Hálózati féreg

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2021. október 6-án felülvizsgált verziótól ; az ellenőrzések 2 szerkesztést igényelnek .

A hálózati féreg  olyan rosszindulatú program , amely egymástól függetlenül terjed helyi és globális ( internet ) számítógépes hálózatokon.

Történelem

A korai kísérleteket számítógépes férgekkel az elosztott számítástechnikában a Xerox Palo Alto Research Centerben végezték John Shoch és Jon Hupp 1978-ban. A „féreg” kifejezést David Gerrold Amikor a HARLEY megfordult egy sci-fi regénye (1972), amely féregszerű programokat írt le, valamint John Brunner (1975) On the Shockwave befolyásolta , amely magát a kifejezést vezeti be. .

Az egyik leghíresebb számítógépes féreg a Morris Worm , amelyet 1988-ban írt Robert Morris Jr., aki akkor még a Cornell Egyetem hallgatója volt . A féreg terjedése november 2-án kezdődött, majd a féreg gyorsan megfertőzött hozzávetőleg 6200 számítógépet (az akkori internetre csatlakozó számítógépek körülbelül 10%-át ). Szintén egy másik jól ismert féreg a MyDoom , amely szintén a legnagyobb gazdasági kárt okozó kártevő minden más kártevőhöz képest 38 000 000 000 USD . Ennek a levelezőféregnek a módosításai a mai napig aktívak és terjednek.

Elosztási mechanizmusok

A férgek terjedésének minden mechanizmusa („ támadási vektorok ”) két nagy csoportra osztható:

Néha léteznek olyan férgek, amelyek különféle terjedési vektorokkal, áldozatkiválasztási stratégiákkal, sőt kihasználásokkal rendelkeznek különböző operációs rendszerekhez .

Spread rate

A hálózati férgek terjedési sebessége számos tényezőtől függ: a hálózati topológiától, a sérülékeny számítógépek keresésének algoritmusától és az új másolatok létrehozásának átlagos sebességétől.

A gyors terjedés jellemzi azokat a hálózati férgeket, amelyek a hálózaton a TCP/IP protokollok közvetlen használatával terjednek, azaz bármely IP-címről bármely másikra. Feltéve, hogy a féreg minden példánya megbízhatóan ismeri egy korábban nem fertőzött hálózati csomópont címét, lehetséges az exponenciális reprodukálás. Például, ha minden példány másodpercenként egy számítógépet fertőz meg, a teljes IPv4 -címtér fél perc alatt megtelik a féreggel. Egy feltételezett féreg, amely ilyen sebességgel tudna terjedni, a "blitzkrieg féreg" nevet kapta. N. Weaver, a Berkeley Egyetem kutatója egyszerű szuboptimális algoritmusokat fontolgat, amelyek lehetővé teszik, hogy egy valamivel lassabban szaporodó féreg 15 perc alatt megfertőzze az internetet. Ez a fajta féreg a "Warhol féreg" nevet kapta - Andy Warhol , a mondás szerzője tiszteletére:

A jövőben mindenki lehetőséget kap 15 perc hírnévre

Az SQL Slammer féreg , amely 2003-ban 10 perc alatt több mint 75 000 szervert fertőzött meg, közel állt ehhez a terjesztési mintához.

A férgek túlnyomó többsége azonban sokkal kevésbé hatékony algoritmusokat használ. Egy tipikus féreg példányai próba és hiba útján – véletlenszerűen – keresik a sebezhető hálózati csomópontokat. Ilyen körülmények között a szorzási görbéje megfelel a Verhulst-differenciálegyenlet megoldásának , és „szigmoid” karaktert kap. A modell helyességét 2001-ben a CodeRed II féreg kitörése során erősítették meg . 28 óra alatt mintegy 350 000 hálózati csomópontot fertőzött meg a féreg, az elmúlt órákban pedig meglehetősen alacsony volt a terjedésének sebessége – a féreg folyamatosan "botlott" a korábban fertőzött csomópontokon.

A féregpéldányokat eltávolító és a rendszert vakcinázó (vagyis sebezhetetlenné) vírusellenes vírusok aktív ellenállása ellenére a járványgörbének meg kell felelnie a Kermack-Mackendrick egyenletrendszer megoldásának éles, majdnem exponenciális kezdettel, elérve a extrémum és hetekig tartó sima hanyatlás. Ez a kép valóban megfigyelhető a valóságban a legtöbb járvány esetében.

