Computerorm - Computer worm

Hex dump af Blaster-ormen , der viser en besked tilbage til Microsoft CEO Bill Gates ved ormen programmør

Spredning af Conficker orm

Del af en serie om
Informationssikkerhed
Relaterede sikkerhedskategorier
Computersikkerhed Bilsikkerhed Cyberkriminalitet Cybersexhandel Computersvindel Cybergeddon Cyberterrorisme Cyberkrig Elektronisk krigsførelse Informationskrig Internetsikkerhed Mobil sikkerhed Netværkssikkerhed Kopibeskyttelse Digital rettighedsstyring
Trusler
Adware Avanceret vedvarende trussel Udførelse af vilkårlig kode Bagdøre Hardware bagdøre Kodeinjektion Crimeware Scripting på tværs af websteder Cryptojacking malware Botnets Data brud Drive-by download browserhjælperobjekter Computerkriminalitet Vira Dataskrabning Nægtelse af service Aflytning E -mail -svindel Spoofing af e -mail Udnytter Keyloggers Logiske bomber Tidsbomber Gaffelbomber Zip bomber Svigagtige opkald Malware Nyttelast Phishing Polymorf motor Eskalering af privilegier Ransomware Rootkits Bootkits Scareware Shellcode Spamming Social engineering (sikkerhed) Skrabning af skærmen Spyware Software fejl Trojanske heste Hardware trojanske heste Fjernadgangstrojanske heste Sårbarhed Web skaller Visker Orme SQL -indsprøjtning Rogue sikkerhedssoftware Zombie
Forsvar
Applikationssikkerhed Sikker kodning Sikker som standard Sikker ved design Misbrugssag Computer adgangskontrol Godkendelse Multifaktorgodkendelse Bemyndigelse Computersikkerhedssoftware Antivirus software Sikkerhedsfokuseret operativsystem Datacentrisk sikkerhed Koder tilsløret Datamaskering Kryptering Firewall Indtrængningsdetekteringssystem Værtsbaseret indtrængningsdetekteringssystem (HIDS) Anomali detektion Sikkerhedsoplysninger og begivenhedsstyring (SIEM) Mobil sikker gateway Selvbeskyttelse af kørselsapplikationen
v t e

En computerorm er et selvstændigt malware -computerprogram, der replikerer sig selv for at sprede sig til andre computere. Det bruger ofte et computernetværk til at sprede sig selv og stoler på sikkerhedsfejl på målcomputeren for at få adgang til det. Den vil bruge denne maskine som vært til at scanne og inficere andre computere. Når disse nye orm-invaderede computere kontrolleres, vil ormen fortsætte med at scanne og inficere andre computere ved hjælp af disse computere som værter, og denne adfærd vil fortsætte. Computorme bruger rekursive metoder til at kopiere sig selv uden værtsprogrammer og distribuere sig selv baseret på loven om eksponentiel vækst og dermed kontrollere og inficere flere og flere computere på kort tid. Orme forårsager næsten altid mindst en vis skade på netværket, selvom det kun er ved at forbruge båndbredde , hvorimod vira næsten altid ødelægger eller ændrer filer på en målrettet computer.

Mange orme er kun designet til at sprede sig og forsøger ikke at ændre de systemer, de passerer igennem. Men som Morris-ormen og Mydoom viste, kan selv disse "nyttelastfrie" orme forårsage store forstyrrelser ved at øge netværkstrafikken og andre utilsigtede effekter.

Historie

Morris orm kildekode diskette på Computer History Museum

Det egentlige udtryk "orm" blev først brugt i John Brunners roman fra 1975, The Shockwave Rider . I romanen designer og afsætter Nichlas Haflinger en dataindsamlingsorm i en hævnakt mod de magtfulde mænd, der driver et nationalt elektronisk informationsweb, der fremkalder masseoverensstemmelse. "Du har den største orm nogensinde, der er løs i nettet, og den saboterer automatisk ethvert forsøg på at overvåge den. Der har aldrig været en orm med det hårde hoved eller så lange hale!"

