Verkkomato

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 6. lokakuuta 2021 tarkistetusta versiosta . tarkastukset vaativat 2 muokkausta .

Verkkomato  on eräänlainen haittaohjelma, joka leviää itsenäisesti paikallisten ja maailmanlaajuisten ( Internet ) tietokoneverkkojen kautta.

Historia

John Shoch ja Jon Hupp tekivät varhaisia ​​kokeita tietokonemadoilla hajautetussa tietojenkäsittelyssä Xerox Palo Alton tutkimuskeskuksessa vuonna 1978. Termi "mato" sai vaikutteita David Gerroldin (1972) tieteisromaaneista Kun HARLEY Turned One, jotka kuvailivat matomaisia ​​ohjelmia, ja On the ShockwaveJohn Brunnerin (1975), joka esittelee itse termin. .

Yksi tunnetuimmista tietokonematoista on Morris Worm , jonka kirjoitti vuonna 1988 Robert Morris Jr., joka oli silloin opiskelija Cornellin yliopistossa . Madon leviäminen alkoi 2. marraskuuta, minkä jälkeen mato tartutti nopeasti noin 6 200 tietokonetta (noin 10 % kaikista tuolloin Internetiin kytketyistä tietokoneista ). Myös toinen tunnettu mato on MyDoom , joka on myös aiheuttanut suurimman taloudellisen vahingon muihin haittaohjelmiin verrattuna - 38 000 000 000 US dollaria . Tämän postimadon muutokset ovat edelleen aktiivisia ja levinneet tähän päivään asti.

Jakelumekanismit

Kaikki madon leviämisen mekanismit (" hyökkäysvektorit ") on jaettu kahteen suureen ryhmään:

Joskus on matoja, joilla on useita erilaisia ​​leviämisvektoreita, uhrien valintastrategioita ja jopa hyväksikäyttöä eri käyttöjärjestelmille .

Spread rate

Verkkomadon etenemisnopeus riippuu monista tekijöistä: verkon topologiasta, haavoittuvien tietokoneiden etsintäalgoritmista ja uusien kopioiden luomisen keskimääräisestä nopeudesta.

Verkkomatoille, jotka leviävät verkon läpi TCP/IP-protokollien suoran käytön kautta , eli mistä tahansa IP-osoitteesta mihin tahansa, on ominaista nopea leviäminen. Edellyttäen, että jokainen madon esiintymä tietää luotettavasti aiemmin saastumattoman verkkosolmun osoitteen, eksponentiaalinen toisto on mahdollista. Jos esimerkiksi jokainen esiintymä saastuttaa yhden tietokoneen sekunnissa, koko IPv4 -osoiteavaruus täyttyy matolla puolessa minuutissa. Hypoteettiselle matolle, joka kykenisi leviämään sellaisella nopeudella, annettiin nimi "blitzkrieg-mato". Tutkija N. Weaver Berkeleyn yliopistosta harkitsi yksinkertaisia ​​suboptimaalisia algoritmeja, jotka voisivat sallia jonkin verran hitaammin lisääntyvän madon tartunnan Internetiin 15 minuutissa. Tämän tyyppinen mato nimettiin "Warhol-matoksi" - Andy Warholin , sanonnan kirjoittajan, kunniaksi:

Tulevaisuudessa kaikki saavat mahdollisuuden 15 minuutin maineeseen

SQL Slammer -mato , joka tartutti yli 75 000 palvelinta 10 minuutissa vuonna 2003, oli lähellä tätä leviämismallia.

Suurin osa matoista käyttää kuitenkin paljon vähemmän tehokkaita algoritmeja. Tyypillisen madon esiintymät etsivät haavoittuvia verkkosolmuja yrityksen ja erehdyksen avulla - satunnaisesti. Näissä olosuhteissa sen kertolaskukäyrä vastaa Verhulstin differentiaaliyhtälön ratkaisua ja saa "sigmoidisen" luonteen. Tämän mallin oikeellisuus vahvistettiin vuonna 2001 CodeRed II -madon puhkeamisen aikana . Vuorokauden aikana mato tartutti noin 350 000 verkkosolmua, ja viime tuntien aikana sen leviämisnopeus oli melko alhainen - mato "kompastui" jatkuvasti aiemmin tartunnan saaneisiin solmuihin.

Koska virustorjuntaohjelmat , jotka poistavat matoesiintymiä ja rokottavat järjestelmän (eli tekevät siitä haavoittumattoman), vastustavat aktiivisesti , epidemiakäyrän tulisi vastata Kermack-Mackendrick- yhtälöjärjestelmän ratkaisua terävällä, lähes eksponentiaalisella alkamisella, joka saavuttaa ääripää ja tasainen lasku, joka voi kestää viikkoja. Tällainen kuva on todellakin havaittu todellisuudessa useimmissa epidemioissa.

