Bot-черви: опастность приближается...
Представляется, что текущая тенденция развития вредоносных программ движется в направлении bot-червей. Bot-программы, работающие как агент пользователя или другой программы, часто называются malware и способны атаковать огромное количество ничего не подозревающих пользователей. Каковы же возможные новые добавления и модификации, которые авторы bot-червей могут включить в свои отвратительные "произведения" уже в ближайшем будущем?
В настоящее время все bot-черви строятся по модульному принципу. Это значит, что автор программы может выбирать различные методы атаки, включая использование брешей в системах защиты, массовую почтовую рассылку, непосредственное размножение, а также их различные сочетания. Результат - специализированный червь, разработанный специально для выполнения своей задачи: похищения информации и установления контроля за инфицированным ПК.
Идея модульности этих типов червей была реализована в WORM_RBOT.CBQ и WORM_ZOTOB - двух сетевых червях, которые стали "гвоздем" информационных выпусков на прошлой неделе. Бреши в сетевой системе защиты могут использоваться для проникновения, как только опубликован код, иллюстрирующий это слабое место. Когда написанный сегмент кода, использующий какую-то брешь в защите операционной системы, публикуется в Интернете, "создатели" этих червей сразу могут внедрить его в код уже существующего червя, перекомпилировать, и, пожалуйста - уже готов к распространению новый опасный вид червя.
Таким образом, в ближайшем будущем ожидается сокращение времени распространения сетевых червей. Ниже приведен список, в котором показано время, прошедшее с момента обнаружения бреши в системе защиты до появления червя, использующего эту брешь.
WORM_NIMDA: 366 днейWORM_SLAMMER: 185 днейWORM_BLASTER: 26 днейWORM_SASSER: 18 днейWORM_ZOTOB: 4 дня
Что из этого следует: в настоящее время скорость создания червей постоянно растет. Поэтому пользователи ПК во всем мире подвергаются все большей опасности. Для того чтобы противостоять угрозе, предлагаются следующие методы:
1. Устанавливать обновления безопасности на домашних ПК, как только они станут доступны на Web-сайте корпорации Microsoft. Автоматическое обновление уже стало не дополнительной возможностью, а обязательной функцией. Безопасность домашних систем можно обеспечить, только имея подключение к Интернету.
2. В корпоративных системах используется программное и аппаратное обеспечение, разработанное специально с учетом защиты от таких вторжений. Определение и блокировка сетевых пакетов, которые используют черви для проникновения через слабые места, по существу, лучшая защита от такого типа malware. Эти системы включают системы обнаружения сетевых атак, а также специализированное сетевое антивирусное ПО, так называемые "фаерволлы", которые могут блокировать прием пакетов, посылаемых вредоносными программами, даже если в основной системе имеется брешь.
Предполагается, что в будущем вредоносные программы будут использовать следующие технологии:
Захват потоков RSS: как следует из названия, эта развивающаяся технология является методом автоматического получения обновлений, или "Real Simple Syndication". Содержание Web-страниц может обновляться, и их RSS-подписчики могут получать новый контент по мере публикации с помощью клиентов RSS, которые постоянно отслеживают обновления. Самый простой способ использования этой развивающейся технологии - захват уже сконфигурированных клиентов RSS для автоматической загрузки новых копий червей и другого вредоносного ПО на инфицированные ПК. Это достигается путем перенастройки уже сконфигурированного клиента на другой, вредоносный Web-контент. Сначала червь проверяет, настроена ли данная система на какую-либо автоматическую загрузку обновлений. Если это так, остается всего лишь добавить или изменить один из адресов для обновлений на адрес вредоносного Web-сайта. Такой тип атак может иметь два прямых последствия:
1. Измененный агент может служить в качестве "пассивной" точки загрузки, т.к. соединение начинается с разрешенного адреса. Из-за того, что первое соединение уже "разрешено", он может обойти персональные межсетевые экраны и другие барьеры.
2. Загрузки будут все равно продолжаться, даже если червь обнаружен и удален. Для полного прекращения загрузки необходимо средство для удаления вредоносной информации из конфигурации клиента RSS.
Один из факторов, уменьшающих эту опасность: в настоящее время такие программы загрузки не стандартизованы, поэтому атакам могут подвергаться только определенные программы. Этот тип атак в настоящее время не является достаточно опасным.
Однако ситуация может измениться с выходом окончательной новой версии обозревателя Internet Explorer 7. Корпорация Microsoft уже объявила, что эта новая версия популярного Интернет-обозревателя будет содержать встроенную поддержку загрузки по технологии RSS. Поэтому авторы червей могут получить новые мощные возможности для атак.
