今後superworms

悪質なワームが急速に発展しつつある、と原因を増やして広がる能力を損傷します。私たちは、最近見たワームの主要な技術革新は、新しいワームや悪意を持ってより効率的に広がっても、最適化して弾頭、ターゲットアルゴリズムを選択し、そして伝搬メカニズムます。過去数年間、誰かが解き放たれた2つの新しいワームを6カ月ごとに余分な進化をねじっ私たちの防衛を混同します。の割合で私たちは、私たちはすぐに直面する可能性がいわゆるsuperwormsしてインターネットを無効にする、またはその他の深刻な大混乱をもたらすします。過去の悪いワームてきたものの、私は強く信じ私たちはそれが将来に直面するまでwormierます。

いくつかの最近の傾向を分析してみようで、これらのワームを参照してください獣はどこに向かっています。ホワイトペーパーに基づいて、公共のハッカーカンファレンスのプレゼンテーションで、 1対1の非公式な議論をワームの開発者だったのですよ、私たちの支度をする必要があるワームは、さまざまな破壊的な特徴などのmultiplatform 、 multiexploit 、ゼロの日、急速に拡大し、多様性、変成、本当に嫌なワームです。これらの技術的な用語のように聞こえるかもしれない無意味なジャンボになりました、私たちの分析の詳細についてはそれぞれの特性を取得するためには何を感じるかもしれないすぐに私たちに立てかけています。また、フリークアウトと心配していない私たちがどのように悪いやつらの先端を切りワームを改善しています。残念なことに、多くの開発者はすでに知っているワームのすべてのテクニックについて話し合ういたしました。さまざまなコンポーネントが自由に利用できるためのコードをダウンロードして、コードスニペットを含めたいくつかの興味深い発表されミカルzalewskiは2003年にします。悪いやつらは、このようなものを放つ帰り支度を;私たちを理解する必要が利用できるように用意しています。

ワームのmultiplatform

ほとんどのワームの攻撃だけで、通常のオペレーティングシステムあたり1つの種類のワームは、システム管理者を配置する必要がパッチを1つのタイプのシステムを実装する適切な防御します。で、近い将来、 superwormsは、複数のオペレーティングシステムを利用するタイプなど、ウィンドウズ、リナックス、ソラリス、 bsd 、あるいは他のは、すべてを1つの弾頭没頭しています。古い、シングルプラットフォームワームに必要なパッチを適用する、 1つのタイプのオペレーティングシステムでは、管理者が何かを定期的に行うと思います。

不吉なワームに対する防衛のmultiplatformずっと大変な作業が必要との調整は、パッチを適用しておきましょう私たちの環境で、あらゆる種類のオペレーティングシステムです。考えてみると：すべてのパッチをインストールするのではなく、 1つの種類のオペレーティングシステムでお客様の環境では、パッチしていただく必要があり、すべてのシステムでは、オペレーティングシステムの種類にかかわらず、です。間の協調の必要性を追加するために、さまざまな種類のシステムに、私たちの反応が大幅に鈍化し、できるように、このワームの被害を引き起こすはるかにします。

彼らはありません（まだ）主流に、私たちはすでに見てきた少数の反対のmultiplatformワーム、インターネットをリリースします。 2001年5月のsadmind / iisのワームmushroomed 、インターネットを通じて、ターゲットとmicrosoft windows sun solaris用します。その名が示すように、このワームに悪用してsadmindサービスに使用する座標solarisのマシンをリモートから管理できます。被害者から、これらのマシンでは、このワームはマイクロソフト社のiis webサーバに広がっているが、ここは、さらなる蔓延ソラリスを他のマシンでは、このサイクルが継続します。

multiexploitワーム

ワームの多くは、見てきましたが、過去に1つの驚異に襲われ、たった一つの脆弱性を悪用するシステムそして新たな犠牲者を拡大します。いくつかの新しいシステムにワームを貫通する複数の方法を使用して、穴を開け、多数のネットワークベースのアプリケーションをすべて1つのワームなだれ込みました。 1つのかもしれません。ワームを搾取する5 、 20 、またはさらに多くの脆弱性は、すべてを1つにくるまれた卑劣な弾頭ます。より多くの脆弱性を悪用するには、これらのワームが急速に広がるともっと成功しました。たとえシステムにパッチを適用してきたいくつかの個別の穴に対して、 multiexploitワームは引き続き取ることができるようにさらに別の脆弱性を悪用されました。現在までに、最も成功したmultiexploitワームニムダ見てきましたが、これに応じて、どのようにカウント、システムに波及する可能性が1ダース別の方法があります。

