Сетевые черви
Сетевой червь — разновидность вредоносной программы, самостоятельно распространяющейся через локальные и глобальные (Интернет) компьютерные сети.
История
Ранние эксперименты по использованию компьютерных червей в распределённых вычислениях были проведены в исследовательском центре Xerox в Пало-Альто Джоном Шочем (John Shoch) и Йоном Хуппом (Jon Hupp) в 1978 году. Термин «червь» возник под влиянием научно-фантастических романов «Когда ХАРЛИ исполнился год» Дэвида Герролда (1972), в котором были описаны червеподобные программы, и [англ.]Джона Браннера (1975), где вводится сам термин.
Одним из наиболее известных компьютерных червей является «Червь Морриса», написанный в 1988 году Робертом Моррисом-младшим, который был в то время студентом Корнеллского Университета. Распространение червя началось 2 ноября, после чего он быстро заразил примерно 6200 компьютеров (это около 10 % всех компьютеров, подключённых в то время к Интернету). Ещё один известный червь — «Mydoom», являющийся вредоносной программой, нанёсшей самый большой экономический ущерб по сравнению с любым другим вредоносным ПО — 38.000.000.000 долларов США. Модификации данного почтового червя сохраняют свою активность и распространяются по сей день.
Механизмы распространения
Все механизмы («векторы атаки») распространения червей делятся на две большие группы:
- Использование уязвимостей и ошибок администрирования в программном обеспечении, установленном на компьютере. Червь Морриса использовал известные на тот момент уязвимости в программном обеспечении, а именно в почтовом сервере sendmail, сервисе finger и подбирал пароль по словарю. Такие черви способны распространяться автономно, выбирая и атакуя компьютеры в полностью автоматическом режиме.
- Используя средства так называемой социальной инженерии, провоцируется запуск вредоносной программы самим пользователем. Чтобы убедить пользователя в том, что файл безопасен, могут подключаться недостатки пользовательского интерфейса программы — например, червь VBS.LoveLetter использовал тот факт, что Outlook Express скрывает расширения файлов. Также, социальная инженерия может сыграть и на людях, не разбирающихся в компьютерной технике, которые не заметят ничего подозрительного в расширении файла (.apk, .exe, .vbs, .bat, и т.д.). Данный метод широко применяется в спам-рассылках, социальных сетях и т. д.
Иногда встречаются черви с целым набором различных векторов распространения, стратегий выбора жертвы, и даже эксплойтов под различные операционные системы.
Скорость распространения
Скорость распространения сетевого червя зависит от многих факторов: от топологии сети, алгоритма поиска уязвимых компьютеров, средней скорости создания новых копий.
Для сетевых червей, распространяющихся по сети путём непосредственного использования протоколов TCP/IP, то есть, с любого IP-адреса на любой другой, характерно стремительное распространение. При условии, что каждый экземпляр червя достоверно знает адрес ранее незараженного узла сети, возможно экспоненциальное размножение. Например, если каждый экземпляр заражает один компьютер в секунду, все адресное пространство IPv4 будет заполнено червём за полминуты. Гипотетическому червю, способному распространяться с такой скоростью, дали название «блицкриг-червя». Исследователем Н.Уивером из университета Беркли рассмотрены несложные субоптимальные алгоритмы, которые могли бы позволить червю, размножаясь несколько медленнее, тем не менее заразить Интернет за 15 минут. Червь такого типа получил наименование «червь Уорхола» — в честь Энди Уорхола, автора изречения:
В будущем каждый получит шанс на 15 минут славы
Эпидемия червя SQL Slammer, заразившего в 2003 г. более 75000 серверов за 10 минут, была близка к этой модели распространения.
Тем не менее, подавляющее большинство червей использует гораздо менее эффективные алгоритмы. Экземпляры типичного червя случайным образом ищут уязвимые узлы сети, используя метод проб и ошибок. В этих условиях кривая размножения соответствует решению дифференциального уравнения Ферхюльста и приобретает «сигмовидный» характер. Корректность такой модели была подтверждена в 2001 году во время эпидемии червя CodeRed II. За 28 часов червь заразил около 350 000 узлов сети, причем в последние часы скорость его распространения была довольно мала — червь постоянно «натыкался» на уже зараженные ранее узлы.