Den første computerorm nogensinde blev udtænkt som en antivirussoftware. Navngivet Reaper , blev det skabt af Ray Tomlinson for at replikere sig på tværs af ARPANET og slette det eksperimentelle Creeper -program. Den 2. november 1988 udgav Robert Tappan Morris , en kandidatstuderende på datalogi ved Cornell University , det, der blev kendt som Morris -ormen , og forstyrrede mange computere dengang på Internettet, dengang var en tiendedel af alle dem, der var forbundet. Under Morris -appelprocessen vurderede den amerikanske appeldomstol omkostningerne ved at fjerne ormen fra hver installation til mellem $ 200 og $ 53.000; dette arbejde foranledigede dannelsen af CERT -koordineringscenter og phag -mailingliste. Morris blev selv den første person, der blev dømt og dømt i henhold til lov om computerbedrageri og misbrug fra 1986 .

Funktioner

Uafhængighed

Computervirus kræver generelt et værtsprogram. Virussen skriver sin egen kode i værtsprogrammet. Når programmet kører, udføres det skrevne virusprogram først, hvilket forårsager infektion og skade. En orm har ikke brug for et værtsprogram, da det er et uafhængigt program eller en kodebit. Derfor er det ikke begrænset af værtsprogrammet , men kan køre uafhængigt og aktivt udføre angreb.

Udnyt angreb

Fordi en orm ikke er begrænset af værtsprogrammet, kan orme drage fordel af forskellige sårbarheder i operativsystemet til at udføre aktive angreb. For eksempel " Nimda " virus udnytter sårbarheder til at angribe.

Kompleksitet

Nogle orme kombineres med websidescripts og er skjult på HTML -sider ved hjælp af VBScript , ActiveX og andre teknologier. Når en bruger får adgang til en webside, der indeholder en virus, ligger virussen automatisk i hukommelsen og venter på at blive udløst. Der er også nogle orme, der kombineres med bagdørsprogrammer eller trojanske heste , f.eks. " Code Red ".

Smitsomhed

Orme er mere smitsomme end traditionelle vira. De inficerer ikke kun lokale computere, men også alle servere og klienter på netværket baseret på den lokale computer. Orme kan let spredes gennem delte mapper , e-mails , ondsindede websider og servere med et stort antal sårbarheder i netværket.

Skade

Enhver kode, der er designet til at gøre mere end at sprede ormen, kaldes typisk " nyttelast ". Typiske ondsindede nyttelast kan slette filer på et værtssystem (f.eks. ExploreZip -ormen ), kryptere filer i et ransomware -angreb eller eksfiltrere data såsom fortrolige dokumenter eller adgangskoder.

Nogle orme kan installere en bagdør . Dette gør det muligt for computeren at blive fjernstyret af ormforfatteren som en " zombie ". Netværk på sådanne maskiner omtales ofte som botnets og bruges meget almindeligt til en række ondsindede formål, herunder at sende spam eller udføre DoS -angreb.

Nogle specielle orme angriber industrisystemer målrettet. Stuxnet blev primært transmitteret via LAN'er og inficerede tommelfinger-drev, da dets mål aldrig var forbundet til upålidelige netværk, som internettet. Denne virus kan ødelægge kerneproduktionskontrol -computersoftwaren, der bruges af kemikalie-, elproduktions- og kraftoverførselsvirksomheder i forskellige lande rundt om i verden - i Stuxnets tilfælde blev Iran, Indonesien og Indien hårdest ramt - den blev brugt til at "udstede ordrer" til andre udstyr på fabrikken, og for at skjule disse kommandoer fra at blive opdaget. Stuxnet brugte flere sårbarheder og fire forskellige nul-dagesudnyttelser (f.eks .: [1] ) i Windows-systemer og Siemens SIMATICWinCC- systemer til at angribe de integrerede programmerbare logiske controllere til industrimaskiner. Selvom disse systemer fungerer uafhængigt af netværket, kan operatøren, hvis operatøren indsætter en virusinficeret disk i systemets USB-interface, få kontrol over systemet uden andre operationelle krav eller prompts.

Modforanstaltninger

Orme spredes ved at udnytte sårbarheder i operativsystemer. Leverandører med sikkerhedsproblemer leverer regelmæssige sikkerhedsopdateringer (se " Patch Tuesday "), og hvis disse er installeret på en maskine, kan de fleste orme ikke sprede sig til den. Hvis en sårbarhed er afsløret, inden sikkerhedsrettelsen frigives af leverandøren, er et nul-dages angreb muligt.