ゼロの日を利用するワーム

別の一面を示して来るsuperworms扱っているの鮮度彼らの脆弱性を利用しています。ワーム、野生の状態で見てきましたがこれまでのところほとんど活用は既に知られていないシステムの脆弱性を攻撃します。赤とニムダワームのようなコードを使用するすべての広がりバッファオーバーフローやその他の手口ヶ月前に発見されたワームがリリースされます。これらのワームは、インターネット上でravagingシステムで、私たちは既に知っていた彼らの脆弱性については、悪用、およびベンダーはすでにパッチカ月も前にリリースされます。もちろん、パッチを適用する人の数が少なすぎますのでタイムリーには、まだなかったワームが破損します。しかし、使用する既製古い手口は、これらのワームが急速に分析されtamed勤勉な安全保障チームとします。パッチをダウンロード可能ですが容易にインターネットを経由して、これらのワームを停止します。

私たちはありませんのでラッキーていく予定です。新しいワームを使って、システムに侵入する可能性は、いわゆる"ゼロデー"の手口は、かれらが真新しいの名前は、公共利用できるようにするために正確にゼロに終了。ワーム拡散を使用すると、ゼロの日を搾取、パッチはまだありませんがあります。コミュニティでの情報セキュリティを理解するより多くの時間が必要にワームスプレッドはどのようにします。初めてのお客様に使用され、これらのコードを参照して悪用されるときに妥協ワーム数十万人あるいは何百万ものシステムではなく、明るいと思った。

急速に広がるワーム

ワームや、その性質上、すぐに広がるしようとしました。ワームは、 1つのインスタンスをスキャンするために使用される新しい犠牲者、これは、征服したときは、さらに多くのターゲットをスキャンします。したがって頻繁に広がるワームを基準指数は、システムの数時間を超える侵害するホッケースティック形状似ています。しかし、多くのワームを公開いたしました戦って彼らの中には、かなり非効率的に広がる初回ます。中には、ワームの最初の立ち上げは、ゆっくりと広がりを開始しています。このワームは次第に速度を上げて移動する指数曲線ます。何時間もかかるかもしれない日に達するためには、ワーム"ひざ"を前に深刻な曲線の犠牲者の数のマシンが征服します。

2001年8月に、 2つの論文を記述する新しい技術を最大限に現れたの速さに広がるワームだ。数学的モデルを提示し、各論文の発展のためhyperefficientワームテクニック分布します。うれしそうに、その書類に含まれているコードはありませんが、これらのアイデアに基づいてソフトウェアを書くことは簡単でも適度に熟練のソフトウェア開発します。最初の論文は、ニコラスc.ウィーバーされ、ワームウォーホルpositedするが、それを征服する99 ％の脆弱なシステムで、インターネット上で15分以内です。この時間枠は上昇する、ワームの名前に基づいて、ポップアーティストのアンディウォーホルの15分間の名声気の利いた言葉だ。

1968年には、有名なアンディウォーホル氏は"将来的には、全員が有名で15分"と述べた。皮肉なことに、時間、疲れた彼の最も有名なウォーホル成長と言って、ますますイライラしてその取得を繰り返し使用され、メディアは、自らの能力を反映して、メディアを作る人しかし、一時的に急速に有名になった。

