Bảo mật: Worm là gì? những lưu ý cần biết

MỘT worm là một chương trình có thể tự sao chép và gửi các bản sao từ máy tính này sang máy tính khác qua các kết nối mạng. Khi đến nơi, worm có thể được kích hoạt để tái tạo và nhân giống trở lại. Ngoài việc nhân giống, worm thường thực hiện một số chức năng không mong muốn. Virus e-mail có một số đặc điểm của worm vì nó tự lây lan từ hệ thống này sang hệ thống khác.

Xem thêm Web Server là gì?

Worm là gì ?

WORM (Write-Once-Read-Many) là một kiểu thiết bị lưu trữ dữ liệu, trong đó dữ liệu được ghi một lần và đọc nhiều lần. Thiết bị WORM được thiết kế để đảm bảo tính toàn vẹn và bảo mật của dữ liệu, bởi vì khi dữ liệu được ghi vào WORM, nó không thể bị thay đổi hoặc xóa đi được. Điều này làm cho WORM trở thành một giải pháp lưu trữ phù hợp cho các loại dữ liệu nhạy cảm, chẳng hạn như thông tin y tế, tài chính, bản ghi chứng khoán, v.v. Một số thiết bị WORM phổ biến bao gồm đĩa CD-R, DVD-R và Blu-ray.

Tuy nhiên, chúng ta vẫn có thể phân loại nó là vi-rút vì nó sử dụng tài liệu được sửa đổi để chứa nội dung vĩ mô của vi-rút và yêu cầu hành động của con người. worm tích cực tìm kiếm nhiều máy hơn để lây nhiễm và mỗi máy bị nhiễm đóng vai trò như một bệ phóng tự động cho các cuộc tấn công vào các máy khác.

Khái niệm về worm máy tính được giới thiệu trong cuốn tiểu thuyết SF năm 1975 The Shockwave Rider của John Brunner. Việc triển khai worm đầu tiên được biết đến được thực hiện tại Phòng thí nghiệm Xerox Palo Alto vào đầu những năm 1980. Việc tìm kiếm các hệ thống nhàn rỗi được sử dụng để chạy một tác vụ tính toán chuyên worm là điều không hề phức tạp.

Các bài viết liên quan:

• Thuật toán mã hóa khối(block cipher)- AES
• Hệ thống Facebook
• Bài toán tính nghịch đảo theo Modulo
• Thuật ngữ & định nghĩa SEO bạn cần biết
• Bảo mật: Virus, những điều cần biết
• Mã hóa mật mã: các khái niệm cơ bản

Các chương trình worm mạng sử dụng các kết nối mạng để lây lan từ hệ thống này sang hệ thống khác. worm khi hoạt động trong hệ thống, worm mạng có thể hoạt động như một máy tính vi rút hoặc vi khuẩn, hoặc nó có thể cấy ghép các chương trình Trojan horse hoặc thực hiện bất kỳ hành động phá hoại hoặc phá hoại nào.

Để tái tạo chính nó, một con worm mạng sử dụng một số loại phương tiện mạng.

Ví dụ bao gồm những điều worm:

• Electronic mail facility: Một con worm gửi một bản sao của chính nó tới các hệ thống khác, để mã của nó được chạy khi e-mail hoặc phần đính kèm được nhận hoặc xem.
• Remote execution capability: worm thực thi một bản sao của chính nó trên một hệ thống khác, sử dụng phương tiện thực thi từ xa rõ ràng hoặc bằng cách khai thác lỗ hổng chương trình trong dịch vụ mạng để phá vỡ hoạt động của nó.
• Remote login capability: Một con worm đăng nhập vào hệ thống từ xa với tư cách là người dùng và worm đó sử dụng các lệnh để sao chép chính nó từ hệ thống này sang hệ thống khác, nơi nó thực thi worm đó.

Bản sao mới của chương trình worm worm đó được chạy trên hệ thống từ xa, ngoài bất kỳ chức năng nào mà nó thực hiện tại hệ thống đó, nó tiếp tục lan truyền theo cùng một kiểu.

