En netværksorm er en type ondsindet program , der uafhængigt spredes gennem lokale og globale ( internet ) computernetværk.
Tidlige eksperimenter med computerorme i distribueret databehandling blev udført på Xerox Palo Alto Research Center af John Shoch og Jon Hupp i 1978. Udtrykket "orm" var påvirket af science fiction-romanerne When HARLEY Turned One af David Gerrold (1972), som beskrev ormelignende programmer, og On the Shockwave John Brunner (1975), som introducerer selve begrebet. .
En af de mere berømte computerorme er Morris Worm , skrevet i 1988 af Robert Morris Jr., som dengang var studerende ved Cornell University . Spredningen af ormen begyndte den 2. november, hvorefter ormen hurtigt inficerede cirka 6.200 computere (ca. 10 % af alle computere, der var forbundet til internettet på det tidspunkt ). Også en anden velkendt orm er MyDoom , som også er den malware, der forårsagede den største økonomiske skade sammenlignet med enhver anden malware - 38.000.000.000 amerikanske dollars . Ændringer af denne postorm forbliver aktive og spredes til denne dag.
Alle mekanismer (" angrebsvektorer ") for ormeudbredelse er opdelt i to store grupper:
Nogle gange er der orme med en lang række forskellige udbredelsesvektorer, strategier for udvælgelse af offer og endda udnyttelser til forskellige operativsystemer .
Udbredelseshastigheden af en netværksorm afhænger af mange faktorer: netværkstopologien, algoritmen til at søge efter sårbare computere og den gennemsnitlige hastighed for at skabe nye kopier.
Netværksorme, der forplanter sig gennem netværket gennem direkte brug af TCP / IP-protokoller , det vil sige fra enhver IP-adresse til enhver anden, er kendetegnet ved hurtig spredning. Forudsat at hver forekomst af ormen pålideligt kender adressen på en tidligere uinficeret netværksknude, er eksponentiel reproduktion mulig. For eksempel, hvis hver instans inficerer én computer i sekundet, vil hele IPv4 -adresserummet være fyldt med ormen på et halvt minut. En hypotetisk orm, der ville være i stand til at sprede sig med sådan en hastighed, fik navnet "blitzkrieg-orm". Forsker N. Weaver fra University of Berkeley overvejede simple suboptimale algoritmer, der kunne tillade en orm, der formerer sig noget langsommere, at inficere internettet på 15 minutter. Denne type orm fik navnet "Warhol-orm" - til ære for Andy Warhol , forfatteren af ordsproget:
I fremtiden vil alle få en chance for 15 minutters berømmelse
SQL Slammer- ormen , der inficerede mere end 75.000 servere på 10 minutter i 2003, var tæt på dette distributionsmønster.
Langt de fleste orme bruger dog meget mindre effektive algoritmer. Forekomster af en typisk orm leder efter sårbare netværksknuder ved forsøg og fejl - tilfældigt. Under disse forhold svarer dens multiplikationskurve til løsningen af Verhulst differentialligningen og får en "sigmoid" karakter. Rigtigheden af denne model blev bekræftet i 2001 under udbruddet af CodeRed II- ormen . På 28 timer inficerede ormen omkring 350.000 netværksknuder, og i de seneste timer var spredningshastigheden ret lav – ormen "snublede" konstant over tidligere inficerede noder.
I lyset af aktiv modstand fra antivirus , der fjerner ormeforekomster og vaccinerer systemet (det vil sige gør det usårligt), bør epidemisk kurve svare til løsningen af Kermack-Mackendricks ligningssystem med en skarp, næsten eksponentiel begyndelse, og nå en ekstremum og et jævnt fald, der kan vare i uger. Et sådant billede er faktisk observeret i virkeligheden for de fleste epidemier.
