Rate this post

MỘT worm là một chương trình có thể tự sao chép và gửi các bản sao từ máy tính này sang máy tính khác qua các kết nối mạng. Khi đến nơi, worm có thể được kích hoạt để tái tạo và nhân giống trở lại. Ngoài việc nhân giống, worm thường thực hiện một số chức năng không mong muốn. Virus e-mail có một số đặc điểm của worm vì nó tự lây lan từ hệ thống này sang hệ thống khác.

Xem thêm Web Server là gì?

Worm là gì ?

WORM (Write-Once-Read-Many) là một kiểu thiết bị lưu trữ dữ liệu, trong đó dữ liệu được ghi một lần và đọc nhiều lần. Thiết bị WORM được thiết kế để đảm bảo tính toàn vẹn và bảo mật của dữ liệu, bởi vì khi dữ liệu được ghi vào WORM, nó không thể bị thay đổi hoặc xóa đi được. Điều này làm cho WORM trở thành một giải pháp lưu trữ phù hợp cho các loại dữ liệu nhạy cảm, chẳng hạn như thông tin y tế, tài chính, bản ghi chứng khoán, v.v. Một số thiết bị WORM phổ biến bao gồm đĩa CD-R, DVD-R và Blu-ray.

Tuy nhiên, chúng ta vẫn có thể phân loại nó là vi-rút vì nó sử dụng tài liệu được sửa đổi để chứa nội dung vĩ mô của vi-rút và yêu cầu hành động của con người. worm tích cực tìm kiếm nhiều máy hơn để lây nhiễm và mỗi máy bị nhiễm đóng vai trò như một bệ phóng tự động cho các cuộc tấn công vào các máy khác.

Khái niệm về worm máy tính được giới thiệu trong cuốn tiểu thuyết SF năm 1975 The Shockwave Rider của John Brunner. Việc triển khai worm đầu tiên được biết đến được thực hiện tại Phòng thí nghiệm Xerox Palo Alto vào đầu những năm 1980. Việc tìm kiếm các hệ thống nhàn rỗi được sử dụng để chạy một tác vụ tính toán chuyên worm là điều không hề phức tạp.

Các bài viết liên quan:

Các chương trình worm mạng sử dụng các kết nối mạng để lây lan từ hệ thống này sang hệ thống khác. worm khi hoạt động trong hệ thống, worm mạng có thể hoạt động như một máy tính vi rút hoặc vi khuẩn, hoặc nó có thể cấy ghép các chương trình Trojan horse hoặc thực hiện bất kỳ hành động phá hoại hoặc phá hoại nào.

Để tái tạo chính nó, một con worm mạng sử dụng một số loại phương tiện mạng.

Ví dụ bao gồm những điều về worm:

  • Electronic mail facility: Một con worm gửi một bản sao của chính nó tới các hệ thống khác, để mã của nó được chạy khi e-mail hoặc phần đính kèm được nhận hoặc xem.
  • Remote execution capability: worm thực thi một bản sao của chính nó trên một hệ thống khác, sử dụng phương tiện thực thi từ xa rõ ràng hoặc bằng cách khai thác lỗ hổng chương trình trong dịch vụ mạng để phá vỡ hoạt động của nó.
  • Remote login capability: Một con worm đăng nhập vào hệ thống từ xa với tư cách là người dùng và worm đó sử dụng các lệnh để sao chép chính nó từ hệ thống này sang hệ thống khác, nơi nó thực thi worm đó.

Bản sao mới của chương trình worm worm đó được chạy trên hệ thống từ xa, ngoài bất kỳ chức năng nào mà nó thực hiện tại hệ thống đó, nó tiếp tục lan truyền theo cùng một kiểu.

Một Worm mạng thể hiện các đặc điểm giống như vi rút máy tính: giai đoạn không hoạt động, giai đoạn lan truyền, giai đoạn kích hoạt và giai đoạn thực thi. Giai đoạn truyền giống thường thực hiện các chức năng worm:

  1. Tìm kiếm các hệ thống khác để lây nhiễm bằng cách kiểm tra các bảng máy chủ hoặc các kho lưu trữ tương tự của các địa chỉ hệ thống từ xa.
  2. Thiết lập kết nối với hệ thống từ xa.
  3. Sao chép chính nó vào hệ thống từ xa và làm cho bản sao được chạy.

worm mạng cũng có thể cố gắng xác định xem hệ thống có trước đó đã bị nhiễm trước khi tự sao chép vào hệ thống. Trong một hệ thống đa chương trình, nó cũng có thể che giấu sự hiện diện của mình bằng cách đặt tên cho chính nó như một quy trình hệ thống hoặc sử dụng một số tên khác mà người vận hành hệ thống có thể không nhận thấy.