В условиях активного противодействия со стороны антивирусов, удаляющих экземпляры червя и вакцинирующих систему (то есть делающих её неуязвимой), кривая эпидемии должна соответствовать решению системы уравнений Кермака-Маккендрика с острым, почти экспоненциальным началом, достижением экстремума и плавным спадом, который может продолжаться неделями. Такая картина, действительно, наблюдается в реальности для большинства эпидемий.
Вид кривых размножения для червей, использующих почтовые протоколы (SMTP), выглядит примерно так же, но общая скорость их распространения на несколько порядков ниже. Связано это с тем, что «почтовый» червь не может напрямую обратиться к любому другому узлу сети, а только к тому, почтовый адрес которого присутствует на зараженной машине (например, в адресной книге почтового клиента Outlook Express). Продолжительность «почтовых» эпидемий может достигать нескольких месяцев.
Структура
Черви могут состоять из различных частей.
Часто выделяют так называемые резидентные черви, которые могут инфицировать работающую программу и находиться в ОЗУ, при этом не затрагивая жёсткие диски. От таких червей можно избавиться перезапуском компьютера (и, соответственно, сбросом ОЗУ). Такие черви состоят в основном из «инфекционной» части: эксплойта (шелл-кода) и небольшой полезной нагрузки (самого тела червя), которая размещается целиком в ОЗУ. Специфика таких червей заключается в том, что они не загружаются через загрузчик, как все обычные исполняемые файлы, а значит, могут рассчитывать только на те динамические библиотеки, которые уже были загружены в память другими программами.
Также существуют черви, которые после успешного инфицирования памяти сохраняют код на жёстком диске и принимают меры для последующего запуска этого кода (например, путём прописывания соответствующих ключей в реестре Windows). От таких червей можно избавиться только при помощи антивирусного программного обеспечения или подобных инструментов. Зачастую инфекционная часть таких червей (эксплойт, шелл-код) содержит небольшую полезную нагрузку, которая загружается в ОЗУ и может «догрузить» по сети непосредственно само тело червя в виде отдельного файла. Для этого некоторые черви могут содержать в инфекционной части простой TFTP-клиент. Загружаемое таким способом тело червя (обычно отдельный исполняемый файл) теперь отвечает за дальнейшее сканирование и распространение уже с инфицированной системы по локальной сети, а также может содержать более серьёзную, полноценную полезную нагрузку, целью которой может быть, например, нанесение какого-либо вреда (к примеру, DoS-атаки).
Большинство почтовых червей распространяются как один файл. Им не нужна отдельная «инфекционная» часть, так как обычно пользователь-жертва при помощи почтового клиента или Интернет-браузера добровольно скачивает и запускает червя целиком.
Полезная нагрузка (Payload)
Зачастую черви даже безо всякой полезной нагрузки перегружают и временно выводят из строя сети только за счёт интенсивного распространения. Типичная осмысленная полезная нагрузка может заключаться в порче файлов на компьютере-жертве (в том числе, изменение веб-страниц, так называемый «deface»), также из зараженных компьютеров возможна организация ботнета для проведения сетевых атак, рассылки спама или майнинга криптовалют.
Способы защиты
По причине того, что сетевые черви для своего проникновения в систему пользователя используют уязвимости в стороннем программном обеспечении или операционной системе, использования сигнатурных антивирусных мониторов недостаточно для защиты от червей. Также, при использовании методов социальной инженерии пользователя под благовидным предлогом вынуждают запустить вредоносную программу, даже несмотря на предупреждение со стороны антивирусного программного обеспечения. Таким образом, для комплексного обеспечения защиты от современных червей, и любых других вредоносных программ, необходимо использование проактивной защиты. Рассматривается также способ защиты от сетевых червей на основе «кредитов доверия». Ряд преимуществ дает применение межсетевых экранов и подобных им утилит (например, Windows Worms Doors Cleaner)
См. также
- Хронология компьютерных вирусов и червей
- Многовекторный червь
Примечания
Ссылки
- Климентьев К. Е. Компьютерные вирусы и антивирусы: взгляд программиста. — М.: ДМК-Пресс, 2013. С. 656. ISBN 978-5-94074-885-4
- John Shoch, Jon Hupp The 'Worm' Programs — Early Experience with a Distributed Computation" (англ.), Communications of the ACM, March 1982 Volume 25 Number 3, pp. 172–180, ISSN 00010782
- Nicholas C. Weaver Warhol Worms: The Potential for Very Fast Internet Plagues
- RFC 1135 (англ.)— The Helminthiasis of the Internet
В статье есть список источников, но не хватает сносок. |
Википедия, чтение, книга, библиотека, поиск, нажмите, истории, книги, статьи, wikipedia, учить, информация, история, скачать, скачать бесплатно, mp3, видео, mp4, 3gp, jpg, jpeg, gif, png, картинка, музыка, песня, фильм, игра, игры, мобильный, телефон, Android, iOS, apple, мобильный телефон, Samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Сеть, компьютер, Информация о Сетевые черви, Что такое Сетевые черви? Что означает Сетевые черви?