A levelezőprotokollokat (SMTP) használó férgek terjedési görbéi megközelítőleg ugyanúgy néznek ki, de általános terjedési sebességük több nagyságrenddel alacsonyabb. Ez annak a ténynek köszönhető, hogy a "mail" féreg nem tud közvetlenül más hálózati csomópontot megcímezni, csak azt, amelynek a levélcíme megtalálható a fertőzött gépen (például az Outlook Express levelezőkliens címjegyzékében ). A "postai" járványok időtartama több hónapot is elérhet.

Szerkezet

A férgek különböző részekből állhatnak.

Az úgynevezett rezidens férgek gyakran elszigeteltek, amelyek megfertőzhetnek egy futó programot, és a RAM -ban tartózkodhatnak , miközben nem érintik a merevlemezeket . Megszabadulhat az ilyen férgektől a számítógép újraindításával (és ennek megfelelően a RAM alaphelyzetbe állításával). Az ilyen férgek főként egy "fertőző" részből állnak: egy exploitból ( shellcode ) és egy kis hasznos terhelésből (maga a féreg teste), amely teljes egészében a RAM-ban van elhelyezve. Az ilyen férgek sajátossága, hogy nem a betöltőn keresztül töltődnek be, mint minden közönséges futtatható fájl, ami azt jelenti, hogy csak azokra a dinamikus könyvtárakra támaszkodhatnak , amelyeket más programok már betöltöttek a memóriába.

Vannak olyan férgek is, amelyek a memória sikeres megfertőzése után elmentik a kódot a merevlemezre, és intézkedéseket tesznek a kód későbbi futtatására (például előírják a megfelelő kulcsokat a Windows rendszerleíró adatbázisában ). Ezektől a férgektől csak vírusirtó szoftverrel vagy hasonló eszközökkel lehet megszabadulni . Gyakran az ilyen férgek fertőző része (exploit, shellcode) tartalmaz egy kis hasznos terhelést, amelyet a RAM-ba töltenek be, és magát a féregtestet külön fájlként „betöltheti” a hálózaton keresztül. Ennek érdekében egyes férgek egy egyszerű TFTP-klienst tartalmazhatnak a fertőző részükben . Az így betöltött féregtörzs (általában egy külön futtatható fájl) ma már a további szkennelésért és a fertőzött rendszerről a helyi hálózaton keresztül történő terjedésért felelős, illetve komolyabb, teljes értékű rakományt is tartalmazhat, melynek célja lehet, például valamilyen kárt okoz (pl. DoS támadások ).

A legtöbb levelezőféreg egyetlen fájlként kerül terjesztésre. Nincs szükségük külön "fertőző" részre, mivel általában az áldozat felhasználó egy e- mail kliens vagy internetböngésző segítségével önként letölti és elindítja a teljes férget.

Teherbírás

Gyakran a férgek, még terhelés nélkül is, csak az intenzív terjedés miatt túlterhelik és ideiglenesen letiltják a hálózatokat. Egy tipikus értelmes hasznos teher lehet az áldozat számítógépén lévő fájlok megsértése (beleértve a weboldalak megváltoztatását, az úgynevezett "deface"-et), és lehetőség van botnet szervezésére is a fertőzött számítógépekről hálózati támadások végrehajtására , spam küldésére vagy bányászatára. kriptovaluták .

A védekezés módjai

Tekintettel arra, hogy a hálózati férgek a harmadik féltől származó szoftverek vagy az operációs rendszer biztonsági réseit használják fel a felhasználó rendszerébe való behatoláshoz, az aláírás-alapú víruskereső monitorok használata nem elegendő a férgek elleni védelemhez. Ezenkívül a social engineering módszerek alkalmazásakor a felhasználó kénytelen rosszindulatú programot futtatni elfogadható ürüggyel, még a vírusirtó figyelmeztetése ellenére is. Ezért a modern férgek és más rosszindulatú programok elleni átfogó védelem érdekében proaktív védelmet kell alkalmazni. A hálózati férgek elleni védelem „bizalmi kreditjein” alapuló módszerét is fontolgatják. A tűzfalak és hasonló segédprogramok (például a Windows Worms Doors Cleaner) használata számos előnnyel jár .

Lásd még

Jegyzetek

Linkek