Síťový červ

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 6. října 2021; kontroly vyžadují 2 úpravy .

Síťový červ je typ škodlivého programu , který se nezávisle šíří prostřednictvím lokálních a globálních ( internetových ) počítačových sítí.

Historie

První experimenty s použitím počítačových červů v distribuovaných výpočtech provedli v Xerox Palo Alto Research Center John Shoch a Jon Hupp v roce 1978. Termín „červ“ byl ovlivněn sci-fi romány When HARLEY Turned One od Davida Gerrolda (1972), které popisovaly programy podobné červům, a On the Shockwave Johna Brunnera (1975), který samotný termín zavádí. .

Jedním z nejznámějších počítačových červů je Morris Worm , napsaný v roce 1988 Robertem Morrisem Jr., který byl tehdy studentem Cornell University . Šíření červa začalo 2. listopadu, poté červ rychle infikoval přibližně 6200 počítačů (asi 10 % všech počítačů v té době připojených k internetu ). Dalším známým červem je také MyDoom , což je také malware, který způsobil největší ekonomické škody ve srovnání s jakýmkoli jiným malwarem – 38 000 000 000 amerických dolarů . Úpravy tohoto poštovního červa zůstávají aktivní a šíří se dodnes.

Distribuční mechanismy

Všechny mechanismy (" útočné vektory ") šíření červů jsou rozděleny do dvou velkých skupin:

Využití zranitelností a chyb správy v softwaru nainstalovaném v počítači. Červ Morris používal v té době známé zranitelnosti v softwaru, konkrétně v poštovním serveru sendmail , službě Finger a uhádl heslo pomocí slovníku. Takoví červi se mohou šířit autonomně, vybírat a útočit na počítače zcela automaticky.
Pomocí prostředků tzv. sociálního inženýrství je spuštění škodlivého programu vyprovokováno samotným uživatelem. Aby se uživatel přesvědčil, že soubor je bezpečný, lze spojovat chyby v uživatelském rozhraní programu – například červ VBS.LoveLetter využil toho, že Outlook Express skrývá přípony souborů. Tato metoda je široce používána ve spamu, sociálních sítích atd.

Někdy existují červi s celou řadou různých vektorů šíření, strategií výběru obětí a dokonce exploitů pro různé operační systémy .

Spread rate

Rychlost šíření síťového červa závisí na mnoha faktorech: topologii sítě, algoritmu pro vyhledávání zranitelných počítačů a průměrné rychlosti vytváření nových kopií.

Síťoví červi, kteří se šíří sítí přímým využitím protokolů TCP/IP , tedy z jakékoli IP adresy na kteroukoli jinou, se vyznačují rychlým šířením. Za předpokladu, že každá instance červa spolehlivě zná adresu dříve neinfikovaného síťového uzlu, je možná exponenciální reprodukce. Pokud například každá instance infikuje jeden počítač za sekundu, celý adresní prostor IPv4 se zaplní červem během půl minuty. Hypotetický červ, který by se dokázal šířit takovou rychlostí, dostal jméno „blitzkrieg worm“. Výzkumník N. Weaver z University of Berkeley uvažoval o jednoduchých suboptimálních algoritmech, které by umožnily červovi, který se množí poněkud pomaleji, infikovat internet za 15 minut. Tento typ červa byl pojmenován „Warhol worm“ – na počest Andyho Warhola , autora rčení:

V budoucnu dostane každý šanci na 15 minut slávy

Červ SQL Slammer , který v roce 2003 infikoval více než 75 000 serverů za 10 minut, se tomuto vzorci distribuce blížil.

Naprostá většina červů však používá mnohem méně efektivní algoritmy. Instance typického červa hledají zranitelné síťové uzly metodou pokusu a omylu – náhodně. Za těchto podmínek její násobící křivka odpovídá řešení Verhulstovy diferenciální rovnice a získává „esovitý“ charakter. Správnost tohoto modelu byla potvrzena v roce 2001 při vypuknutí červa CodeRed II . Za 28 hodin červ infikoval asi 350 000 síťových uzlů a v posledních hodinách byla rychlost jeho šíření spíše nízká – červ neustále „narážel“ na dříve infikované uzly.

Tváří v tvář aktivní opozici antivirů , které odstraňují instance červů a očkují systém (to znamená, činí jej nezranitelným), by epidemická křivka měla odpovídat řešení soustavy Kermack-Mackendrickových rovnic s ostrým, téměř exponenciálním nástupem, dosahujícím extrémní a hladký pokles, který může trvat týdny. Takový obrázek je ve skutečnosti pozorován u většiny epidemií.

Křivky šíření pro červy používající poštovní protokoly (SMTP) vypadají přibližně stejně, ale jejich celková rychlost šíření je o několik řádů nižší. To je způsobeno tím, že červ "pošta" nemůže přímo oslovit žádný jiný síťový uzel, ale pouze ten, jehož poštovní adresa je přítomna na infikovaném počítači (například v adresáři poštovního klienta Outlook Express ). Doba trvání "poštovní" epidemie může dosáhnout několika měsíců.

Struktura

Červi se mohou skládat z různých částí.