U etogo termina sushestvuyut i drugie znacheniya sm Chervi znacheniya Setevoj cherv raznovidnost vredonosnoj programmy samostoyatelno rasprostranyayushejsya cherez lokalnye i globalnye Internet kompyuternye seti IstoriyaRannie eksperimenty po ispolzovaniyu kompyuternyh chervej v raspredelyonnyh vychisleniyah byli provedeny v issledovatelskom centre Xerox v Palo Alto Dzhonom Shochem John Shoch i Jonom Huppom Jon Hupp v 1978 godu Termin cherv voznik pod vliyaniem nauchno fantasticheskih romanov Kogda HARLI ispolnilsya god Devida Gerrolda 1972 v kotorom byli opisany chervepodobnye programmy i angl Dzhona Brannera 1975 gde vvoditsya sam termin Odnim iz naibolee izvestnyh kompyuternyh chervej yavlyaetsya Cherv Morrisa napisannyj v 1988 godu Robertom Morrisom mladshim kotoryj byl v to vremya studentom Kornellskogo Universiteta Rasprostranenie chervya nachalos 2 noyabrya posle chego on bystro zarazil primerno 6200 kompyuterov eto okolo 10 vseh kompyuterov podklyuchyonnyh v to vremya k Internetu Eshyo odin izvestnyj cherv Mydoom yavlyayushijsya vredonosnoj programmoj nanyosshej samyj bolshoj ekonomicheskij usherb po sravneniyu s lyubym drugim vredonosnym PO 38 000 000 000 dollarov SShA Modifikacii dannogo pochtovogo chervya sohranyayut svoyu aktivnost i rasprostranyayutsya po sej den Mehanizmy rasprostraneniyaVse mehanizmy vektory ataki rasprostraneniya chervej delyatsya na dve bolshie gruppy Ispolzovanie uyazvimostej i oshibok administrirovaniya v programmnom obespechenii ustanovlennom na kompyutere Cherv Morrisa ispolzoval izvestnye na tot moment uyazvimosti v programmnom obespechenii a imenno v pochtovom servere sendmail servise finger i podbiral parol po slovaryu Takie chervi sposobny rasprostranyatsya avtonomno vybiraya i atakuya kompyutery v polnostyu avtomaticheskom rezhime Ispolzuya sredstva tak nazyvaemoj socialnoj inzhenerii provociruetsya zapusk vredonosnoj programmy samim polzovatelem Chtoby ubedit polzovatelya v tom chto fajl bezopasen mogut podklyuchatsya nedostatki polzovatelskogo interfejsa programmy naprimer cherv VBS LoveLetter ispolzoval tot fakt chto Outlook Express skryvaet rasshireniya fajlov Takzhe socialnaya inzheneriya mozhet sygrat i na lyudyah ne razbirayushihsya v kompyuternoj tehnike kotorye ne zametyat nichego podozritelnogo v rasshirenii fajla apk exe vbs bat i t d Dannyj metod shiroko primenyaetsya v spam rassylkah socialnyh setyah i t d Inogda vstrechayutsya chervi s celym naborom razlichnyh vektorov rasprostraneniya strategij vybora zhertvy i dazhe eksplojtov pod razlichnye operacionnye sistemy Skorost rasprostraneniyaSkorost rasprostraneniya setevogo chervya zavisit ot mnogih faktorov ot topologii seti algoritma poiska uyazvimyh kompyuterov srednej skorosti sozdaniya novyh kopij Dlya setevyh chervej rasprostranyayushihsya po seti putyom neposredstvennogo ispolzovaniya protokolov TCP IP to est s lyubogo IP adresa na lyuboj drugoj harakterno stremitelnoe rasprostranenie Pri uslovii chto kazhdyj ekzemplyar chervya dostoverno znaet adres ranee nezarazhennogo uzla seti vozmozhno eksponencialnoe razmnozhenie Naprimer esli kazhdyj ekzemplyar zarazhaet odin kompyuter v