Udbredelseskurverne for orme ved hjælp af postprotokoller (SMTP) ser omtrent ens ud, men deres samlede udbredelseshastighed er flere størrelsesordener lavere. Dette skyldes det faktum, at "mail"-ormen ikke direkte kan adressere nogen anden netværksknude, men kun den, hvis e-mailadresse findes på den inficerede maskine (for eksempel i adressebogen til Outlook Express -mailklienten ). Varigheden af "mail"-epidemier kan nå flere måneder.
Orme kan bestå af forskellige dele.
Såkaldte resident orme er ofte isolerede, som kan inficere et kørende program og opholde sig i RAM , uden at det påvirker harddiske . Du kan slippe af med sådanne orme ved at genstarte computeren (og følgelig ved at nulstille RAM). Sådanne orme består hovedsageligt af en "infektiøs" del: en udnyttelse ( shellcode ) og en lille nyttelast (selve ormens krop), som er placeret helt i RAM. Det specifikke ved sådanne orme er, at de ikke indlæses gennem loaderen, som alle almindelige eksekverbare filer, hvilket betyder, at de kun kan stole på de dynamiske biblioteker , der allerede er blevet indlæst i hukommelsen af andre programmer.
Der er også orme, som efter succesfuldt inficering af hukommelsen gemmer koden på harddisken og træffer foranstaltninger til efterfølgende at køre denne kode (for eksempel ved at ordinere de relevante nøgler i Windows-registreringsdatabasen ). Disse orme kan kun slippes af med antivirussoftware eller lignende værktøjer. Ofte indeholder den infektiøse del af sådanne orme (udnyttelse, shellcode) en lille nyttelast, der indlæses i RAM og kan "indlæse" selve ormen over netværket som en separat fil. For at gøre dette kan nogle orme indeholde en simpel TFTP-klient i deres infektiøse del . Ormekroppen indlæst på denne måde (normalt en separat eksekverbar fil) er nu ansvarlig for yderligere scanning og spredning fra det inficerede system over det lokale netværk, og kan også indeholde en mere seriøs, fuldgyldig nyttelast, hvis formål kan, for eksempel forårsage en form for skade (f.eks. DoS-angreb ).
De fleste postorme distribueres som en enkelt fil. De har ikke brug for en separat "infektiøs" del, da offerbrugeren normalt ved hjælp af en e-mail-klient eller internetbrowser frivilligt downloader og starter hele ormen.
Orme, selv uden nogen nyttelast, overbelaster og deaktiverer ofte netværk kun på grund af intensiv udbredelse. En typisk meningsfuld nyttelast kan bestå i at korrumpere filer på offerets computer (herunder ændring af websider, den såkaldte "deface"), det er også muligt at organisere et botnet fra inficerede computere til at udføre netværksangreb , sende spam eller mine kryptovalutaer .
På grund af det faktum, at netværksorme bruger sårbarheder i tredjepartssoftware eller operativsystemet til at trænge ind i en brugers system, er det ikke nok at bruge signaturbaserede antivirusmonitorer til at beskytte mod orme. Når brugeren bruger social engineering-metoder, er brugeren også tvunget til at køre et ondsindet program under et plausibelt påskud, selv på trods af en advarsel fra antivirussoftwaren. For at yde omfattende beskyttelse mod moderne orme og andre ondsindede programmer er det derfor nødvendigt at bruge proaktiv beskyttelse. En metode til beskyttelse mod netværksorme baseret på "tillidskreditter" overvejes også. Brugen af firewalls og lignende hjælpeprogrammer giver en række fordele (for eksempel Windows Worms Doors Cleaner)
Ondsindet software | |
---|---|
Infektiøs malware | |
Gemme metoder | |
Malware for profit |
|
Af operativsystemer |
|
Beskyttelse | |
Modforanstaltninger |
|
Botnets | |
---|---|
|
Software distribution | |
---|---|
Licenser | |
Indkomstmodeller | |
Forsendelsesmetoder |
|
Svigagtig/ulovlig | |
Andet |
|