Như với virus, mạng worm khó diệt.

Xem thêm Luật pháp với mạng và máy tính

Phân biệt Worm và Virus

WORM (Write-Once-Read-Many) và virus đều là các loại phần mềm độc hại, tuy nhiên chúng có những điểm khác biệt cơ bản như sau:

  1. Cách hoạt động: WORM là một loại malware (phần mềm độc hại) được thiết kế để sao chép và lây lan sang các thiết bị khác thông qua mạng hoặc các phương tiện lưu trữ khác, bằng cách khai thác các lỗ hổng bảo mật của hệ thống. Trong khi đó, virus là một loại malware được thiết kế để nhiễm và tấn công các tệp và phần mềm trên hệ thống, bằng cách chèn mã độc vào chúng.
  2. Cách phát tán: WORM thường được phát tán qua các email lừa đảo, các tệp đính kèm hoặc các trang web độc hại, trong khi virus thường được phát tán qua các tệp và phần mềm độc hại được tải xuống từ các trang web độc hại hoặc được cài đặt từ các thiết bị lưu trữ khác.
  3. Tính toàn vẹn: WORM thường không làm hại trực tiếp cho hệ thống của nó, nhưng nó có thể gây tắc nghẽn mạng và tiêu tốn tài nguyên hệ thống. Trong khi đó, virus có thể làm hại cho hệ thống của nó bằng cách xóa hoặc sửa đổi các tệp quan trọng.
  4. Cách phát hiện và loại bỏ: Do tính chất lây lan của nó, việc phát hiện và loại bỏ WORM khó hơn so với virus. Tuy nhiên, nếu WORM không thể lây lan, việc loại bỏ nó thường đơn giản hơn. Trong khi đó, việc phát hiện và loại bỏ virus khó hơn vì chúng thường được giấu kín trong các tệp và phần mềm khác trên hệ thống.

Tóm lại, WORM và virus là hai loại phần mềm độc hại khác nhau với các cách hoạt động, cách phát tán, tính toàn vẹn và cách phát hiện và loại bỏ khác nhau.

Morris Worm 

Cho đến khi thế hệ worm hiện tại, được biết đến nhiều nhất là loại worm được Robert Morris tung lên Internet vào năm 1988. worm Morris được thiết kế để lây lan trên hệ thống UNIX và sử dụng một số kỹ thuật khác nhau để nhân giống.

Khi một bản sao bắt đầu được thực thi, nhiệm vụ đầu tiên của nó là khám phá các máy chủ khác biết đến điều này máy chủ sẽ cho phép nhập cảnh từ máy chủ này. worm thực hiện tác vụ này bằng cách kiểm tra nhiều danh sách và bảng khác nhau, bao gồm cả bảng hệ thống khai báo máy nào khác được máy chủ này tin cậy, tệp chuyển tiếp thư của người dùng, bảng mà người dùng tự cấp quyền truy cập vào tài khoản từ xa và từ một chương trình đã báo cáo trạng thái của các kết nối mạng. Đối với mỗi máy chủ được phát hiện, worm đã thử một số phương pháp để có được quyền truy cập:

  1. Nó đã cố gắng đăng nhập vào một máy chủ từ xa với tư cách là một người dùng hợp pháp. Trong phương pháp này, đầu tiên con worm cố gắng bẻ khóa tệp mật khẩu cục bộ và worm đó sử dụng mật khẩu đã phát hiện và ID người dùng tương ứng. Giả định là nhiều người dùng sẽ sử dụng cùng một mật khẩu trên các hệ thống khác nhau. Để lấy mật khẩu, con worm này đã chạy một chương trình bẻ khóa mật khẩu đã thử
    1. Tên tài khoản của mỗi người dùng và các hoán vị đơn giản của nó
    2. Danh sách 432 mật khẩu cài sẵn mà Morris cho là có khả năng là ứng cử viên
    3. Tất cả các từ trong từ điển hệ thống địa phương
  2. Nó đã khai thác một lỗi trong giao thức ngón tay UNIX, giao thức này báo cáo nơi ở của một người dùng từ xa.
  3. Nó đã khai thác một cửa sập trong tùy chọn gỡ lỗi của quy trình từ xa nhận và gửi thư.