Postiprotokollia ( SMTP ) käyttävien matojen etenemiskäyrät näyttävät suunnilleen samalta, mutta niiden yleinen leviämisnopeus on useita suuruusluokkia pienempi. Tämä johtuu siitä, että "posti"-mato ei voi osoittaa suoraan mihinkään muuhun verkkosolmuun, vaan vain siihen, jonka sähköpostiosoite on tartunnan saaneessa koneessa (esimerkiksi Outlook Express -sähköpostiohjelman osoitekirjassa ). "Posti"-epidemioiden kesto voi olla useita kuukausia.

Rakenne

Madot voivat koostua eri osista.

Niin sanotut pysyvät madot ovat usein eristettyjä, ja ne voivat saastuttaa käynnissä olevan ohjelman ja jäädä RAM -muistiin , mutta ne eivät vaikuta kiintolevyihin . Voit päästä eroon tällaisista matoista käynnistämällä tietokoneen uudelleen (ja vastaavasti nollaamalla RAM-muistin). Tällaiset madot koostuvat pääasiassa "tarttuvasta" osasta: exploitista ( shellcode ) ja pienestä hyötykuormasta (itse madon rungosta), joka on sijoitettu kokonaan RAM-muistiin. Tällaisten matojen erityispiirre on, että niitä ei ladata lataajan kautta, kuten kaikki tavalliset suoritettavat tiedostot, mikä tarkoittaa, että ne voivat luottaa vain niihin dynaamisiin kirjastoihin , jotka muut ohjelmat ovat jo ladanneet muistiin.

On myös matoja, jotka onnistuneen muistin tartunnan jälkeen tallentavat koodin kiintolevylle ja ryhtyvät toimenpiteisiin tämän koodin suorittamiseksi myöhemmin (esimerkiksi määräämällä asianmukaiset avaimet Windowsin rekisteriin ). Näistä matoista pääsee eroon vain virustorjuntaohjelmistolla tai vastaavilla työkaluilla. Usein tällaisten matojen tarttuva osa (exploit, shellcode) sisältää pienen hyötykuorman, joka ladataan RAM-muistiin ja voi "ladata" itse madon rungon verkon yli erillisenä tiedostona. Tätä varten jotkin madot voivat sisältää yksinkertaisen TFTP-asiakkaan tarttuvassa osassaan . Tällä tavalla ladattu matorunko (yleensä erillinen suoritettava tiedosto) vastaa nyt edelleen tarkistuksesta ja leviämisestä tartunnan saaneesta järjestelmästä paikallisverkon yli ja voi sisältää myös vakavamman, täysipainoisemman hyötykuorman, jonka tarkoitus saattaa esimerkiksi aiheuttaa jonkinlaista haittaa (esim. DoS-hyökkäykset ).

Useimmat postimadot jaetaan yhtenä tiedostona. Ne eivät tarvitse erillistä "tarttuvaa" osaa, koska yleensä uhri käyttäjä lataa ja käynnistää vapaaehtoisesti sähköpostiohjelmalla tai Internet-selaimella koko madon .

Hyötykuorma

Usein madot, jopa ilman hyötykuormaa, ylikuormittavat ja poistavat verkkoja tilapäisesti vain intensiivisen leviämisen vuoksi. Tyypillinen mielekäs hyötykuorma voi muodostua tiedostojen korruptoimisesta uhrin tietokoneella (mukaan lukien verkkosivujen vaihtaminen, ns. "deface"), on myös mahdollista järjestää botnet tartunnan saaneista tietokoneista verkkohyökkäyksiä suorittamaan , roskapostin lähettämiseen tai kaivostoimintaan . kryptovaluutat .

Suojaustapoja

Koska verkkomadot käyttävät kolmannen osapuolen ohjelmistojen tai käyttöjärjestelmän haavoittuvuuksia päästäkseen käyttäjän järjestelmään, allekirjoituksiin perustuvien virustorjuntamonitoreiden käyttö ei riitä suojaamaan matoja vastaan. Lisäksi sosiaalisen manipuloinnin menetelmiä käytettäessä käyttäjä pakotetaan ajamaan haittaohjelma uskottavalla tekosyyllä, vaikka virustorjuntaohjelmiston varoituksesta huolimatta. Siksi, jotta voidaan tarjota kattava suoja nykyaikaisia ​​matoja ja muita haittaohjelmia vastaan, on käytettävä ennakoivaa suojausta. Myös "luottamushyvityksiin" perustuvaa menetelmää verkon matoja vastaan ​​harkitaan. Palomuurien ja vastaavien apuohjelmien (esimerkiksi Windows Worms Doors Cleaner) käyttö tarjoaa useita etuja.

Katso myös

Muistiinpanot

Linkit