MỘT worm mạng thể hiện các đặc điểm giống như vi rút máy tính: giai đoạn không hoạt động, giai đoạn lan truyền, giai đoạn kích hoạt và giai đoạn thực thi. Giai đoạn truyền giống thường thực hiện các chức năng worm:

1. Tìm kiếm các hệ thống khác để lây nhiễm bằng cách kiểm tra các bảng máy chủ hoặc các kho lưu trữ tương tự của các địa chỉ hệ thống từ xa.
2. Thiết lập kết nối với hệ thống từ xa.
3. Sao chép chính nó vào hệ thống từ xa và làm cho bản sao được chạy.

worm mạng cũng có thể cố gắng xác định xem hệ thống có trước đó đã bị nhiễm trước khi tự sao chép vào hệ thống. Trong một hệ thống đa chương trình, nó cũng có thể che giấu sự hiện diện của mình bằng cách đặt tên cho chính nó như một quy trình hệ thống hoặc sử dụng một số tên khác mà người vận hành hệ thống có thể không nhận thấy.

Như với virus, mạng worm khó diệt.

Xem thêm Luật pháp với mạng và máy tính

Phân biệt Worm và Virus

WORM (Write-Once-Read-Many) và virus đều là các loại phần mềm độc hại, tuy nhiên chúng có những điểm khác biệt cơ bản như sau:

1. Cách hoạt động: WORM là một loại malware (phần mềm độc hại) được thiết kế để sao chép và lây lan sang các thiết bị khác thông qua mạng hoặc các phương tiện lưu trữ khác, bằng cách khai thác các lỗ hổng bảo mật của hệ thống. Trong khi đó, virus là một loại malware được thiết kế để nhiễm và tấn công các tệp và phần mềm trên hệ thống, bằng cách chèn mã độc vào chúng.
2. Cách phát tán: WORM thường được phát tán qua các email lừa đảo, các tệp đính kèm hoặc các trang web độc hại, trong khi virus thường được phát tán qua các tệp và phần mềm độc hại được tải xuống từ các trang web độc hại hoặc được cài đặt từ các thiết bị lưu trữ khác.
3. Tính toàn vẹn: WORM thường không làm hại trực tiếp cho hệ thống của nó, nhưng nó có thể gây tắc nghẽn mạng và tiêu tốn tài nguyên hệ thống. Trong khi đó, virus có thể làm hại cho hệ thống của nó bằng cách xóa hoặc sửa đổi các tệp quan trọng.
4. Cách phát hiện và loại bỏ: Do tính chất lây lan của nó, việc phát hiện và loại bỏ WORM khó hơn so với virus. Tuy nhiên, nếu WORM không thể lây lan, việc loại bỏ nó thường đơn giản hơn. Trong khi đó, việc phát hiện và loại bỏ virus khó hơn vì chúng thường được giấu kín trong các tệp và phần mềm khác trên hệ thống.

Tóm lại, WORM và virus là hai loại phần mềm độc hại khác nhau với các cách hoạt động, cách phát tán, tính toàn vẹn và cách phát hiện và loại bỏ khác nhau.

Morris Worm 

Cho đến khi thế hệ worm hiện tại, được biết đến nhiều nhất là loại worm được Robert Morris tung lên Internet vào năm 1988 [ORMA03]. worm Morris được thiết kế để lây lan trên hệ thống UNIX và sử dụng một số kỹ thuật khác nhau để nhân giống.

Khi một bản sao bắt đầu được thực thi, nhiệm vụ đầu tiên của nó là khám phá các máy chủ khác biết đến điều này máy chủ sẽ cho phép nhập cảnh từ máy chủ này. worm thực hiện tác vụ này bằng cách kiểm tra nhiều danh sách và bảng khác nhau, bao gồm cả bảng hệ thống khai báo máy nào khác được máy chủ này tin cậy, tệp chuyển tiếp thư của người dùng, bảng mà người dùng tự cấp quyền truy cập vào tài khoản từ xa và từ một chương trình đã báo cáo trạng thái của các kết nối mạng. Đối với mỗi máy chủ được phát hiện, worm đã thử một số phương pháp để có được quyền truy cập:

1. Nó đã cố gắng đăng nhập vào một máy chủ từ xa với tư cách là một người dùng hợp pháp. Trong phương pháp này, đầu tiên con worm cố gắng bẻ khóa tệp mật khẩu cục bộ và worm đó sử dụng mật khẩu đã phát hiện và ID người dùng tương ứng. Giả định là nhiều người dùng sẽ sử dụng cùng một mật khẩu trên các hệ thống khác nhau. Để lấy mật khẩu, con worm này đã chạy một chương trình bẻ khóa mật khẩu đã thử
   1. Tên tài khoản của mỗi người dùng và các hoán vị đơn giản của nó
   2. Danh sách 432 mật khẩu cài sẵn mà Morris cho là có khả năng là ứng cử viên
   3. Tất cả các từ trong từ điển hệ thống địa phương
2. Nó đã khai thác một lỗi trong giao thức ngón tay UNIX, giao thức này báo cáo nơi ở của một người dùng từ xa.
3. Nó đã khai thác một cửa sập trong tùy chọn gỡ lỗi của quy trình từ xa nhận và gửi thư.