Nếu bất kỳ cuộc tấn công nào trong số này thành công, worm đã đạt được giao tiếp với trình thông dịch lệnh của hệ điều hành. worm đó, nó đã gửi cho trình thông dịch này một khởi động ngắn-chương trình dây đeo, đưa ra một lệnh để thực hiện chương trình đó, và worm đó đăng xuất. Chương trình bootstrap worm đó gọi lại chương trình mẹ và tải xuống phần còn lại của worm. worm mới worm đó đã được thực hiện.

Xem thêm Công cụ Information Gathering của kali linux

Worm mô hình lan truyền 

Mô tả mô hình lan truyền worm dựa trên phân tích các cuộc tấn công worm gần đây. Tốc độ lan truyền và tổng số vật chủ bị nhiễm phụ thuộc vào một số yếu tố, bao gồm phương thức lan truyền, lỗ hổng hoặc các lỗ hổng bị khai thác và mức độ tương tự với các cuộc tấn công trước đó. 

Đối với yếu tố thứ hai, một cuộc tấn công là một biến thể của một cuộc tấn công trước đó gần đây có thể được phản công hiệu quả hơn một cuộc tấn công mới lạ hơn. Hình dưới cho thấy các động lực cho một bộ thông số điển hình. Việc truyền bá diễn ra qua ba giai đoạn. 

Trong giai đoạn đầu, số lượng vật chủ tăng lên theo cấp số nhân. Để thấy rằng điều này là như vậy, hãy xem xét một trường hợp đơn giản, trong đó một con worm được khởi chạy từ một máy chủ duy nhất và lây nhiễm sang hai máy chủ gần đó. Mỗi vật chủ này lây nhiễm sang hai vật chủ khác, v.v. 

Điều này dẫn đến tăng trưởng theo cấp số nhân. worm một thời gian, các vật chủ lây nhiễm sẽ lãng phí thời gian tấn công các vật chủ đã bị nhiễm, điều này làm giảm tỷ lệ lây nhiễm. Trong giai đoạn giữa này, phát triển gần như tuyến tính, nhưng tốc độ lây nhiễm nhanh chóng. Khi hầu hết các máy tính có khả năng lưu hóa đã bị nhiễm, cuộc tấn công sẽ đi vào giai đoạn kết thúc chậm vì worm tìm kiếm những máy chủ còn lại khó xác định.

Rõ ràng, mục tiêu trong việc chống lại worm là bắt worm trong giai đoạn bắt đầu chậm chạp của nó, tại thời điểm mà một vài vật chủ đã bị nhiễm.

Xem thêm Một số thuật ngữ Bảo mật Internet [RFC 2828].

Các loại Worm máy tính hiện nay

Có nhiều loại worm máy tính hiện nay, mỗi loại có cách hoạt động và mục tiêu riêng. Dưới đây là một số loại worm máy tính phổ biến:

  1. Email Worms: Đây là loại worm lan truyền thông qua email. Worm thường gắn kèm trong các tập tin hoặc liên kết độc hại trong email và tự động gửi chúng đến danh bạ của nạn nhân.
  2. Internet Worms: Loại này lan truyền thông qua mạng internet bằng cách tìm kiếm các máy tính có lỗ hổng bảo mật và tự sao chép sang các máy tính khác thông qua mạng.
  3. IM (Instant Messaging) Worms: Lan truyền qua các dịch vụ nhắn tin tức thì như Skype, Facebook Messenger bằng cách gửi các tin nhắn chứa liên kết độc hại.
  4. File-Sharing Worms: Lan truyền thông qua các dịch vụ chia sẻ file ngang hàng (P2P) như BitTorrent, LimeWire bằng cách gắn kèm với các tập tin tải về.
  5. USB Worms: Loại này lây nhiễm thông qua các thiết bị lưu trữ USB như ổ đĩa flash. Khi cắm vào máy tính, worm sẽ tự sao chép vào thiết bị và khi thiết bị được kết nối với máy tính khác, worm cũng sẽ sao chép vào đó.
  6. IRC (Internet Relay Chat) Worms: Lan truyền qua các kênh trò chuyện IRC bằng cách gửi các liên kết độc hại hoặc tải xuống mã độc.
  7. Network Worms: Loại này tấn công qua mạng nội bộ của doanh nghiệp hoặc tổ chức và có thể lan truyền qua các máy tính được kết nối trong mạng cục bộ.
  8. IoT Worms: Đối với các thiết bị Internet of Things (IoT), worm có thể tấn công và lây nhiễm vào các thiết bị thông qua các lỗ hổng bảo mật.