sekundu vse adresnoe prostranstvo IPv4 budet zapolneno chervyom za polminuty Gipoteticheskomu chervyu sposobnomu rasprostranyatsya s takoj skorostyu dali nazvanie blickrig chervya Issledovatelem N Uiverom iz universiteta Berkli rassmotreny neslozhnye suboptimalnye algoritmy kotorye mogli by pozvolit chervyu razmnozhayas neskolko medlennee tem ne menee zarazit Internet za 15 minut Cherv takogo tipa poluchil naimenovanie cherv Uorhola v chest Endi Uorhola avtora izrecheniya V budushem kazhdyj poluchit shans na 15 minut slavy Epidemiya chervya SQL Slammer zarazivshego v 2003 g bolee 75000 serverov za 10 minut byla blizka k etoj modeli rasprostraneniya Tem ne menee podavlyayushee bolshinstvo chervej ispolzuet gorazdo menee effektivnye algoritmy Ekzemplyary tipichnogo chervya sluchajnym obrazom ishut uyazvimye uzly seti ispolzuya metod prob i oshibok V etih usloviyah krivaya razmnozheniya sootvetstvuet resheniyu differencialnogo uravneniya Ferhyulsta i priobretaet sigmovidnyj harakter Korrektnost takoj modeli byla podtverzhdena v 2001 godu vo vremya epidemii chervya CodeRed II Za 28 chasov cherv zarazil okolo 350 000 uzlov seti prichem v poslednie chasy skorost ego rasprostraneniya byla dovolno mala cherv postoyanno natykalsya na uzhe zarazhennye ranee uzly V usloviyah aktivnogo protivodejstviya so storony antivirusov udalyayushih ekzemplyary chervya i vakciniruyushih sistemu to est delayushih eyo neuyazvimoj krivaya epidemii dolzhna sootvetstvovat resheniyu sistemy uravnenij Kermaka Makkendrika s ostrym pochti eksponencialnym nachalom dostizheniem ekstremuma i plavnym spadom kotoryj mozhet prodolzhatsya nedelyami Takaya kartina dejstvitelno nablyudaetsya v realnosti dlya bolshinstva epidemij Vid krivyh razmnozheniya dlya chervej ispolzuyushih pochtovye protokoly SMTP vyglyadit primerno tak zhe no obshaya skorost ih rasprostraneniya na neskolko poryadkov nizhe Svyazano eto s tem chto pochtovyj cherv ne mozhet napryamuyu obratitsya k lyubomu drugomu uzlu seti a tolko k tomu pochtovyj adres kotorogo prisutstvuet na zarazhennoj mashine naprimer v adresnoj knige pochtovogo klienta Outlook Express Prodolzhitelnost pochtovyh epidemij mozhet dostigat neskolkih mesyacev StrukturaChervi mogut sostoyat iz razlichnyh chastej Chasto vydelyayut tak nazyvaemye rezidentnye chervi kotorye mogut inficirovat rabotayushuyu programmu i nahoditsya v OZU pri etom ne zatragivaya zhyostkie diski Ot takih chervej mozhno izbavitsya perezapuskom kompyutera i sootvetstvenno sbrosom OZU Takie chervi sostoyat v osnovnom iz infekcionnoj chasti eksplojta shell koda i nebolshoj poleznoj nagruzki samogo tela chervya kotoraya razmeshaetsya celikom v OZU Specifika takih chervej zaklyuchaetsya v tom chto oni ne zagruzhayutsya cherez zagruzchik kak vse obychnye ispolnyaemye fajly a znachit mogut rasschityvat tolko na te dinamicheskie biblioteki kotorye uzhe byli zagruzheny v pamyat drugimi programmami Takzhe sushestvuyut chervi kotorye posle uspeshnogo inficirovaniya pamyati sohranyayut kod na zhyostkom diske i prinimayut mery dlya posleduyushego zapuska etogo koda naprimer putyom propisyvaniya sootvetstvuyushih klyuchej v reestre