Brugere skal være forsigtige med at åbne uventede e -mails og må ikke køre vedhæftede filer eller programmer eller besøge websteder, der er knyttet til sådanne e -mails. Men som med ILOVEYOU- ormen og med den øgede vækst og effektivitet af phishing- angreb er det stadig muligt at narre slutbrugeren til at køre ondsindet kode.

Anti-virus og anti-spyware software er nyttige, men skal holdes ajour med nye mønsterfiler mindst hvert par dage. Det anbefales også at bruge en firewall .

Brugere kan minimere truslen fra orme ved at holde deres computers operativsystem og anden software opdateret, undgå at åbne ikke -genkendte eller uventede e -mails og køre firewall og antivirussoftware.

Afbødningsteknikker omfatter:

• ACL'er i routere og switches
• Pakkefiltre
• TCP Wrapper / ACL -aktiverede netværkstjeneste dæmoner
• Nullroute

Infektioner kan undertiden opdages ved deres adfærd - typisk scanning af internettet tilfældigt og leder efter sårbare værter at inficere. Derudover kan maskinindlæringsteknikker bruges til at opdage nye orme ved at analysere den formodede computers adfærd.

Orme med god hensigt

En nyttig orm eller orm er en orm, der er designet til at gøre noget, som forfatteren mener er nyttigt, men ikke nødvendigvis med tilladelse fra den eksekverende computers ejer. Fra den første forskning i orme på Xerox PARC har der været forsøg på at skabe nyttige orme. Disse orme tillod John Shoch og Jon Hupp at teste Ethernet -principperne på deres netværk af Xerox Alto -computere. På samme måde forsøgte Nachi -familien af ​​orme at downloade og installere patches fra Microsofts websted for at løse sårbarheder i værtsystemet ved at udnytte de samme sårbarheder. Selv om dette i praksis kan have gjort disse systemer mere sikre, genererede det betydelig netværkstrafik, genstartede maskinen i løbet af programrettelsen og udførte sit arbejde uden samtykke fra computerens ejer eller bruger. Uanset deres nyttelast eller deres forfatteres intentioner betragter sikkerhedseksperter alle orme som malware .

En undersøgelse foreslog den første computerorm, der opererer på det andet lag af OSI-modellen (Data link Layer), ved hjælp af topologi-oplysninger såsom indholds-adresserbare hukommelsestabeller (CAM) -tabeller og spændingstræinformation gemt i switches til at udbrede og undersøge sårbare noder indtil virksomhedsnetværket er dækket.

Anti-orme er blevet brugt til at bekæmpe virkningerne af Code Red , Blaster og Santy orme. Welchia er et eksempel på en nyttig orm. Ved hjælp af de samme mangler, som Blaster -ormen udnyttede, inficerede Welchia computere og begyndte automatisk at downloade Microsofts sikkerhedsopdateringer til Windows uden brugernes samtykke. Welchia genstarter automatisk de computere, den inficerer efter installation af opdateringerne. En af disse opdateringer var den patch, der fikseret udnyttelsen.

Andre eksempler på nyttige orme er "Den_Zuko", "Cheeze", "CodeGreen" og "Millenium".

Se også

• BlueKeep
• Botnet
• Kode Shikara (orm)
• Computer- og netværksovervågning
• Computervirus
• E -mail spam
• Julemanden (computerorm)
• Selvreplikerende maskine
• Svindel med teknisk support - uopfordrede telefonopkald fra en falsk "teknisk support" -person, der hævder, at computeren har en virus eller andre problemer
• Tidslinje for computervirus og orme
• Trojansk hest (computing)
• XSS orm
• Zombie (datalogi)

Referencer

eksterne links

• Malware Guide  - Vejledning til forståelse, fjernelse og forebyggelse af orminfektioner på Vernalex.com.
• "'Worm' -programmerne - Tidlig erfaring med en distribueret beregning" , John Shoch og Jon Hupp, Communications of the ACM , Volume 25 Issue 3 (March 1982), s. 172–180.
• "Sagen om brug af lagdelt forsvar til at stoppe orme" , Uklassificeret rapport fra US National Security Agency (NSA), 18. juni 2004.
• Worm Evolution (arkiveret link), papir af Jago Maniscalchi om digital trussel, 31. maj 2009.