未来superworms

Share

|

恶意蠕虫病毒正迅速演变，增加自己的能力，以分散造成伤害。 我们最近还看到重大原始性创新，在蜗杆技术，在更新蠕虫传播更多的恶意和有效率比以往任何时候都具有优化的弹头，针对选择算法，并传播机制。 在过去几年中，有人发动了一场新的蠕虫每5时58个月，额外的进化捻混淆我们的力量。 在利率，我们正在进行中，我们将很快面临着所谓superworms有可能禁用互联网或以其他方式造成严重的冲击。 虽然过去蠕虫已坏，我坚决相信，我们将面临一个未来的远wormier 。

让我们分析最近的一些发展趋势蠕虫看到这些禽兽，是头脑。 根据白皮书，公开介绍，在黑客会议，以及非正式的一对一的讨论，我已经与蠕虫开发商，我们需要做好准备，为蠕虫病毒，具有多种破坏性的特征，包括跨平台， multiexploit ，零一天，快速扩散，多态，变质，真正恶劣的蠕虫病毒。 虽然这些名词听起来像技术论文-珍宝，以你现在，我们将分析每个这些特色更详细看看感觉如何，我们可能很快起来。 此外，不怪诞，并担心，我们就会通风报信坏人，就如何改善他们的蠕虫病毒。 不幸的是，许多蠕虫开发商已经了解所有的技术，我们将讨论。 各种代码组成自由下载，其中包括了一些有趣的代码片断公布zalewski人员称，在2003年。 坏人已摩拳擦掌，准备释放出这些东西;我们必须了解他们，让我们可以有所准备。

多虫

大部分的蠕虫攻击通常只有一种类型的操作系统每蠕虫，要求管理员部署补丁，以一个单一的生态系统类型，以实施适当的安全防护。 在不久的将来， superworms将利用多种作业系统类型，包括windows ， linux ， solaris的， bsd和其他人，所有包裹成一个单一弹头。 老单平台蠕虫须申请了一个修补程序，以一个单一类型的作业系统，这是管理员定期就无论如何。

防险恶多蠕虫会需要更多的工作和协调，因为我们将要申请的补丁在我们整个环境的各种操作系统。 考虑一下：而非只是修修补补的所有装置的一种类型的作业系统，在您的环境中，你需要修补您所有的系统，不论是何种操作系统类型。 与需要为补充，协调各系统类型，我们的反应将会大大放缓，但允许该蠕虫以事业远比破坏。

虽然他们不是主流（然而） ，我们已经看到了一个小的数目多蠕虫发表对互联网。 2001年5月，有意思/非法入境者蠕虫如雨后春笋般通过互联网，针对孙solaris和微软视窗。 正如其名称所暗示的，这种蠕虫病毒利用有意思服务用来协调远程管理solaris的机器。 从这些受害者的机器，蠕虫蔓延到微软的iis服务器，在那里进一步扩散到其它的solaris机器，继续循环。

multiexploit蠕虫

很多的蠕虫病毒我们已经看到在过去是被一击中奇观，开发只是一个单一的脆弱性在一个系统，然后蔓延到新的受害者。 一些较新的蠕虫渗透系统，以多种方式，利用漏洞，大量的基于网络的应用都汇总成一个蠕虫。 一个单一的蠕虫病毒可能能够利用5 ， 20个，甚至更多的脆弱性，都裹成一个卑怯的弹头。 随着越来越多的漏洞利用，这些蠕虫病毒会蔓延更成功，并迅速。 即使系统已经补丁针对一些个别洞， multiexploit蠕虫仍然能够接管它利用又一脆弱性。 至目前为止，最成功的multiexploit蠕虫我们已经看到被nimda ，这要看你如何计数，可蔓延到系统中的12种不同的方法。

零日利用蠕虫

另一个方面是未来superworms处理新鲜的漏洞，他们利用。 蠕虫病毒我们已经看到在野外到目前为止，大多利用现有的已知弱点进行攻击的系统。 蠕虫像红色代码和nimda所有散布利用缓冲区溢出和其他漏洞被发现，几个月前，该蠕虫被释放。 虽然这些蠕虫肆虐系统，在因特网上，我们已经知道该漏洞，他们被剥削，厂商已经发布了补丁提前几个月。 当然，因为太少人申请补丁及时，蠕虫仍是他们的损失。 不过，使用现货老年人功勋，这些蠕虫正在迅速分析和驯服，由勤政保安队伍。 补丁可随时下载整个互联网，以阻止这些蠕虫。