Windows Ot takih chervej mozhno izbavitsya tolko pri pomoshi antivirusnogo programmnogo obespecheniya ili podobnyh instrumentov Zachastuyu infekcionnaya chast takih chervej eksplojt shell kod soderzhit nebolshuyu poleznuyu nagruzku kotoraya zagruzhaetsya v OZU i mozhet dogruzit po seti neposredstvenno samo telo chervya v vide otdelnogo fajla Dlya etogo nekotorye chervi mogut soderzhat v infekcionnoj chasti prostoj TFTP klient Zagruzhaemoe takim sposobom telo chervya obychno otdelnyj ispolnyaemyj fajl teper otvechaet za dalnejshee skanirovanie i rasprostranenie uzhe s inficirovannoj sistemy po lokalnoj seti a takzhe mozhet soderzhat bolee seryoznuyu polnocennuyu poleznuyu nagruzku celyu kotoroj mozhet byt naprimer nanesenie kakogo libo vreda k primeru DoS ataki Bolshinstvo pochtovyh chervej rasprostranyayutsya kak odin fajl Im ne nuzhna otdelnaya infekcionnaya chast tak kak obychno polzovatel zhertva pri pomoshi pochtovogo klienta ili Internet brauzera dobrovolno skachivaet i zapuskaet chervya celikom Poleznaya nagruzka Payload Zachastuyu chervi dazhe bezo vsyakoj poleznoj nagruzki peregruzhayut i vremenno vyvodyat iz stroya seti tolko za schyot intensivnogo rasprostraneniya Tipichnaya osmyslennaya poleznaya nagruzka mozhet zaklyuchatsya v porche fajlov na kompyutere zhertve v tom chisle izmenenie veb stranic tak nazyvaemyj deface takzhe iz zarazhennyh kompyuterov vozmozhna organizaciya botneta dlya provedeniya setevyh atak rassylki spama ili majninga kriptovalyut Sposoby zashityPo prichine togo chto setevye chervi dlya svoego proniknoveniya v sistemu polzovatelya ispolzuyut uyazvimosti v storonnem programmnom obespechenii ili operacionnoj sisteme ispolzovaniya signaturnyh antivirusnyh monitorov nedostatochno dlya zashity ot chervej Takzhe pri ispolzovanii metodov socialnoj inzhenerii polzovatelya pod blagovidnym predlogom vynuzhdayut zapustit vredonosnuyu programmu dazhe nesmotrya na preduprezhdenie so storony antivirusnogo programmnogo obespecheniya Takim obrazom dlya kompleksnogo obespecheniya zashity ot sovremennyh chervej i lyubyh drugih vredonosnyh programm neobhodimo ispolzovanie proaktivnoj zashity Rassmatrivaetsya takzhe sposob zashity ot setevyh chervej na osnove kreditov doveriya Ryad preimushestv daet primenenie mezhsetevyh ekranov i podobnyh im utilit naprimer Windows Worms Doors Cleaner Sm takzheHronologiya kompyuternyh virusov i chervej Mnogovektornyj chervPrimechaniyaSsylkiMediafajly na Vikisklade Klimentev K E Kompyuternye virusy i antivirusy vzglyad programmista M DMK Press 2013 S 656 ISBN 978 5 94074 885 4 John Shoch Jon Hupp The Worm Programs Early Experience with a Distributed Computation angl Communications of the ACM March 1982 Volume 25 Number 3 pp 172 180 ISSN 00010782 Nicholas C Weaver Warhol Worms The Potential for Very Fast Internet Plagues RFC 1135 angl The Helminthiasis of the InternetV state est spisok istochnikov no ne hvataet snosok Bez snosok slozhno opredelit iz kakogo istochnika vzyato kazhdoe otdelnoe utverzhdenie Vy mozhete uluchshit statyu prostaviv snoski na istochniki podtverzhdayushie informaciyu Svedeniya bez snosok mogut byt udaleny 2 noyabrya 2023