Một số cách để nhận biết và phòng ngừa

Một số cách nhận biết và phòng ngừa các loại Worm:

  • Cập nhật hệ thống và phần mềm: Đảm bảo hệ thống và các ứng dụng luôn được cập nhật bản vá mới nhất để ngăn chặn lỗ hổng bảo mật mà worm có thể tận dụng.
  • Sử dụng phần mềm bảo mật: Cài đặt phần mềm chống độc hại và tường lửa để ngăn chặn các worm và phần mềm độc hại khác.
  • Kiểm tra email cẩn thận: Không mở các tập tin đính kèm hoặc liên kết từ email không xác định hoặc tin nhắn không yêu cầu.
  • Chỉ tải từ nguồn tin cậy: Tránh tải xuống phần mềm từ các nguồn không rõ nguồn gốc.
  • Không sử dụng các dịch vụ P2P không an toàn: Tránh sử dụng các dịch vụ chia sẻ file P2P không an toàn.
  • Tùy chỉnh cấu hình tường lửa: Tùy chỉnh tường lửa để ngăn chặn các kết nối không xác định.
  • Giới hạn quyền truy cập: Điều chỉnh quyền truy cập vào tài khoản và dịch vụ để ngăn chặn worm khai thác các lỗ hổng.
  • Sử dụng IDS/IPS: Sử dụng các hệ thống phát hiện xâm nhập (IDS) và hệ thống ngăn chặn xâm nhập (IPS) để giám sát và ngăn chặn các hoạt động không mong muốn.
  • Giám sát lưu lượng mạng: Theo dõi lưu lượng mạng và các hoạt động kỳ lạ để phát hiện sự lây nhiễm sớm.
  • Thực hiện giáo dục an ninh mạng: Đào tạo nhân viên và người dùng cuối về các biện pháp an ninh mạng và cách phòng ngừa worm.
  • Sử dụng các giải pháp bảo mật IoT: Đối với các thiết bị IoT, hãy đảm bảo chúng được cập nhật và có các biện pháp bảo mật tương tự như máy tính.

Nhớ rằng, việc thực hiện các biện pháp bảo mật là cần thiết để đối phó với nguy cơ từ các loại worm máy tính.

Các cuộc tấn công của Worm

Kỷ nguyên đương đại của các mối đe dọa từ worm bắt đầu với việc phát hành worm Code Red vào tháng 7 năm 2001. Code Red khai thác một lỗ hổng bảo mật trong Máy chủ Thông tin Internet của Microsoft (IIS) để xâm nhập và lây lan. Nó cũng vô hiệu hóa tệp hệ thống trình kiểm tra trong Windows. worm thăm dò địa chỉ IP ngẫu nhiên để lây lan sang các máy chủ khác. 

Trong một khoảng thời gian nhất định, nó chỉ lây lan. worm đó, nó bắt đầu một cuộc tấn công từ chối dịch vụ chống lại một trang Web của chính phủ bằng cách làm ngập trang web với các gói tin từ các máy chủ số. worm đó worm sẽ tạm ngừng các hoạt động và kích hoạt lại theo định kỳ. Trong đợt tấn công thứ hai, Code Red đã lây nhiễm gần 360.000 máy chủ trong 14 giờ. Cùng với sự tàn phá mà nó gây ra tại máy chủ được nhắm mục tiêu, Code Red đã tiêu thụ một lượng lớn dung lượng Internet, làm gián đoạn dịch vụ.

Code Red II là một biến thể nhắm mục tiêu Microsoft IIS. Ngoài ra, loại worm mới hơn này còn cài đặt một cửa worm, cho phép hacker thực hiện các lệnh từ xa trên máy tính nạn nhân.

Đầu năm 2003, worm SQL Slammer xuất hiện. worm này đã khai thác lỗ hổng tràn bộ đệm trong máy chủ Microsoft SQL. Slammer cực kỳ nguy hiểm và lây lan nhanh chóng, lây nhiễm cho 90% vật chủ dễ bị tổn thương trong vòng 10 phút. Muộn Năm 2003 chứng kiến ​​sự xuất hiện của worm Sobig.f, chuyên khai thác các máy chủ proxy mở để biến các máy bị nhiễm thành công cụ thư rác. Vào thời kỳ đỉnh cao, Sobig.f được báo cáo là cứ 17 tin nhắn thì có một tin nhắn và tạo ra hơn một triệu bản sao của chính nó trong vòng 24 giờ đầu tiên.

Mydoom là một loại worm e-mail gửi thư hàng loạt xuất hiện vào năm 2004. Nó theo worm xu hướng ngày càng tăng của việc cài đặt backdoor trong các máy tính bị nhiễm, do đó cho phép tin tặc truy cập từ xa vào dữ liệu như mật khẩu và số thẻ tín dụng. Mydoom đã sao chép lên đến 1000 lần mỗi phút và được báo cáo là đã tràn ngập Internet với 100 triệu tin nhắn bị lây nhiễm trong 36 giờ.