Nếu bất kỳ cuộc tấn công nào trong số này thành công, worm đã đạt được giao tiếp với trình thông dịch lệnh của hệ điều hành. worm đó, nó đã gửi cho trình thông dịch này một khởi động ngắn-chương trình dây đeo, đưa ra một lệnh để thực hiện chương trình đó, và worm đó đăng xuất. Chương trình bootstrap worm đó gọi lại chương trình mẹ và tải xuống phần còn lại của worm. worm mới worm đó đã được thực hiện.

Xem thêm Công cụ Information Gathering của kali linux

Worm mô hình lan truyền 

[ZOU05] mô tả mô hình lan truyền worm dựa trên phân tích các cuộc tấn công worm gần đây. Tốc độ lan truyền và tổng số vật chủ bị nhiễm phụ thuộc vào một số yếu tố, bao gồm phương thức lan truyền, lỗ hổng hoặc các lỗ hổng bị khai thác và mức độ tương tự với các cuộc tấn công trước đó. 

Đối với yếu tố thứ hai, một cuộc tấn công là một biến thể của một cuộc tấn công trước đó gần đây có thể được phản công hiệu quả hơn một cuộc tấn công mới lạ hơn. Hình 21.6 cho thấy các động lực cho một bộ thông số điển hình. Việc truyền bá diễn ra qua ba giai đoạn. 

Trong giai đoạn đầu, số lượng vật chủ tăng lên theo cấp số nhân. Để thấy rằng điều này là như vậy, hãy xem xét một trường hợp đơn giản, trong đó một con worm được khởi chạy từ một máy chủ duy nhất và lây nhiễm sang hai máy chủ gần đó. Mỗi vật chủ này lây nhiễm sang hai vật chủ khác, v.v. 

Điều này dẫn đến tăng trưởng theo cấp số nhân. worm một thời gian, các vật chủ lây nhiễm sẽ lãng phí thời gian tấn công các vật chủ đã bị nhiễm, điều này làm giảm tỷ lệ lây nhiễm. Trong giai đoạn giữa này, phát triển gần như tuyến tính, nhưng tốc độ lây nhiễm nhanh chóng. Khi hầu hết các máy tính có khả năng lưu hóa đã bị nhiễm, cuộc tấn công sẽ đi vào giai đoạn kết thúc chậm vì worm tìm kiếm những máy chủ còn lại khó xác định.

Hình 21.6 Mô hình lan truyền của giun

Figure 21.6 Worm Propagation Model

Rõ ràng, mục tiêu trong việc chống lại worm là bắt worm trong giai đoạn bắt đầu chậm chạp của nó, tại thời điểm mà một vài vật chủ đã bị nhiễm.

Xem thêm Một số thuật ngữ Bảo mật Internet [RFC 2828].

Các cuộc tấn công của Worm

Kỷ nguyên đương đại của các mối đe dọa từ worm bắt đầu với việc phát hành worm Code Red vào tháng 7 năm 2001. Code Red khai thác một lỗ hổng bảo mật trong Máy chủ Thông tin Internet của Microsoft (IIS) để xâm nhập và lây lan. Nó cũng vô hiệu hóa tệp hệ thống trình kiểm tra trong Windows. worm thăm dò địa chỉ IP ngẫu nhiên để lây lan sang các máy chủ khác. 

Trong một khoảng thời gian nhất định, nó chỉ lây lan. worm đó, nó bắt đầu một cuộc tấn công từ chối dịch vụ chống lại một trang Web của chính phủ bằng cách làm ngập trang web với các gói tin từ các máy chủ số. worm đó worm sẽ tạm ngừng các hoạt động và kích hoạt lại theo định kỳ. Trong đợt tấn công thứ hai, Code Red đã lây nhiễm gần 360.000 máy chủ trong 14 giờ. Cùng với sự tàn phá mà nó gây ra tại máy chủ được nhắm mục tiêu, Code Red đã tiêu thụ một lượng lớn dung lượng Internet, làm gián đoạn dịch vụ.