我们不会那么幸运，在未来的。 新的蠕虫病毒可能会打入系统利用所谓的"零天"攻击，命名，因为他们是全新的，可向公众提供准确零天。 同一种蠕虫病毒传播利用零日利用，没有补丁，将尚未齐备。 信息安全共同体将需要更多的时间去了解如何蠕虫。 第一次，我们将会看到利用代码用在这些蠕虫会时，他们的妥协几十万甚至几百万的系统，而不是一个樱桃的思路。

快速扩散蠕虫

蠕虫，其本质，企图迅速蔓延。 其中一例是一个蠕虫病毒，是用来扫描新的受害者，其中，当亡国奴，扫描，但更多的目标。 蠕虫病毒，所以经常散布于一个指数基础上，并在多项制度，失密随着时间的推移类似于曲棍球棒形状。 然而，许多蠕虫，我们已经战斗迄今都相当缺乏效率，在其初次蔓延。 在最初推出的一种蠕虫病毒，传播开始慢慢散发出来。 蠕虫逐步收益速度，因为它的动作了指数曲线。 它可以采取许多小时甚至数天，为蠕虫，以达到"膝" ，在曲线之前严重多少受害人的机器被征服。

2001年8月，两个文件的描述出现新的技术，以尽量提高速度，在这蠕虫蔓延。 每次提出了一个数学模型，为发展hyperefficient蠕虫分配技术。 令人高兴的是，没有代码是包含在文件中，虽然写作软件基于这些想法是直截了当的，即使中等熟练的软件开发者。 第一篇论文是由尼古拉长维夫，假定1 warhol的蠕虫，它可以打天下， 99 ％的易受攻击的系统在因特网上十五分钟内完成。 这个时间框架内引起了该蠕虫的名称，基于流行艺术家安迪沃霍尔的15分钟内成名的创新合作。

在1968年，安迪沃霍尔著名的说： "在未来，每个人都将著名的15分钟。 " 讽刺的是，在当时， warhol的成长感到厌倦，他最著名的话说，越来越恼火，在多次媒体使用的，反映了对媒体的自己的能力，使人们迅速，但暂时成名。

要想不被超越，第二份文件紧随于继第一，并略有改善的基本warhol的蠕虫病毒技术。 这第二份文件，由staniford ，严峻， jonkman ，假定一个所谓的快闪记忆体的蠕虫病毒，可达到独霸因特网在不到30秒。 虽然数学可能表明，这是理论上的真实，我相信出问题，在互联网上可产生的差距，对理论与现实的。 我的赌注是，用warhol的/快闪记忆体技术，蠕虫吓不倒互联网在约一小时，赠送或需时15分钟。 这是很难解决的时间内完成。

使用warhol的/快闪记忆体技术，攻击者prescans互联网从一个固定的系统寻找机器容易受到黑客代码，即会后，被载入电脑蠕虫的弹头。 攻击者位于数千或数万易受攻击的系统，如果没有他们的剥削，或收留他们。 使用名单的地址，这些脆弱的机器散落在世界各地，攻击者preprograms蠕虫与第一套的受害者。 蠕虫病毒，然后释放出对那些已知的易受攻击的系统与高频宽最接近其互联网主干网。 而不是随机选取地址的扫描，这位年轻的，新引进的蠕虫病毒，马上就可以植入该系统已经prescanned为脆弱性。 蠕虫感染这第一套被害人，然后分裂了，其余的名单千prescanned ，易受伤害的目标。 各个环节的原始蠕虫，然后互相攻击，其应得的份额，其余prescanned目标。 在初期的蔓延，没有时间浪费在选择或扫描新的目标。 攻击者的prescanning阶段目前已确定了实现这些目标，使蠕虫可以简单地征服和宣传给他们。

毕竟prescanned对象是毫不妥协的，这个蠕虫开始扫描，并蔓延到一般民众。 由最初作出妥协千多汁， prescanned对象， warhol的/闪存蠕虫基本上跳到了曲棍球棒的指数增长，所以只有在比较短的时间才可总统治的实现。

多态性蠕虫

蠕虫病毒作者不希望他们的恶意创作中，以检测，分析，过滤，而它们的扩散。 在大多数网络入侵检测系统（智能决策支持系统） ，可识别蠕虫和其他攻击性及良好的应变好人，运转像电脑防盗系统。 今天，大多数基于网络的入侵检测工具，有一个数据库中已知的攻击签名。 身份证探针，网罗了网络流量，并比较它针对已知的攻击签名，以确定如果交通是恶意的。 今天的入侵检测工具，是很容易查明传统蠕虫，它利用共同利用代码，随时提供签名。 此外，蠕虫战斗好人能够捕捉蠕虫在传播和反向工程师恶意软件，以创造更好的防包括过滤器。