Často jsou izolováni takzvaní rezidentní červi, kteří mohou infikovat běžící program a ubytovat se v paměti RAM , přičemž neovlivňují pevné disky . Těchto červů se můžete zbavit restartováním počítače (a tedy resetováním paměti RAM). Takoví červi se skládají hlavně z "infekční" části: exploit ( shell kód ) a malé užitečné zatížení (samotné tělo červa), které je celé umístěno v RAM. Specifikem těchto červů je, že se nenačítají přes zavaděč, jako všechny běžné spustitelné soubory, což znamená, že se mohou spolehnout pouze na ty dynamické knihovny , které již byly do paměti nahrány jinými programy.

Existují také červi, kteří po úspěšné infikaci paměti uloží kód na pevný disk a přijmou opatření k následnému spuštění tohoto kódu (například předepsáním příslušných klíčů v registru Windows ). Těchto červů se lze zbavit pouze pomocí antivirového softwaru nebo podobných nástrojů. Infekční část takových červů (exploit, shell kód) často obsahuje malé užitečné zatížení, které se nahraje do RAM a může „nahrát“ samotné tělo červa přes síť jako samostatný soubor. K tomu mohou někteří červi ve své infekční části obsahovat jednoduchého TFTP klienta . Takto načtené tělo červa (většinou samostatný spustitelný soubor) je nyní zodpovědné za další skenování a šíření z infikovaného systému po lokální síti a může obsahovat i závažnější plnohodnotný náklad, jehož účel může např. například způsobit nějaký druh škody (např. útoky DoS ).

Většina poštovních červů je distribuována jako jeden soubor. Nepotřebují samostatnou „infekční“ část, protože obvykle si uživatel oběti pomocí e-mailového klienta nebo internetového prohlížeče dobrovolně stáhne a spustí celého červa.

Užitečné zatížení

Červi často i bez jakékoli užitečné zátěže přetěžují a dočasně deaktivují sítě pouze kvůli intenzivnímu šíření. Typická smysluplná zátěž může spočívat v poškození souborů na počítači oběti (včetně změny webových stránek, tzv. „deface“), je také možné organizovat botnet z infikovaných počítačů k provádění síťových útoků , rozesílání spamu nebo těžby . kryptoměny .

Způsoby ochrany

Vzhledem k tomu, že síťoví červi využívají k proniknutí do systému uživatele zranitelná místa v softwaru třetích stran nebo operačním systému, nestačí k ochraně před červy používat antivirové monitory založené na signaturách. Také při použití metod sociálního inženýrství je uživatel nucen spustit škodlivý program pod věrohodnou záminkou, a to i přes varování antivirového softwaru. Pro zajištění komplexní ochrany před moderními červy a jakýmikoli jinými škodlivými programy je tedy nutné používat proaktivní ochranu. Zvažuje se také způsob ochrany proti síťovým červům založený na „kreditech důvěry“. Řadu výhod poskytuje použití firewallů a podobných utilit (například Windows Worms Doors Cleaner)

Viz také

Poznámky

Odkazy

Klimentiev K. E. Počítačové viry a antiviry: pohled programátora. — M.: DMK-Press, 2013. S. 656. ISBN 978-5-94074-885-4
John Shoch, Jon Hupp The 'Worm' Programs — Early Experience with a Distributed Computation" , Communications of ACM, březen 1982, svazek 25 číslo 3, str. 172-180, ISSN 0001-0782
Nicholas C. Weaver Warhol Worms: Potenciál pro velmi rychlé internetové mory
RFC 1135 - Helminthiasis internetu

Škodlivý software
Infekční malware	Počítačový virus síťový červ trojský boot virus Dávkový virus Příběh
Metody skrývání	Zadní dveře Kapátko Záložka do knihy Kryptor zombie počítač Polymorfismus rootkit
Malware pro zisk	Adware Software narušující soukromí Ransomware ( Trojan.Winlock ) Spyware Bot Botnet Webové hrozby Keylogger Formgrabber Scareware ( Rogue antivirus ) Porno vytáčení
Podle operačních systémů	Linuxový malware Viry pro Palm OS Makrovirus mobilní virus
Ochrana	Defenzivní počítání Antivirový program Firewall Systém detekce narušení Prevence úniku informací Časová osa antivirů
Protiopatření	Anti Spyware koalice počítačový dohled hrnec medu Operace: Bot Roast

Botnety
Akbot Asprox Bagle BASHLITE Bredolab carna Conficker Cutwail donbot Dridex Festi Gameover Zeus Grum Gumblar Kelihos Koobface Kraken Lethický Mariposa Mega D Meris Metulji Mirai Necurs Nitol Rustock Slanost SpyEye Srizby Hvězdný prach Bouřka TDL-4 Torpig Virut Vulcanbot Waledac Nulový přístup Zeus
Viz také: Malbot Operace: Bot Roast Malware Dosnet síťový červ

Distribuce softwaru
licence	volný, uvolnit Zdarma a otevřené Volný, uvolnit OTEVŘENO proprietární Ve veřejné doméně
Příjmové modely	Volný, uvolnit Freemium Shareware Adware Demoware donationware Nagware pohlednice Komerční
Způsoby dopravy	On-premise předinstalovaný Svazek SaaS (software na vyžádání) Software plus služby
Podvodné/ilegální	Malware Červi trojský Spyware Rogue antivirus Vaporware
jiný	Abandonware Aktivace produktu Nádobí na lopatky Legalizace softwaru Práce s nepřístupným držitelem autorských práv