Code Red II là một biến thể nhắm mục tiêu Microsoft IIS. Ngoài ra, loại worm mới hơn này còn cài đặt một cửa worm, cho phép hacker thực hiện các lệnh từ xa trên máy tính nạn nhân.

Đầu năm 2003, worm SQL Slammer xuất hiện. worm này đã khai thác lỗ hổng tràn bộ đệm trong máy chủ Microsoft SQL. Slammer cực kỳ nguy hiểm và lây lan nhanh chóng, lây nhiễm cho 90% vật chủ dễ bị tổn thương trong vòng 10 phút. Muộn Năm 2003 chứng kiến ​​sự xuất hiện của worm Sobig.f, chuyên khai thác các máy chủ proxy mở để biến các máy bị nhiễm thành công cụ thư rác. Vào thời kỳ đỉnh cao, Sobig.f được báo cáo là cứ 17 tin nhắn thì có một tin nhắn và tạo ra hơn một triệu bản sao của chính nó trong vòng 24 giờ đầu tiên.

Mydoom là một loại worm e-mail gửi thư hàng loạt xuất hiện vào năm 2004. Nó theo worm xu hướng ngày càng tăng của việc cài đặt backdoor trong các máy tính bị nhiễm, do đó cho phép tin tặc truy cập từ xa vào dữ liệu như mật khẩu và số thẻ tín dụng. Mydoom đã sao chép lên đến 1000 lần mỗi phút và được báo cáo là đã tràn ngập Internet với 100 triệu tin nhắn bị lây nhiễm trong 36 giờ.

Một loại worm gần đây nhanh chóng trở nên phổ biến với nhiều phiên bản khác nhau là họ Warezov của worm [KIRK06]. Khi khởi chạy worm, nó tạo ra một số có thể thực thi trong các thư mục hệ thống và tự thiết lập để chạy mỗi khi Windows khởi động, bằng cách tạo một mục đăng ký. Warezov quét một số loại tệp để tìm địa chỉ e-mail và tự gửi dưới dạng tệp đính kèm e-mail. Một số biến thể có khả năng tải xuống phần mềm độc hại khác, chẳng hạn như ngựa Trojan và phần mềm quảng cáo. Nhiều biến thể vô hiệu hóa các sản phẩm liên quan đến bảo mật và / hoặc vô hiệu hóa khả năng cập nhật của chúng.

Xem thêm Các hệ thống cần thiết với firewall

Công nghệ Worm

Hiện đại trong công nghệ worm bao gồm những điều worm đây:

• Multiplatform: Các loại worm mới hơn không chỉ giới hạn ở các máy Windows mà có thể tấn công nhiều nền tảng khác nhau, đặc biệt là các loại UNIX phổ biến.
• Multi-exploit: worm mới xâm nhập vào hệ thống theo nhiều cách khác nhau, sử dụng khai thác chống lại máy chủ Web, trình duyệt, e-mail, chia sẻ tệp và các ứng dụng dựa trên mạng khác.
• Ultrafast spreading: Một kỹ thuật để tăng tốc sự lây lan của worm là tiến hành quét Internet trước để tích lũy địa chỉ Internet của các máy dễ bị tấn công.
• Polymorphic: Để tránh bị phát hiện, bỏ qua các bộ lọc trước đây và phân tích theo thời gian thực, worm sử dụng kỹ thuật đa hình của virus. Mỗi bản sao của worm có mã mới được tạo ngay lập tức bằng cách sử dụng các hướng dẫn và kỹ thuật mã hóa tương đương về mặt chức năng.
• Polymorphic: Ngoài việc thay đổi hình dáng bên ngoài, giun biến hình có một loạt các kiểu hành vi được thể hiện ở các giai đoạn lan truyền khác nhau.
• Transport vehicles: Vì giun có thể xâm nhập nhanh chóng một số lượng lớn các hệ thống, chúng là lý tưởng để phát tán các công cụ tấn công phân tán khác, chẳng hạn như các chương trình từ chối dịch vụ phân tán.
• Zero-day exploit: Để đạt được sự bất ngờ và phân phối tối đa, một con worm nên khai thác một lỗ hổng chưa xác định mà chỉ được phát hiện bởi cộng đồng mạng nói chung khi con worm này được khởi chạy.

