어져 전체의 세계, 공격자 preprograms 웜과 함께 그 첫 번째 일련의 피해자가됩니다. 웜는 그 다음에 unleashed 사람 알려진 취약한 시스템과 높은 대역폭을 까운을 인터넷 백본입니다. 보다는 임의로 선택 주소를 스캔, 젊은이, 새로 도입된 웜 수있습니다 체제가 이미 prescanned의 보안 취약점을 즉시 채웁니다. 웜 감염이 첫 번째 일련의 희생자를 분담 최대의 나머지 목록은 수천명의 prescanned, 취약 대상으로합니다. 다양한 세그먼트의 원래 웜 각 그런 다음 나머지 prescanned 목표물 공격이 자신을 공유합니다. 기간 동안의 초기 확산, 없음을 선택하거나 스캔 새로운 목표물에 시간이 낭비입니다. 공격자가 prescanning 위상은 이미 확인된 이러한 목표를, 그래서 그들에게 전파하는 웜 수있습니다 정복하고있습니다.

이 모든 prescanned 대상은 손상을 웜에를 시작하여 검사를하고 일반 인구로 확산됩니다. 처음에 의해 타협 수천 juicy, prescanned 목표물을 워홀 / 플래시 웜 본질적 점프가 하키 스틱의 지수 성장률, 그래서는 비교적 짧은 시간이 필요하기 전에서만 총 지배가 달성합니다.

다형성 웜

웜 작 싶지 않은 그들의 악의적인 공감대가 감지, 분석 및 필터링 동안 해당 퍼져있습니다. 대부분의 네트워크, 침입 탐지 시스템 (idss) 웜 및 기타 공격과 경고를 식별할 수있습니다 좋은 애들, 컴퓨터를 도난 경보처럼 작동합니다. 오늘, 대부분의 네트워크 - 기반 id 도구가있는 데이터베이스의 알려진 공격 서명을합니다. 가 id 프로브를 수집 네트워크 트래픽과 비교하고 그것에 대해 알려진 공격 서명을 확인하려면 악의적인 경우에 트래픽이있습니다. 오늘의 id 도구를 아주 쉽게 식별 전통 웜, 어떤 활용하는 일반적인 악용 코드를 사용하여 서명을 즉시 사용할 수있습니다. 또한, 웜 - 싸우는 좋은 애들 캡처할 수있습니다 웜 기간 동안 자신의 확산, 그리고 리버스 - 엔지니어링 악성 소프트웨어를 만들 더 나은 수비를 포함 필터가있습니다.

피하기 위해 탐지, 포일 리버스 - 엔지니어링 분석을하고 결과를 과거 필터, 웜 소드 코딩 기법을 사용하는 개발자들이 점점 웜. 소드 프로그램을 동적으로 자신의 모양을 변경할 때마다 scrambling 자신의 소프트웨어 코드에 의해 실행됩니다. 하지만 새로운 소프트웨어 자체는 한 개의 완전히 다른 지침이,이 코드는 아직 정확하게 같은 기능을합니다. 함께 다형성, 전용의 모양이 변경,하지의 기능의 코드가있습니다. 웜의 페이로드가 자동으로 morph는 전체 웜를 서로 다른 돌연변이 버전이되도록 더 이상 일치 감지 서명,하지만 아직하지를 정확하게 똑같은합니다. 시 웜 이동 소드, 각 세그먼트의 웜 갖는다를 즉시 새 코드를 생성합니다. 각 세그먼트의 웜에는 서로 다른 모양의 각 피해자를 만들기를 감지하고 분석하는 것이 훨씬 더 어렵습니다. 수백만의 고유 웜 세그먼트는 흩어져의 네트워크, 모든와 동일한 기능을합니다.

우리가 보았던 일부 아기 단계를 향해 진정한 다형성 웜의 야생합니다. 2002 년 1 월, klez 웜 확산 microsoft outlook 이메일 - 메일과 취업을 통해 간단한 다형성 기법, 변경에 이메일 - 메일 제목 줄을 피하기 위해 이메일 - 메일 스팸 메일 필터가있습니다. 가 님다 이메일 - 메일 배포 벡터 또한 제목을 변경했다. 스팸 방지 필터를 찾는이 존재와 동일한 조건 보낸 메시지를 다른 사용자, 꽤 합리적인 기호의 이메일 - 메일 스팸 메일입니다. 사실, 전용의 작은 조각을 klez와 님다 (의 제목 줄, 심지어는 첨부 파일 파일 형식)는 소드하지만 이는 다운이 도로가 시작됩니다.