Một loại worm gần đây nhanh chóng trở nên phổ biến với nhiều phiên bản khác nhau là họ Warezov của worm [KIRK06]. Khi khởi chạy worm, nó tạo ra một số có thể thực thi trong các thư mục hệ thống và tự thiết lập để chạy mỗi khi Windows khởi động, bằng cách tạo một mục đăng ký. Warezov quét một số loại tệp để tìm địa chỉ e-mail và tự gửi dưới dạng tệp đính kèm e-mail. Một số biến thể có khả năng tải xuống phần mềm độc hại khác, chẳng hạn như ngựa Trojan và phần mềm quảng cáo. Nhiều biến thể vô hiệu hóa các sản phẩm liên quan đến bảo mật và / hoặc vô hiệu hóa khả năng cập nhật của chúng.

Xem thêm Các hệ thống cần thiết với firewall

Mobile Phone Worms 

Worms xuất hiện lần đầu tiên trên điện thoại di động vào năm 2004. Những con worm này giao tiếp thông qua kết nối không dây Bluetooth hoặc qua dịch vụ nhắn tin đa phương tiện (MMS). Mục tiêu là điện thoại thông minh, là điện thoại di động cho phép người dùng cài đặt các ứng dụng phần mềm từ các nguồn không phải là nhà khai thác mạng di động. Phần mềm độc hại trên điện thoại di động có thể vô hiệu hóa hoàn toàn điện thoại, xóa dữ liệu trên điện thoại hoặc buộc thiết bị gửi tin nhắn tốn kém đến các số có giá cao.

Một ví dụ về worm điện thoại di động là CommWarrior, được đưa ra trong 2005. Con worm này nhân bản bằng Bluetooth đến các điện thoại khác trong vùng nhận. Nó cũng tự gửi dưới dạng tệp MMS tới các số trong sổ địa chỉ của điện thoại và trả lời tự động cho các tin nhắn văn bản và tin nhắn MMS đến. Ngoài ra, nó tự sao chép vào thẻ nhớ di động và tự chèn vào các tập tin cài đặt chương trình trên điện thoại.

Xử lý Vấn đề Worm

Có sự khác biệt đáng kể trong việc đối phó với virus và worm. Khi một con worm đã xâm nhập vào máy tính, phần mềm chống malware có thể được áp dụng để phát hiện nó. Ngoài ra, do tính chất lan truyền của worm tạo ra một lưu lượng mạng đáng kể, việc giám sát và quản lý hoạt động mạng có thể cung cấp cơ sở cho việc ngăn chặn worm.

Để khởi đầu, hãy xem xét những yêu cầu cần thiết cho một giải pháp đối phó hiệu quả với worm – một ứng dụng mang tính toàn diện:

  • Tính tổng quát: Phương pháp tiếp cận cần có khả năng xử lý nhiều loại tấn công worm, bao gồm cả worm đa hình.
  • Tính kịp thời: Giải pháp cần phản ứng nhanh để hạn chế số lượng máy tính bị nhiễm và đường truyền mạng được tạo ra từ các máy tính bị nhiễm.
  • Khả năng phục hồi: Phương pháp tiếp cận cần đối phó với các kỹ thuật tránh trạng thái phát hiện để tránh bị loại bỏ bởi các biện pháp đối phó.
  • Giảm thiểu tác động đến dịch vụ: Giải pháp tiếp cận sẽ giúp giảm thiểu sự gián đoạn của khả năng hoạt động hoặc dịch vụ do hoạt động của phần mềm đối phó. Điều này đảm bảo trong quá trình ngăn chặn sự lây lan của worm, việc đối phó không làm ảnh hưởng nhiều đến hoạt động bình thường.
  • Tính minh bạch: Phần mềm và thiết bị đối phó không nên yêu cầu thay đổi hệ điều hành (cũ), ứng dụng phần mềm và cấu hình phần cứng hiện có.
  • Phạm vi toàn cầu và địa phương: Phương pháp tiếp cận cần khả năng đối phó với các nguồn tấn công từ cả bên ngoài và bên trong mạng doanh nghiệp.

Hiện tại, chưa có giải pháp đối phó worm nào thỏa mãn tất cả những yêu cầu này. Do đó, thường thì các quản trị viên phải kết hợp nhiều biện pháp tiếp cận khác nhau để bảo vệ chống lại các cuộc tấn công worm.