Mobile Phone Worms 

Worms xuất hiện lần đầu tiên trên điện thoại di động vào năm 2004. Những con worm này giao tiếp thông qua kết nối không dây Bluetooth hoặc qua dịch vụ nhắn tin đa phương tiện (MMS). Mục tiêu là điện thoại thông minh, là điện thoại di động cho phép người dùng cài đặt các ứng dụng phần mềm từ các nguồn không phải là nhà khai thác mạng di động. Phần mềm độc hại trên điện thoại di động có thể vô hiệu hóa hoàn toàn điện thoại, xóa dữ liệu trên điện thoại hoặc buộc thiết bị gửi tin nhắn tốn kém đến các số có giá cao.

Một ví dụ về worm điện thoại di động là CommWarrior, được đưa ra trong 2005. Con worm này nhân bản bằng Bluetooth đến các điện thoại khác trong vùng nhận. Nó cũng tự gửi dưới dạng tệp MMS tới các số trong sổ địa chỉ của điện thoại và trả lời tự động cho các tin nhắn văn bản và tin nhắn MMS đến. Ngoài ra, nó tự sao chép vào thẻ nhớ di động và tự chèn vào các tập tin cài đặt chương trình trên điện thoại.

Đối phó với Worm

Có sự chồng chéo đáng kể trong các kỹ thuật đối phó với virus và worm. Khi worm đã cư trú trên máy, phần mềm chống vi-rút có thể được sử dụng để phát hiện nó. Ngoài ra, vì sự lan truyền của worm tạo ra hoạt động mạng đáng kể, hoạt động mạng và giám sát sử dụng có thể tạo cơ sở cho việc bảo vệ worm.

Để bắt đầu, chúng ta hãy xem xét các yêu cầu đối với một biện pháp chống worm hiệu quả- chương trình chắc chắn:

• Generality: Cách tiếp cận được thực hiện có thể xử lý nhiều loại worm tấn công, bao gồm cả các loại worm đa hình.
• Timeliness: Phương pháp tiếp cận phải đáp ứng nhanh chóng để hạn chế số lượng hệ thống bị nhiễm và số lượng đường truyền được tạo ra từ các hệ thống bị nhiễm.
• Resiliency: Cách tiếp cận phải chống lại các kỹ thuật trốn tránh được sử dụng bởi những kẻ tấn công để tránh các biện pháp đối phó với worm.
• Minimal denial-of-service costs: Cách tiếp cận sẽ dẫn đến giảm thiểu năng lực hoặc dịch vụ do các hoạt động của phần mềm đối phó. Có nghĩa là, trong nỗ lực ngăn chặn sự lây lan của worm, biện pháp đối phó không được làm gián đoạn đáng kể hoạt động bình thường.
• Transparency: Phần mềm và thiết bị đối phó không được yêu cầu sửa đổi hệ điều hành (cũ), phần mềm ứng dụng và phần cứng hiện có.
• Global and local coverage: Cách tiếp cận phải có khả năng đối phó với các nguồn tấn công từ bên ngoài và bên trong mạng doanh nghiệp.

Không có kế hoạch đối phó worm hiện có nào xuất hiện để đáp ứng tất cả những yêu cầu này- ments. Do đó, các quản trị viên thường cần sử dụng nhiều cách tiếp cận để bảo vệ chống lại các cuộc tấn công của worm.

COUNTERMEASURE APPROACHES 

Worm, chúng tôi liệt kê worm lớp bảo vệ worm:

1. Signature-based worm scan filtering: Loại phương pháp này tạo ra một chữ ký worm, worm đó được sử dụng để ngăn chặn việc quét worm xâm nhập / rời khỏi mạng / máy chủ. Thông thường, cách tiếp cận này liên quan đến việc xác định các luồng đáng ngờ và tạo ra một chữ ký worm. Cách tiếp cận này dễ bị ảnh hưởng bởi việc sử dụng worm đa hình: Phần mềm phát hiện bỏ sót worm hoặc, nếu nó đủ tinh vi để đối phó với worm đa hình, kế hoạch có thể mất nhiều thời gian để phản ứng. [NEWS05] là một ví dụ về cách tiếp cận này.
2. Filter-based worm containment: Cách tiếp cận này tương tự như lớp A nhưng tập trung vào về nội dung worm hơn là chữ ký quét. Bộ lọc kiểm tra một tin nhắn tới

xác định xem nó có chứa mã worm hay không. Một ví dụ là Vigilante [COST05], dựa vào việc phát hiện worm cộng tác ở các máy chủ cuối. Cách tiếp cận này có thể khá hiệu quả nhưng đòi hỏi các thuật toán phát hiện hiệu quả và phổ biến cảnh báo nhanh chóng.

