http ssc users ro Curs 10 Atacuri DOS

http: //ssc. users. ro Curs 10 – Atacuri DOS, amenintari virus, worm, trojan Bogdan Carstoiu 1

Atacuri Denial of Service (Do. S) Definitii: • • • Un atac de tipul Denial of Service (Do. S) este un incident de securitate in care o organizaţie sau un utilizator independent este privat de serviciile unei resurse pe care in mod normal o folosea fara probleme. Un atac de tipul Distributed Denial of Service (DDo. S) implica un numar mare de sisteme compromise (numite şi „botnet“), care sunt folosite pentru a ataca o singura ţinta. Chiar daca un atac Do. S sau DDo. S nu are ca scop sustragerea de informaţii confidenţiale, acesta poate cauza daune foarte mari unei organizaţii. De multe ori, atacurile Do. S incearca sa „consume“ toate resursele disponibile ale unui sistem sau web site. Atunci când oricare dintre aceste resurse critice atinge maximul sau de utilizare, web site-ul devine inaccesibil. Deoarece aplicatiile web includ un server web, un server pentru baze de date şi un server de autentificare, atacurile Do. S la nivelul aplicaţiilor pot avea ca ţinta fiecare dintre aceste componente independente. Spre deosebire de atacurile Do. S la nivel de reţea, unde este necesar un numar mare de incercari de conectare, atacurile Do. S la nivel de aplicaţie sunt mult mai uşor de realizat. 2

Caracteristici Do. S • • • Nu aduce beneficii directe atacatorilor Genereaza panica si pierderi Este o problema majora pe Internet Cei mai multi virusi si worms comit atacuri Do. S Trebuie distinse atacurile Do. S de “Slashdot effect”, cunoscut si ca slashdotting. Acesta apare in momentul in care un site web popular listeaza legaturi catre site-uri mici. Acestea devin innacesibile datorita traficului ridicat. Apare in special pe site-urile gazduite in regim de shared hosting. Cum poate fi produs? • Latimea de banda – congestionarea legaturii • Blocare CPU – generarea de calcule mari consumatoare de timp • Memoria – swapping si pana la urma blocaje • Do. S poate aparea in orice moment deoarece atacatorul trimite un request valid care este procesat. 3

Primele atacuri Do. S in Internet • Trimiterea de pachete SYN. Atacatorul trimite mii de mesaje SYN invalide (start connection). Chiar o masina slaba poate trimite multe astfel de mesaje. Cererile sunt preluate si se asteapta pentru fiecare 45 secunde. Prin urmare pana la urma nu se mai poate raspunde la cererile legitime. Au in general adrese false, atacul nu poate fi contracarat prin limitarea numarului de conexiuni de la o adresa IP. • Pachetele de raspuns SYN+ACK se duc la adrese aleatoare (adresele false de la care s-a generat atacul) • Conexiunea ramane jumatate deschisa (half-open); • Aceste atacuri se bazeaza pe diagrama de stari TCP. 4

Detalii SYN Flooding • Un mesaj SYN duce conexiunea in starea SYN-RCVD • TCP ramane in acesta stare asteptand pachetul SYN+ACK si incarca memoria • Memoria limiteaza numarul de conexiuni pentru un port dat in starea SYN-RCVD • Urmatoarele pachete SYN pentru acel port sunt eliminate Concluzia • Siretlicul: Atacatorul se prezinta ca o masina inexistenta si nu va trimite niciodata SYN+ACK sau RST • Rezultat: Portul este blocat. Metode de aparare: • Anti-spoofing • Structuri de date corespunzatoare • Cockie SYN 5

Metode de aparare Anti-spoofing: • Principial simpla, dar necesita distributie la scara mare • Filtrarea tuturor pachetelor din exterior pentru a preveni spoofing • Este foarte dificil pentru un ISP datorita costurilor • Utilizarea de liste negre. Structuri de date: • Nu este rational a aloca toate resursele protocolului doar unui pachet SYN • Limitarea numarului conexiunilor deschise pe jumatate • Pot fi luate in consideratie mult mai multe, dar exista cazuri cand un atacator castiga. 6

Alte metode de aparare • Nu se creaza stari ce nu sunt neaparat necesare fara verificarea validitatii cererii de conexiune; • In particular, nu se creaza o stare de conexiune daca nu se cunoaste cine este nodul partener si daca acesta nu a fost verificat Idea generala: • Codificarea starii (semnatura criptografica) si trimiterea acesteia de la server la client. • Clientul returneaza starea in mesajul urmator. • Serverul decodifica starea, verifica daca este autentica si numai atunci procedeaza la crearea conexiunii. 7

SYN Cookies • SYN Cookies este elementul cheie al tehnicii utilizate pentru protectia la stacurile SYN flood; • Daniel Bernstein este creditat ca inventatorul acestei tehnici • SYN Cookies permite serverului sa evite taierea conexiunilor cand coada SYN s-a umplut; • Serverele se comporta ca si cand coada SYN a fost extinsa, trimite inapoi raspunsul SYN+ASK la client, dar se debaraseaza de intrarea SYN in coada de intrare; • Daca serverul receptioneaza ulterior in raspunsul ACK de la client, el este capabil sa refaca intrarea in coada SYN utilizand informatia codificata in numarul de secventa TCP. 8