또한 소프트웨어 개발자라는 이름 k2가 릴리스되었습니다 소드 돌연변 엔진라는 이름 admutate. 이 강력한 도구를 사용하여 morph 버퍼 오버플로 악용을 수있다는 바이러스로 편입했다 morphing 엔진을 mutate 모든 코드의 웜. 또한, 또 다른 도구는 매우 유연한 소드 코드라고 불리는 hydan을 구현합니다. klez와 님다 시위의 전원의 작은 비트의 다형성에있는 웜,하지만 몇가 공격자들이 논의하고 소드 엔진의 채택에 포함 admutate 및 hydan을 만들려면 완전히 다형성 웜.

있음 웜

또한 자신의 외모를 바꾸는 다형성을 사용하여, 새로운 웜은 또한 그들의 행동을 동적으로 변화를 겪고 metamorphosis. 이 기술을 사용하여, 추 공격이 기능은 은닉 내부의 웜. 다형성 기법을 변경하는 웜의 코드의 기능을 유지하면서이 같은; 있음 코드가 실제로 웜의 기능을 변경합니다. 있음 벌레 같은 작은 녹색 애벌레 배고픈 인터넷을 통해 확산되고있습니다. 바라보고 caterpillar 자체를 드러내 아니오 표시등의 나비 숨겨진 내부입니다. 이와 비슷하게, 있음 웜이 급속히 확산하면서 숨어 자신의 페이로드 형태 및 암호화 기법을 사용합니다. 이후에만 웜이 완전히 확산에 엄청난 수의 피해자는 것이 밝힐 숨겨진 목적입니다. 이 모든 확률, 나비가 나올 수있는 것이 아닙니다. 웜은 마스크를 또 다른 공격 도구와 같은 우회, rootkit, 또는 키 로거입니다.

있음 웜 도움이 공격자가 있기 때문에 그들은 열심히 방어를 리버스 - 엔지니어링, 따라서합니다. 웜이 출시될 때마다 인터넷에서 점수의 죽을 - 하드 웜 chasers 수집 인스턴스를 웜을 분석하고 대응으로 확산됩니다. 많은 이들 민속 작품에 대한 바이러스 백신 소프트웨어 업체가 출시 필터 및 수정 프로그램은 웜, 그리고 다른 사람들이 바로 독립적인 보안 연구자입니다. 을 사용하여 있음 기술을 결합하여 로딩, 이러한 웜을 방어하기는 매우 어렵습니다.

진정 싸 웜

웜 걸릴 경우 정직 살펴보고 과거에 직면했습니다, 그들에 비해 정말이 비교적 양성 공격자 필요가있는 어떤 내재 전원의 웜 기법입니다. 대다수의 웜 공격으로 지금까지이 초점을 전파로 널리 및 빠른 시일 내에 아니라 실제로 파괴 정복 체제에있습니다. 사실, 우리가 보았던이 존재 웜과 함께 널 페이입니다. 하지를 얻을 나를 잘못지만. 심지어 비교적 양성 사육 웜했습니다 인해 큰 피해를 볼 수있는 리소스를 소모하기만하면됩니다. 간단한 사육 웜에 쉽게 정말 멍청까지 귀하의 모든 대역폭, 컴퓨팅 파워, 그리고 심지어는 컴퓨터의 공격 대표팀의 주목됩니다. 그러나, 일이 훨씬 나빠질 수있다.

와 함께 superworms의가 까운 미래, 우리가 얼굴을가 능성이 높은 악의적인 공격 도구가 확산되는 웜 내부의 웜 자체입니다. 일부 웜이 확산 거부 - 중 - 서비스 요원이 발사하는 인터넷 수해를 상대로 피해자가됩니다. 코드 레드 않은 단지가, 그리고 동향을 나타냅니다 기법이 될 훨씬 더 인기가있습니다. 다른 벌레는 민감한 데이터를 파괴 파일과 삭제합니다. 일부 못했습니다 역할 논리 폭탄을 일으키는 시스템을 크래시 후 특정 시간 프레임이나에서 공격자의 명령을 해제하는 다수의 기계를합니다. 벌레도 훔쳐 데이터, 빗질을 통해 시스템을 찾고 파일을 표시 "비밀"또는 "독점"을 이메일 - 메일 위로는 공격자입니다. 받을 준비가 웜과 멀리 떠오르는 의도입니다.