3. Payload-classification-based worm containment: Những công nghệ dựa trên mạng này- niques kiểm tra các gói để xem chúng có chứa worm hay không. Các kỹ thuật phát hiện dị thường khác nhau có thể được sử dụng, nhưng cần thận trọng để tránh dương tính giả hoặc âm tính giả ở mức độ cao. Ví dụ về cách tiếp cận này được báo cáo trong [CHIN05], tìm kiếm mã khai thác trong các luồng mạng. Cách tiếp cận này không tạo ra các chữ ký dựa trên các mẫu byte mà là tìm kiếm các cấu trúc điều khiển và luồng dữ liệu đề xuất khai thác.
4. Threshold random walk (TRW) scan detection: TRW khai thác tính ngẫu nhiên trong việc chọn các điểm đến để kết nối như một cách phát hiện xem máy quét có đang hoạt động hay không [JUNG04]. TRW phù hợp để triển khai trên các thiết bị mạng tốc độ cao, chi phí thấp. Nó có hiệu quả chống lại các hành vi phổ biến thường thấy trong quét giun.
5. Rate limiting: Lớp này giới hạn tốc độ lưu lượng truy cập giống như quét từ máy chủ bị nhiễm. Có thể sử dụng nhiều chiến lược khác nhau, bao gồm giới hạn số lượng máy mới mà máy chủ có thể kết nối trong một khoảng thời gian, phát hiện tỷ lệ lỗi kết nối cao và giới hạn số lượng địa chỉ IP duy nhất mà máy chủ có thể quét trong một khoảng thời gian. [CHEN04] là một ví dụ. Loại biện pháp đối phó này có thể gây ra sự chậm trễ lâu hơn cho giao thông bình thường. Lớp này cũng không phù hợp với những con worm chậm, lén lút lây lan chậm để tránh bị phát hiện dựa trên mức độ hoạt động.
6. Rate halting: Cách tiếp cận này ngay lập tức chặn lưu lượng gửi đi khi vượt quá ngưỡng trong tốc độ kết nối gửi đi hoặc sự đa dạng của các lần thử kết nối [JHI07]. Cách tiếp cận phải bao gồm các biện pháp để nhanh chóng bỏ chặn các máy chủ bị chặn do nhầm lẫn một cách minh bạch. Việc tạm dừng tốc độ có thể kết hợp với cách tiếp cận dựa trên chữ ký hoặc bộ lọc để một khi chữ ký hoặc tệp tin được tạo, mọi máy chủ bị chặn đều có thể được bỏ chặn. Việc tạm dừng tỷ giá dường như cung cấp một biện pháp đối phó rất hiệu quả. Cũng như giới hạn tốc độ, công nghệ tạm dừng tốc độ không phù hợp với những con worm lén lút, chậm chạp.

Bây giờ chúng ta xem xét hai cách tiếp cận chi tiết hơn.

PROACTIVE WORM CONTAINMENT

Lược đồ PWC [JHI07] dựa trên máy chủ lưu trữ thay vì dựa trên các thiết bị mạng như honeypots, tường lửa và IDS mạng. PWC được thiết kế để giải quyết mối đe dọa từ worm lây lan nhanh chóng. Phần mềm trên máy chủ lưu trữ tìm kiếm sự gia tăng tần suất của các lần thử kết nối đi và sự đa dạng của các kết nối đến các máy chủ từ xa. Khi phát hiện thấy sự đột biến như vậy, phần mềm sẽ ngay lập tức chặn máy chủ của nó khỏi các nỗ lực kết nối tiếp theo. Các nhà phát triển ước tính rằng chỉ có vài chục gói tin bị nhiễm có thể được gửi đến các hệ thống khác trước khi PWC cách ly cuộc tấn công đó. Ngược lại, worm Slammer trung bình gửi ra 4000 gói tin bị nhiễm mỗi giây.