为了逃避侦查，箔逆向工程分析，并获得过去过滤器，蠕虫病毒开发者越来越多地使用多态编码技术中的蠕虫。 多态性节目动态改变面貌每次他们开办的争夺，他们的软件代码。 尽管新的软件本身是作出了完全不同的指令，代码仍然有确切相同的功能。 与多态性，不仅外貌改变，而不是功能的代码。 蠕虫的有效载荷将自动变身整个蠕虫成不同版本的突变体，所以它不再火柴检测签名，但仍没有确切的同一件事。 当蠕虫到多态性，每一部分的蠕虫将有新的代码所产生的对飞。 每个部分的蠕虫将会有不同的外观对每名受害人，使之更加难以探测和分析。 数百万种独特的蠕虫环节，将分散各地的网络，都具有相同的功能。

我们已经看到了一些婴儿一步步迈向真正的多形虫在野生环境。 2002年1月，齐刷刷蠕虫传播通过微软outlook电子邮件，并雇用简单多态性技术，改变了电子邮件的主题行，以逃避电子邮箱：垃圾邮件过滤器。 该nimda电子邮件分发载体，也改变了其主题行。 反垃圾邮件过滤器寻找一串信息，并同时受送往不同的用户，一个相当合理的迹象，电子垃圾邮件。 真正的，只有一小片齐刷刷和nimda （主题行，甚至扣押文件类型） ，多形性，但它是一个开始，这条道路走下去。

此外，软件开发商命名为k2的发布了一个多态突变发动机命名admutate 。 这个强大的工具，是用来变身缓冲区溢位漏洞，并可以将其纳入一种蠕虫病毒，因为它的变形引擎产生变异的所有代码中的蠕虫病毒。 此外，另一项工具所谓hydan实行高度灵活的多态代码。 求职和nimda展示力量一点点的多态性的一种蠕虫病毒，但一些黑客正在讨论通过多态性引擎列入admutate和hydan创造一个充分多态性的蠕虫病毒。

变质蠕虫

除了改变自己的外观采用多态性，新的蠕虫病毒也将改变他们的行为动态，经历着蜕变。 采用这种技术，更多的攻击能力是藏蠕虫。 多态性技术改变病毒的代码，但保留功能相同;变质代码实际上改变了蠕虫的功能。 变质生虫像小绿毛虫盯紧散布于互联网上。 看毛毛虫本身揭示并没有迹象显示有蝴蝶藏。 同样，变质蠕虫会迅速蔓延，而隐藏他们的有效载荷用迷惑和加密技术。 只有经过该蠕虫已充分蔓延到巨大的人口数量的受害者将它揭示其隐藏的目的。 在所有的可能性，它不会成为蝴蝶说出来。 蠕虫会掩盖另一种攻击工具，例如一个后门，的rootkit ，或按键记录。

变质蠕虫帮助攻击者，因为他们是难以扭转-工程师，因此防范。 每当一种蠕虫病毒是公布在互联网上，数十名顽固蠕虫猎收集的事例蠕虫作点分析和对付它的扩散。 许多这些乡亲的工作，为杀毒软件公司释放过滤器和补丁，蠕虫病毒，其他都是独立安全研究员。 用变质的技术，再加上多态现象，这些蠕虫更难防范。

真正恶劣的蠕虫

如果你做一个诚实地看待这些蠕虫，我们所面对的，在过去，他们确实已相当良性相比，有什么攻击者可与固有权力的蠕虫病毒技术。 大多数的蠕虫病毒的攻击，至今已集中于宣传广泛，并尽可能快，而不是实际上摧毁征服系统。 事实上，我们已经看到一群蠕虫与无效有效载荷。 不要误会我的意思，虽然。 即使是较温和的滋生蠕虫我们已经看到有造成重大损害的，由单纯消耗资源。 一个简单的滋生蠕虫，可以很容易抽走了你所有的带宽，运算能力，甚至注意你的电脑攻击队。 然而，事情可远差。

与superworms的不久的将来，我们可能面对的蠕虫病毒极为恶毒的攻击工具，里面的蠕虫本身。 有些蠕虫病毒会蔓延拒绝服务代理商表示，推出一个因特网对洪水的受害者。 红色代码正是做到了这一点，和趋势表明，这项技术将变得更加普及。 其他的蠕虫会破坏档案，并删除敏感数据。 有的可以作为逻辑炸弹，造成系统当机后，在一定时间内或对攻击者的指挥，致残大量的机器。 蠕虫病毒还可以窃取数据，梳理系统寻找档案标有"机密"或"所有权" ，以电子邮件回给攻击者。 预备蠕虫具有深远厉害的意图。