COUNTERMEASURE APPROACHES 

Worm, chúng tôi liệt kê worm lớp bảo vệ worm:

  1. Signature-based worm scan filtering: Phương pháp này dựa vào việc tạo ra một chữ ký cho worm, sau đó sử dụng chữ ký này để ngăn chặn việc quét worm xâm nhập hoặc ra khỏi mạng hoặc máy chủ. Thông thường, phương pháp này liên quan đến việc xác định các luồng có nguy cơ và tạo ra chữ ký worm tương ứng. Tuy nhiên, cách tiếp cận này dễ bị ảnh hưởng bởi worm đa hình, khi phần mềm phát hiện có thể bỏ sót worm hoặc, nếu nó tinh vi đối phó với worm đa hình, việc phản ứng có thể mất thời gian dài.
  2. Filter-based worm containment: Phương pháp này tương tự như phương pháp trước, nhưng tập trung vào nội dung worm hơn là chữ ký quét. Bộ lọc kiểm tra một tin nhắn đến để xác định xem nó có chứa mã worm hay không. Ví dụ như Vigilante, dựa vào việc phát hiện worm cộng tác trên các máy chủ cuối. Phương pháp này có thể hiệu quả nhưng yêu cầu thuật toán phát hiện hiệu quả và cảnh báo nhanh chóng.
  3. Payload-classification-based worm containment: Các công nghệ dựa trên mạng này kiểm tra các gói tin để xác định xem chúng có chứa worm hay không. Có nhiều kỹ thuật phát hiện khác nhau có thể được áp dụng, nhưng cần thận trọng để tránh dương tính giả hoặc âm tính giả ở mức độ cao. Ví dụ, báo cáo cách tiếp cận này trong việc tìm kiếm mã khai thác trong các luồng mạng. Cách tiếp cận này không tạo ra chữ ký dựa trên mẫu byte mà thay vào đó tìm kiếm cấu trúc điều khiển và luồng dữ liệu gợi ý khai thác.
  4. Threshold random walk (TRW) scan detection: Phương pháp TRW khai thác tính ngẫu nhiên trong việc chọn các điểm đích để kết nối, để kiểm tra xem máy quét có đang hoạt động hay không. TRW phù hợp cho việc triển khai trên các thiết bị mạng tốc độ cao và giá thấp. Nó khá hiệu quả chống lại các hành vi quét phổ biến.
  5. Rate limiting: Lớp này giới hạn tốc độ truy cập tương tự như việc quét từ máy chủ bị nhiễm. Có nhiều chiến lược có thể được sử dụng, bao gồm việc giới hạn số lượng máy mới mà máy chủ có thể kết nối trong khoảng thời gian, phát hiện tỷ lệ lỗi kết nối cao và giới hạn số lượng địa chỉ IP duy nhất mà máy chủ có thể quét trong khoảng thời gian. Phương pháp này có thể gây ra sự chậm trễ đối với giao thông bình thường và không phù hợp với worm lây lan chậm và tinh vi.
  6. Rate halting: Phương pháp này ngay lập tức tạm dừng lưu lượng gửi đi khi vượt quá ngưỡng tốc độ kết nối gửi đi hoặc sự đa dạng của các lần thử kết nối. Phương pháp này cần phải bao gồm các biện pháp để nhanh chóng bỏ chặn các máy chủ bị chặn một cách minh bạch. Tạm dừng tỷ lệ có thể kết hợp với phát hiện chữ ký hoặc bộ lọc để khi chữ ký hoặc tệp tin đã được tạo ra, tất cả máy chủ bị chặn có thể được bỏ chặn. Phương pháp này có hiệu quả và cũng có thể kết hợp với việc giới hạn tốc độ.

PROACTIVE WORM CONTAINMENT

Lược đồ PWC dựa trên các máy chủ lưu trữ thay vì các thiết bị mạng như honeypots, tường lửa và IDS mạng. Mục tiêu của PWC là giải quyết mối đe dọa từ worm lây lan nhanh. Phần mềm trên máy chủ lưu trữ theo dõi tần suất tăng cường của việc thử kết nối và sự đa dạng của kết nối đến máy chủ từ xa. Khi phát hiện một biểu hiện bất thường như vậy, phần mềm ngay lập tức chặn máy chủ khỏi việc thực hiện các kết nối tiếp theo. Các nhà phát triển ước tính rằng chỉ có vài chục gói tin bị nhiễm có thể được gửi đến các hệ thống khác trước khi PWC cô lập cuộc tấn công. Trong khi đó, worm Slammer trung bình gửi ra 4000 gói tin bị nhiễm mỗi giây.