負けないようにするには、密接に続いて2つ目の紙の上の余波で、最初の提示と若干の改善ウォーホルワームの基本的な手法です。この2つ目の紙、 staniford 、すごみ、およびjonkman 、いわゆるフラッシュpositedワームは、インターネットの支配に達する可能性が少ない、 30秒です。数学ものの、これを理論的に表示されるかもしれtrueの場合は、私は信じて不具合で、インターネットの利回り格差は、理論と現実である。私は賭けを使用してウォーホル/フラッシュ技術は、ワームがインターネットを制圧して約1時間、またはを取る15分です。これはほとんどの時間枠内に沈殿します。

を使用するウォーホル/フラッシュ技術は、攻撃者prescansからインターネットを探して、固定系のマシンに脆弱性を悪用するコードは、後に読み込まれ、ワームの弾頭ます。または、攻撃者が検索数千数万人の脆弱なシステムでは、搾取したりせずに服用して終わった。アドレスのリストを使用して、これらのマシンで、世界中に散らばった脆弱性は、攻撃者preprogramsこのワームは、最初のセットの犠牲者だ。このワームは、解き放たれたシステムでは、これらの既知の脆弱性の高いインターネットバックボーンの帯域幅に最も近いです。ランダムに選択してアドレスをスキャンするというよりは、若いのですが、新たに導入さワームがすぐに書き込まれ、システムの脆弱性を既にprescannedしました。このワームに感染して最初のセットの犠牲者は、その後のリストを分割して、残りの数千人のprescanned 、脆弱性をターゲットします。さまざまなセグメントごとに、元のワーム攻撃、その後、残りのprescanned目標を共有するのです。初期の中に広がり、無駄な時間はありませんが新たな目標を選択またはスキャンします。攻撃者のprescanning相はすでに、これらの目標を識別するため、ワームを征服することができ、簡単に繁殖している。

すべてのprescannedの目標は妥協した後、このワームのスキャンを開始すると、総人口に広がっています。当初は数千人のみずみずしい妥協され、 prescannedの目標は、ウォーホル/ワームフラッシュ本質的にジャンプするホッケースティックの成長指数ので、比較的短期間にのみが必要です。支配する前には、合計を達成しました。

多型ワーム

ワームたくない、悪意のある作家の創作を検出し、分析、およびフィルタリング中に広がっています。ほとんどのネットワークでは、侵入検知システム（ idss ）ワームやその他の攻撃を見分けることができると警告善玉、コンピュータの盗難アラームのように機能します。今日、ほとんどのネットワークベースのツールがあるのidデータベースの既知の攻撃の署名をします。 idのプローブを収集し、ネットワークのトラフィックと比較しているかどうかを判断する既知の攻撃の署名をして悪意のあるトラフィックがします。今日のidの伝統的なツールを非常に簡単に特定ワーム、搾取を活用する共通のコードをすぐに利用できる署名します。また、ワームに戦って善玉彼らの中に広がることができ捕獲ワーム、および悪意のあるソフトウェアのリバースエンジニアリングが良い防衛を含むフィルタを作成します。

検出を回避するには、リバースエンジニアリング箔分析、および過去のフィルタを取得、ワームを使用する開発者はますます多型ワーム符号化技術です。多型プログラムの動的に変化して出現するたびに実行されるソフトウェアコードスクランブリングています。ものの、新しいソフトウェア自体は、全く異なる手順については、そのコードはまだ正確に同じ機能します。多型で、外観だけでは変化はなく、機能のコードです。ワームのペイロード全体のワームが自動的に変形して別のバージョンのように変異検出もはやマッチ署名、それでもまだ正確には同じものです。多型ワームに行くときには、各セグメントの新しいワームが生成されたコードは、フライします。各セグメント別のワームが出現し、各被害者は、多くの困難にすることを検出して分析します。何百万ものユニークなワームされるセグメントに散らばっているネットワークでは、すべての機能と同じです。