Чтобы бороться с такими атаками, компании должны применять, если они еще не применяют, методы сканирования трафика HTTP. Судя по всему, это будет один из самых популярных методов борьбы с распространением malware в ближайшем будущем.
Еще одна возможная технология проникновения, о которой мы должны знать, заключается в следующем:
Полиморфные атаки с использованием изменяемого кода. Некоторые исследователи считают, что авторы подобных bot-червей могут создавать модули с изменяемым исполнимым кодом, который будет меняться при каждом запуске, но приносить такой же результат. Из-за того, что большинство систем обнаружения сетевых атак и систем обнаружения брешей в системе защиты определяют malware по определенным участкам кода, если код будет меняться каждый раз, вредоносные программы смогут обойти все сканеры и выполнить свою вредоносную задачу. Хотя это теоретически возможно, в случае, если такой модуль будет создан, его авторы должны иметь возможность понять, как работает код для проникновения и как его можно изменить. Эти концепции конфликтуют с вышеупомянутой тенденцией включения во вредоносные программы новых способов проникновения как можно раньше, и могут замедлить создание новых червей. Авторам червей придется выбирать между быстрой атакой и невидимой атакой. Будем надеяться, что такая технология останется возможной лишь теоретически, но эту опасность необходимо принимать во внимание.
Борясь с такими bot-червями, антивирусные компании уже давно поняли, что различия между многими вариантами одного и того же червя заключаются только в использовании разных методов сжатия. Авторы червей перекомпилируют их и по-другому сжимают новую программу. После того, как производители антивирусов научатся определять эту вредоносную программу, авторы червя просто используют другой алгоритм сжатия, и процесс продолжается снова. Существуют сотни различных алгоритмов сжатия, поэтому задача обнаружения bot-червей становится очень сложной.
Необходимо, конечно, научиться сначала определять, каким методом сжат файл, а уже потом применять различные шаблоны для поиска червей. Мы ожидаем, что в ближайшие месяцы в этом направлении будет достигнут определенный прогресс. В частности, компания Trend Micro уже работает над созданием системы сканирования, которая сможет определять способ сжатия. Выпуск системы сканирования Trend Micro 7.7 планируется на начало будущего года, и благодаря новой технологии обнаружения bot-червей они будут определяться сразу после появления.
Bot-черви - самый опасный вид malware, существующий в настоящее время. Пользователи должны осознавать их опасность, а также знать методы, которые они используют для заражения других компьютеров, чтобы иметь возможность защититься от них.
В настоящее время все bot-черви строятся по модульному принципу. Это значит, что автор программы может выбирать различные методы атаки, включая использование брешей в системах защиты, массовую почтовую рассылку, непосредственное размножение, а также их различные сочетания. Результат - специализированный червь, разработанный специально для выполнения своей задачи: похищения информации и установления контроля за инфицированным ПК.
Идея модульности этих типов червей была реализована в WORM_RBOT.CBQ и WORM_ZOTOB - двух сетевых червях, которые стали "гвоздем" информационных выпусков на прошлой неделе. Бреши в сетевой системе защиты могут использоваться для проникновения, как только опубликован код, иллюстрирующий это слабое место. Когда написанный сегмент кода, использующий какую-то брешь в защите операционной системы, публикуется в Интернете, "создатели" этих червей сразу могут внедрить его в код уже существующего червя, перекомпилировать, и, пожалуйста - уже готов к распространению новый опасный вид червя.
Таким образом, в ближайшем будущем ожидается сокращение времени распространения сетевых червей. Ниже приведен список, в котором показано время, прошедшее с момента обнаружения бреши в системе защиты до появления червя, использующего эту брешь.
WORM_NIMDA: 366 днейWORM_SLAMMER: 185 днейWORM_BLASTER: 26 днейWORM_SASSER: 18 днейWORM_ZOTOB: 4 дня
Что из этого следует: в настоящее время скорость создания червей постоянно растет. Поэтому пользователи ПК во всем мире подвергаются все большей опасности. Для того чтобы противостоять угрозе, предлагаются следующие методы:
1. Устанавливать обновления безопасности на домашних ПК, как только они станут доступны на Web-сайте корпорации Microsoft. Автоматическое обновление уже стало не дополнительной возможностью, а обязательной функцией. Безопасность домашних систем можно обеспечить, только имея подключение к Интернету.
2. В корпоративных системах используется программное и аппаратное обеспечение, разработанное специально с учетом защиты от таких вторжений. Определение и блокировка сетевых пакетов, которые используют черви для проникновения через слабые места, по существу, лучшая защита от такого типа malware. Эти системы включают системы обнаружения сетевых атак, а также специализированное сетевое антивирусное ПО, так называемые "фаерволлы", которые могут блокировать прием пакетов, посылаемых вредоносными программами, даже если в основной системе имеется брешь.