Một hệ thống PWC triển khai gồm một người quản lý PWC và các tác nhân PWC trên các máy chủ. Hình 21.7 là một ví dụ về kiến trúc triển khai PWC. Trong phần này, trình quản lý bảo mật, trình trích xuất chữ ký và trình quản lý PWC được tích hợp trong một thiết bị mạng duy nhất. Trong thực tế, ba mô-đun này có thể triển khai riêng biệt trên hai hoặc ba thiết bị khác nhau.

Hình 21.7: Triển khai mẫu của PWC

Hoạt động của kiến trúc PWC có thể mô tả như sau:

  1. Một tác nhân PWC giám sát lưu lượng gửi đi cho hoạt động quét, được xác định bởi sự gia tăng trong nỗ lực kết nối UDP hoặc TCP tới các máy chủ từ xa. Nếu phát hiện có sự đột biến, tác nhân sẽ thực hiện các hành động worm: (1) đưa ra cảnh báo cho hệ thống cục bộ; (2) chặn tất cả các nỗ lực kết nối gửi đi; (3) truyền cảnh báo đến người quản lý PWC; và (4) bắt đầu phân tích thư giãn, được mô tả trong D.
  2. Người quản lý PWC nhận được cảnh báo. PWC tuyên truyền cảnh báo cho tất cả các tác nhân khác (bên cạnh tác nhân gốc).
  3. Máy chủ nhận được một cảnh báo. Người đại diện phải quyết định xem có nên bỏ qua cảnh báo hay không, theo cách worm. Nếu thời gian kể từ khi gói đến cuối cùng đủ lâu để tác nhân có thể phát hiện ra một con worm nếu bị nhiễm, thì cảnh báo sẽ bị bỏ qua. Nếu không, tác nhân giả định rằng nó có thể bị nhiễm và thực hiện các hành động worm: (1) chặn tất cả các nỗ lực kết nối gửi đi từ cổng cảnh báo cụ thể; và (2) bắt đầu phân tích thư giãn, được mô tả trong D.
  4. Phân tích thư giãn được thực hiện như worm. Một đại lý giám sát việc gửi đi kích hoạt trong một khoảng thời gian cố định để xem liệu các kết nối gửi đi có vượt quá mức cũ hay không. Nếu vậy, sự tắc nghẽn được tiếp tục và phân tích thư giãn được thực hiện cho một cửa sổ thời gian khác. Quá trình này tiếp tục cho đến khi tốc độ kết nối gửi đi giảm xuống dưới ngưỡng, lúc đó tác nhân loại bỏ khối. Nếu ngưỡng tiếp tục bị vượt quá số lượng cửa sổ thư giãn đủ, tác nhân sẽ cô lập máy chủ và báo cáo cho người quản lý PWC.

Đồng thời, một khía cạnh riêng biệt của hệ thống phòng thủ worm đang hoạt động. Bộ trích xuất chữ ký hoạt động như một cảm biến thụ động theo dõi toàn bộ lưu lượng truy cập và cố gắng phát hiện worm bằng cách phân tích chữ ký. Khi một worm mới được phát hiện, chữ ký của nó sẽ được truyền cho trình quản lý bảo mật để loại bỏ bất kỳ bản sao worm nào. Hơn nữa, người quản lý PWC gửi chữ ký đến tất cả các tác nhân PWC, giúp họ nhận ra sự lây nhiễm và vô hiệu hóa worm.”

NETWORK-BASED WORM DEFENSE

Yếu tố quan trọng của phòng chống worm dựa trên mạng là phần mềm giám sát worm. Hãy xem xét một mạng doanh nghiệp tại một địa điểm, bao gồm một hoặc một tập hợp các mạng LAN được kết nối với nhau. Hai loại phần mềm giám sát là cần thiết:

  • Ingress monitors: Các màn hình này được đặt ở biên giới giữa mạng doanh nghiệp- công việc và Internet. Chúng có thể là một phần của phần mềm lọc xâm nhập của bộ định tuyến bor-der hoặc tường lửa bên ngoài hoặc một màn hình thụ động riêng biệt. Một honeypot cũng có thể nắm bắt lưu lượng truy cập worm vào. Một ví dụ về kỹ thuật phát hiện cho bộ giám sát xâm nhập là tìm kiếm lưu lượng truy cập đến các địa chỉ IP cục bộ không sử dụng.
  • Egress monitors: Các màn hình này có thể được đặt tại điểm đầu ra của các mạng LAN riêng lẻ trên mạng doanh nghiệp cũng như ở biên giới giữa mạng doanh nghiệp và Internet. Trong trường hợp trước đây, màn hình đầu ra có thể là một phần của phần mềm lọc đầu ra của bộ định tuyến hoặc công tắc mạng LAN. Cũng như các thao tác xâm nhập, tường lửa bên ngoài hoặc một honeypot có thể chứa phần mềm giám sát. Thật vậy, hai loại màn hình có thể được kết hợp với nhau. Bộ theo dõi lối ra được thiết kế để bắt nguồn tấn công worm bằng cách theo dõi lưu lượng truy cập ra ngoài để tìm các dấu hiệu quét hoặc hành vi đáng ngờ khác.

Worm theo dõi có thể hoạt động theo cách của hệ thống phát hiện xâm nhập và gen- đưa ra các cảnh báo tới hệ thống hành chính tập trung. Cũng có thể triển khai một hệ thống cố gắng phản ứng trong thời gian thực đối với một cuộc tấn công của worm, để chống lại việc khai thác zero-day một cách hiệu quả. Điều này tương tự như cách tiếp cận được thực hiện với hệ thống miễn dịch kỹ thuật số (Hình 21.4).

Hình 21.8 cho thấy một ví dụ về kiến ​​trúc đối phó worm [SIDI05]. Hệ thống hoạt động như worm (các số trong hình tương ứng với các số trong danh sách worm):

  1. Các cảm biến được triển khai tại các vị trí mạng khác nhau sẽ phát hiện ra một loại worm tiềm ẩn. Logic cảm biến cũng có thể được kết hợp trong các cảm biến IDS.
  2. Các cảm biến gửi cảnh báo đến một máy chủ trung tâm tương quan và phân tích các cảnh báo nhận được. Máy chủ tương quan xác định khả năng một cuộc tấn công worm đang được quan sát và các đặc điểm chính của cuộc tấn công.
  3. Máy chủ chuyển tiếp thông tin của nó đến một môi trường được bảo vệ, nơi worm tiềm ẩn có thể được đóng hộp cát để phân tích và thử nghiệm.
  4. Hệ thống được bảo vệ kiểm tra phần mềm đáng ngờ chống lại một phiên bản công cụ của ứng dụng được nhắm mục tiêu để xác định lỗ hổng bảo mật.
  5. Hệ thống được bảo vệ tạo ra một hoặc nhiều bản vá phần mềm và kiểm tra chúng.
  6. Nếu bản vá không dễ bị lây nhiễm và không ảnh hưởng đến chức năng của ứng dụng, hệ thống sẽ gửi bản vá đến máy chủ ứng dụng để cập nhật ứng dụng được nhắm mục tiêu.

Sự thành công của một hệ thống vá lỗi tự động như vậy phụ thuộc vào việc duy trì danh sách các cuộc tấn công tiềm ẩn hiện tại và phát triển các công cụ chung để vá phần mềm nhằm chống lại các cuộc tấn công như vậy. Ví dụ về các cách tiếp cận như worm:

  • Tăng kích thước của bộ đệm
  • Sử dụng kỹ thuật ngẫu nhiên hóa mã nhỏ [BHAT03] để quá trình lây nhiễm không còn hoạt động vì mã bị tấn công không còn ở dạng và vị trí cũ nữa
  • Thêm bộ lọc vào ứng dụng cho phép nó nhận ra và bỏ qua một cuộc tấn công

Các phần mềm kiểm tra Worm

Có nhiều phần mềm diệt virus, phần mềm diệt malware và phần mềm bảo vệ máy tính có thể giúp bạn phát hiện và loại bỏ worm. Dưới đây là một số phần mềm phổ biến để giúp bảo vệ máy tính của bạn khỏi worm và các loại phần mềm độc hại khác:

  1. Malwarebytes
  2. Norton AntiVirus
  3. McAfee AntiVirus
  4. Avast AntiVirus
  5. Kaspersky AntiVirus
  6. Bitdefender AntiVirus
  7. AVG AntiVirus

Lưu ý rằng việc sử dụng phần mềm diệt virus hoặc phần mềm diệt malware không thể đảm bảo hoàn toàn an toàn cho máy tính của bạn, vì vậy bạn cũng cần phải có những thói quen an toàn khi sử dụng internet, chẳng hạn như tránh truy cập các trang web đáng ngờ, không mở các email lạ hoặc các tệp đính kèm không rõ nguồn gốc và cập nhật các phần mềm bảo mật thường xuyên.

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Contact Me on Zalo
Call now