いくつかの手順を見てきました赤ちゃんに向けた真の多型ワーム野生の状態でいます。 2002年1月には、マイクロソフトのアウトルックを介して広がるワームクレズ電子メールや技術を採用シンプルな多型は、電子メールの件名に変更して、電子メールの迷惑メールフィルタを回避します。ニムダ、電子メールの件名に分布ベクトルも変化します。スパムフィルタの束を探すと同じ件名のメッセージが送信された別のユーザーは、かなり合理的な電子メールの迷惑メールに署名します。 trueの場合は、ほんの小さなクレズとニムダ（件名や添付ファイルのファイルタイプでも）多形だったが、それは、この道路を開始します。

また、ソフトウェア開発者の名前k2をリリースしました変異多型エンジンの名前admutateます。この強力なツールを使用して変形バッファオーバーフロー攻撃、および可能性があるとして、ワームに組み込まれモーフィングエンジンを搭載したすべてのコードの変異は、ワームです。また、別の柔軟性の高い多型と呼ばれるツールをhydan実装するコードです。クレズとニムダのパワーを実証する小さなビットの多型ワームで、しかし、いくつかの攻撃は、議論採択のための多型エンジンに含まれてadmutateとhydanを作成するには、完全多型ワームです。

変成ワーム

外観の変更に加えて、多型を使って、新しいワームにも彼らの行動を動的に変更し、変形を受けています。この方法を使用すると、追加の攻撃能力は、ワームの内部に隠しています。ワームのコードを変更する技術の多様性を維持するための機能の中に、同じ;変成ワームのコードを実際に変更する機能です。変成ワームのような小さな緑の毛虫がインターネットを介して、熱心に広がっています。キャタピラー自体を見て明らかにはっきりしないため、内部に隠されたチョウします。同様に、変成ワームが急速に広がる彼らの中に隠れているペイロード暗黒化と暗号化技術を使用します。後にのみ、このワームは完全に広がっている膨大な数の犠牲者は、その隠された目的を明らかにした。九分九厘、それはありませんバタフライに出てくるのです。このワームは、別のマスク攻撃ツールなど、裏口、ルートキット、またはロガーキーを押します。

変成ワームヘルプアタッカー困難になっているとのリバースエンジニアリングを守るために反対します。ワームがリリースされるたびに、インターネット上で、多数のダイハードワーム逃げる天使のインスタンスを収集し、ワームを分析してから、その影響を弱める広がります。働く人たちの多くは、これらの企業がアンチウイルスソフトの修正プログラムがリリースフィルタと、ワーム、および他の研究者だけで独立した安全保障します。変成テクニックを使って、多型併用、これらのワームは、多くの困難を守るために反対します。

本当に嫌なワーム

服用する場合は正直に見てみました顔をしたワームは、過去に実際に良性と比較してかなりてきたが、攻撃者は何の力もない固有のテクニックワームです。大多数のワーム攻撃がこれまでのところに焦点を当て、可能な限り迅速に広く伝播としてではなく、実際のシステムを破壊し征服します。実際、見てきました大勢のワームにnullをペイロードします。誤解しないでね、思っています。良性でさえ、比較的繁殖ワーム見てきましただけで深刻な被害が生じてリソースを消費します。単純なワームの繁殖を簡単に吸い上げることができ、すべての帯域幅、コンピューティングパワー、およびお使いのコンピュータの攻撃でさえ、チームの注目を集めた。しかし、物事を悪化させる可能性があるまでにします。

とsuperwormsは、近い将来、私たちに直面する可能性の高い悪質なワームが広がるの攻撃の中で、このワーム自体のツールです。スプレッドは、いくつかのワームによるdenial - of -エージェントサービスを開始することに反対するインターネットの洪水の被害者だ。コードレッドだけでしたが、技術的な傾向を示すがはるかに人気があります。他のワームを削除するファイルや機密データが破壊されます。いくつかの原因となる可能性の役割を果たすロジック爆弾システムがクラッシュする後、または特定の時間枠内のコマンドを攻撃して、大量のマシンを無効にします。ワームでデータを盗む可能性もある、くまなく捜索中のシステムファイルのマークを探して"秘密"や"独占"を電子メールに戻る攻撃します。ワームの支度をはるかにnastier意図します。

これは、記事を追加したショーンkazen