Một hệ thống PWC được triển khai bao gồm một người quản lý PWC và các tác nhân PWC trong các máy chủ. Hình 21.7 là một ví dụ về kiến ​​trúc bao gồm PWC. Trong phần thi này, trình quản lý bảo mật, trình trích xuất chữ ký và trình quản lý PWC được triển khai trong một thiết bị mạng duy nhất. Trong thực tế, ba mô-đun này có thể được triển khai như hai hoặc ba thiết bị riêng biệt.

Hình 21.7 Triển khai PWC mẫu

Hoạt động của kiến ​​trúc PWC có thể được mô tả như worm:

1. Một tác nhân PWC giám sát lưu lượng gửi đi cho hoạt động quét, được xác định bởi sự gia tăng trong nỗ lực kết nối UDP hoặc TCP tới các máy chủ từ xa. Nếu phát hiện có sự đột biến, tác nhân sẽ thực hiện các hành động worm: (1) đưa ra cảnh báo cho hệ thống cục bộ; (2) chặn tất cả các nỗ lực kết nối gửi đi; (3) truyền cảnh báo đến người quản lý PWC; và (4) bắt đầu phân tích thư giãn, được mô tả trong D.
2. Người quản lý PWC nhận được cảnh báo. PWC tuyên truyền cảnh báo cho tất cả các tác nhân khác (bên cạnh tác nhân gốc).
3. Máy chủ nhận được một cảnh báo. Người đại diện phải quyết định xem có nên bỏ qua cảnh báo hay không, theo cách worm. Nếu thời gian kể từ khi gói đến cuối cùng đủ lâu để tác nhân có thể phát hiện ra một con worm nếu bị nhiễm, thì cảnh báo sẽ bị bỏ qua. Nếu không, tác nhân giả định rằng nó có thể bị nhiễm và thực hiện các hành động worm: (1) chặn tất cả các nỗ lực kết nối gửi đi từ cổng cảnh báo cụ thể; và (2) bắt đầu phân tích thư giãn, được mô tả trong D.
4. Phân tích thư giãn được thực hiện như worm. Một đại lý giám sát việc gửi đi kích hoạt trong một khoảng thời gian cố định để xem liệu các kết nối gửi đi có vượt quá mức cũ hay không. Nếu vậy, sự tắc nghẽn được tiếp tục và phân tích thư giãn được thực hiện cho một cửa sổ thời gian khác. Quá trình này tiếp tục cho đến khi tốc độ kết nối gửi đi giảm xuống dưới ngưỡng, lúc đó tác nhân loại bỏ khối. Nếu ngưỡng tiếp tục bị vượt quá số lượng cửa sổ thư giãn đủ, tác nhân sẽ cô lập máy chủ và báo cáo cho người quản lý PWC.

Trong khi đó, một khía cạnh riêng của hệ thống phòng thủ worm đang hoạt động. Bộ trích xuất chữ ký hoạt động như một bộ cảm biến thụ động theo dõi tất cả lưu lượng truy cập và cố gắng phát hiện worm bằng cách phân tích chữ ký. Khi một con worm mới được phát hiện, chữ ký của nó sẽ được trình quản lý bảo mật gửi tới tường lửa để lọc ra bất kỳ bản sao nào khác của con worm. Ngoài ra, người quản lý PWC gửi chữ ký cho các đại lý PWC, giúp họ ngay lập tức nhận ra sự lây nhiễm và vô hiệu hóa worm.

NETWORK-BASED WORM DEFENSE

Yếu tố quan trọng của phòng chống worm dựa trên mạng là phần mềm giám sát worm. Hãy xem xét một mạng doanh nghiệp tại một địa điểm, bao gồm một hoặc một tập hợp các mạng LAN được kết nối với nhau. Hai loại phần mềm giám sát là cần thiết:

• Ingress monitors: Các màn hình này được đặt ở biên giới giữa mạng doanh nghiệp- công việc và Internet. Chúng có thể là một phần của phần mềm lọc xâm nhập của bộ định tuyến bor-der hoặc tường lửa bên ngoài hoặc một màn hình thụ động riêng biệt. Một honeypot cũng có thể nắm bắt lưu lượng truy cập worm vào. Một ví dụ về kỹ thuật phát hiện cho bộ giám sát xâm nhập là tìm kiếm lưu lượng truy cập đến các địa chỉ IP cục bộ không sử dụng.
• Egress monitors: Các màn hình này có thể được đặt tại điểm đầu ra của các mạng LAN riêng lẻ trên mạng doanh nghiệp cũng như ở biên giới giữa mạng doanh nghiệp và Internet. Trong trường hợp trước đây, màn hình đầu ra có thể là một phần của phần mềm lọc đầu ra của bộ định tuyến hoặc công tắc mạng LAN. Cũng như các thao tác xâm nhập, tường lửa bên ngoài hoặc một honeypot có thể chứa phần mềm giám sát. Thật vậy, hai loại màn hình có thể được kết hợp với nhau. Bộ theo dõi lối ra được thiết kế để bắt nguồn tấn công worm bằng cách theo dõi lưu lượng truy cập ra ngoài để tìm các dấu hiệu quét hoặc hành vi đáng ngờ khác.