Предполагается, что в будущем вредоносные программы будут использовать следующие технологии:
Захват потоков RSS: как следует из названия, эта развивающаяся технология является методом автоматического получения обновлений, или "Real Simple Syndication". Содержание Web-страниц может обновляться, и их RSS-подписчики могут получать новый контент по мере публикации с помощью клиентов RSS, которые постоянно отслеживают обновления. Самый простой способ использования этой развивающейся технологии - захват уже сконфигурированных клиентов RSS для автоматической загрузки новых копий червей и другого вредоносного ПО на инфицированные ПК. Это достигается путем перенастройки уже сконфигурированного клиента на другой, вредоносный Web-контент. Сначала червь проверяет, настроена ли данная система на какую-либо автоматическую загрузку обновлений. Если это так, остается всего лишь добавить или изменить один из адресов для обновлений на адрес вредоносного Web-сайта. Такой тип атак может иметь два прямых последствия:
1. Измененный агент может служить в качестве "пассивной" точки загрузки, т.к. соединение начинается с разрешенного адреса. Из-за того, что первое соединение уже "разрешено", он может обойти персональные межсетевые экраны и другие барьеры.
2. Загрузки будут все равно продолжаться, даже если червь обнаружен и удален. Для полного прекращения загрузки необходимо средство для удаления вредоносной информации из конфигурации клиента RSS.
Один из факторов, уменьшающих эту опасность: в настоящее время такие программы загрузки не стандартизованы, поэтому атакам могут подвергаться только определенные программы. Этот тип атак в настоящее время не является достаточно опасным.
Однако ситуация может измениться с выходом окончательной новой версии обозревателя Internet Explorer 7. Корпорация Microsoft уже объявила, что эта новая версия популярного Интернет-обозревателя будет содержать встроенную поддержку загрузки по технологии RSS. Поэтому авторы червей могут получить новые мощные возможности для атак.
Чтобы бороться с такими атаками, компании должны применять, если они еще не применяют, методы сканирования трафика HTTP. Судя по всему, это будет один из самых популярных методов борьбы с распространением malware в ближайшем будущем.
Еще одна возможная технология проникновения, о которой мы должны знать, заключается в следующем:
Полиморфные атаки с использованием изменяемого кода. Некоторые исследователи считают, что авторы подобных bot-червей могут создавать модули с изменяемым исполнимым кодом, который будет меняться при каждом запуске, но приносить такой же результат. Из-за того, что большинство систем обнаружения сетевых атак и систем обнаружения брешей в системе защиты определяют malware по определенным участкам кода, если код будет меняться каждый раз, вредоносные программы смогут обойти все сканеры и выполнить свою вредоносную задачу. Хотя это теоретически возможно, в случае, если такой модуль будет создан, его авторы должны иметь возможность понять, как работает код для проникновения и как его можно изменить. Эти концепции конфликтуют с вышеупомянутой тенденцией включения во вредоносные программы новых способов проникновения как можно раньше, и могут замедлить создание новых червей. Авторам червей придется выбирать между быстрой атакой и невидимой атакой. Будем надеяться, что такая технология останется возможной лишь теоретически, но эту опасность необходимо принимать во внимание.
Борясь с такими bot-червями, антивирусные компании уже давно поняли, что различия между многими вариантами одного и того же червя заключаются только в использовании разных методов сжатия. Авторы червей перекомпилируют их и по-другому сжимают новую программу. После того, как производители антивирусов научатся определять эту вредоносную программу, авторы червя просто используют другой алгоритм сжатия, и процесс продолжается снова. Существуют сотни различных алгоритмов сжатия, поэтому задача обнаружения bot-червей становится очень сложной.
Необходимо, конечно, научиться сначала определять, каким методом сжат файл, а уже потом применять различные шаблоны для поиска червей. Мы ожидаем, что в ближайшие месяцы в этом направлении будет достигнут определенный прогресс. В частности, компания Trend Micro уже работает над созданием системы сканирования, которая сможет определять способ сжатия. Выпуск системы сканирования Trend Micro 7.7 планируется на начало будущего года, и благодаря новой технологии обнаружения bot-червей они будут определяться сразу после появления.
Bot-черви - самый опасный вид malware, существующий в настоящее время. Пользователи должны осознавать их опасность, а также знать методы, которые они используют для заражения других компьютеров, чтобы иметь возможность защититься от них.
Ещё новости по теме:
18:20