Worm theo dõi có thể hoạt động theo cách của hệ thống phát hiện xâm nhập và gen- đưa ra các cảnh báo tới hệ thống hành chính tập trung. Cũng có thể triển khai một hệ thống cố gắng phản ứng trong thời gian thực đối với một cuộc tấn công của worm, để chống lại việc khai thác zero-day một cách hiệu quả. Điều này tương tự như cách tiếp cận được thực hiện với hệ thống miễn dịch kỹ thuật số (Hình 21.4).

Hình 21.8 cho thấy một ví dụ về kiến ​​trúc đối phó worm [SIDI05]. Hệ thống hoạt động như worm (các số trong hình tương ứng với các số trong danh sách worm):

1. Các cảm biến được triển khai tại các vị trí mạng khác nhau sẽ phát hiện ra một loại worm tiềm ẩn. Logic cảm biến cũng có thể được kết hợp trong các cảm biến IDS.
2. Các cảm biến gửi cảnh báo đến một máy chủ trung tâm tương quan và phân tích các cảnh báo nhận được. Máy chủ tương quan xác định khả năng một cuộc tấn công worm đang được quan sát và các đặc điểm chính của cuộc tấn công.
3. Máy chủ chuyển tiếp thông tin của nó đến một môi trường được bảo vệ, nơi worm tiềm ẩn có thể được đóng hộp cát để phân tích và thử nghiệm.
4. Hệ thống được bảo vệ kiểm tra phần mềm đáng ngờ chống lại một phiên bản công cụ của ứng dụng được nhắm mục tiêu để xác định lỗ hổng bảo mật.
5. Hệ thống được bảo vệ tạo ra một hoặc nhiều bản vá phần mềm và kiểm tra chúng.
6. Nếu bản vá không dễ bị lây nhiễm và không ảnh hưởng đến chức năng của ứng dụng, hệ thống sẽ gửi bản vá đến máy chủ ứng dụng để cập nhật ứng dụng được nhắm mục tiêu.

Hình 21.8 Vị trí của Màn hình Giun

Sự thành công của một hệ thống vá lỗi tự động như vậy phụ thuộc vào việc duy trì danh sách các cuộc tấn công tiềm ẩn hiện tại và phát triển các công cụ chung để vá phần mềm nhằm chống lại các cuộc tấn công như vậy. Ví dụ về các cách tiếp cận như worm:

• Tăng kích thước của bộ đệm
• Sử dụng kỹ thuật ngẫu nhiên hóa mã nhỏ [BHAT03] để quá trình lây nhiễm không còn hoạt động vì mã bị tấn công không còn ở dạng và vị trí cũ nữa
• Thêm bộ lọc vào ứng dụng cho phép nó nhận ra và bỏ qua một cuộc tấn công

Các phần mềm kiểm tra Worm

Có nhiều phần mềm diệt virus, phần mềm diệt malware và phần mềm bảo vệ máy tính có thể giúp bạn phát hiện và loại bỏ worm. Dưới đây là một số phần mềm phổ biến để giúp bảo vệ máy tính của bạn khỏi worm và các loại phần mềm độc hại khác:

1. Malwarebytes
2. Norton AntiVirus
3. McAfee AntiVirus
4. Avast AntiVirus
5. Kaspersky AntiVirus
6. Bitdefender AntiVirus
7. AVG AntiVirus

Lưu ý rằng việc sử dụng phần mềm diệt virus hoặc phần mềm diệt malware không thể đảm bảo hoàn toàn an toàn cho máy tính của bạn, vì vậy bạn cũng cần phải có những thói quen an toàn khi sử dụng internet, chẳng hạn như tránh truy cập các trang web đáng ngờ, không mở các email lạ hoặc các tệp đính kèm không rõ nguồn gốc và cập nhật các phần mềm bảo mật thường xuyên.