Implementare Cookies • In raspunsul la SYN serverul raspunde cu SYN+ACK, pacher care contine numarul secventa ce va fi utilizat de TCP pentru reasamblarea sirului de date. Acest numar este decis de fiecare endpoint. • SYN Cookies construieste numarul secventa dupa regulile: • – Fie t - un contor incrementat la fiecare 64 secunde – Fie m – valoarea lungimii maxime a segmentului (maximum segment size - MSS) pentru care serverul ar putea sa stocheze intrarea in coada SYN – Notam s – rezultatul unei functii criptografice calculate in functie de adresa IP a serverului, numarul de port, adresa IP a clientului si numarul de port + valoarea t. s este reprezentat pe 24 biti. Numarul de secventa TCP, adica SYN Cookie se calculeaza: – Primi 5 biti: t mod 32 – Urmatorii 3 biti o valoare codificata ce reprezinta pe m (serverul este restrictionat sa trimita 8 valori distincte pentru m) – Ultimii 24 biti valoarea s • Cand clientul raspunde la pachetul SYN+ACK, numarul de secventa este cel primit +1. Serverul scade 1 din numarul receptionat si reface numarul de secventa de la care poate reface intrarea SYN. 9

Observatii SYN Cookies • SYN Cookies nu afecteaza specificatia protocolului TCP • Are totusi cateva implicatii in implementare: – Limitarea la maxim 8 valori MSS; – Rejectarea tuturor optiunilor TCP, deoarece serverul elimina intrarile in coada SYN si aceste informatii ar trebui pastrate. • Aceste restrictii afecteaza foarte putin clientii • Mai mult, restrictiile sunt valabile numai cand serverul este atacat, altfel informatia se gaseste in coada SYN • Este un compromis rezonabil, pierderea unor optiuni fata de pierderea conexiunii. • In Linux activarea SYN cookies se face prin comanda # echo 1 > /proc/sys/net/ipv 4/tcp_syncookies 10

CPU Do. S • Utilizarea SYN cookies necesita timp de calcul pentru procesor mai ales pentru calculele criptografice • Un atac prin care se doreste ocuparea procesorului poate fi facut pe baza de SYN cookies • Este nevoie de o modalitate de a limita numarul de cereri de la clienti compromisi Solutie posibila: • Angajarea mai intai a resurselor clientului intr-un protocol de autentificare (consumator de resurse) si verificarea de catre server a angajarii clientului, cu un consum mic de resurse. Numai dupa acest prim pas se aloca resurse. – Un server intr-un protocol de autentificare poate cere clientului sa rezolve un puzzle cu calcule expansive inainte ca serverul sa ia in consideratie o noua stare; – Cand primeste raspunsul, rezultatul este foarte usor de verificat de catre server. • Metoda nu urmareste legitimarea clientilor, dar pune in incurcatura atacatori. 11

Exemplu – hash puzzle • Generarea lui n (matricea dificultatii) si a unei valori x aleatoare • Trimite clientului (n, h(x), x’) unde x’ este x cu ultimii m biti setati in 0 si h este functia hash criptografica • Clientul trebuie sa determine x • Clientul genereaza raspuns, acesta este validat prin calcularea lui h(x) si verificarea potrivirii cu valoarea trimisa de server. • Intrucat h este o functie hash criptografica (SHA-1) nu exista o metoda rapida de gasit x din (n, h(x), x’) • Numarul mediu de operatii necesare este 2 n-1; • Incercarea este simplu de validat, o singura operatie De ce aceasta metoda nu este ideala: • Atacatorii pot avea mai multe masini • Daca serverul creste n prea mult este dificil sa legitimeze clientii 12

Distributed Do. S (DDo. S) • Au aparut in 1999 • Atacuri masive planificate la 31 decembrie 1999 pentru a escalada problemele Y 2 K • Cea mai obisnuita forma de Do. S intalnita astazi • Consuma latimea de banda a retelei • Utilizari cu retele mari de "zombies“ sau "bots“ pentru a compromite alte calculatoare. Un bot este un tip de malware care permite atacatorului sa ia controlul complet asupra calculatorului afectat. Aceste calculatoare sunt adesea referite ca 'zombies‘; • Atacatorii sunt capabili sa activeze zombie PC pentru a ajuta la executia Do. S • Deviza “comanda şi controleaza" noduri carora le spun ce sa faca • Internet Relay Chat (IRC) utilizat frecvent pentru controlul canalelor • Mai nou unele utilizeaza grupuri peer-to-peer 13

Address Spoofing • Primele versiuni utilizeaza address spoofing deoarece face dificila urmarirea sau filtrarea botilor. • Primele metode de aparare se concentrau pe refacerea traseului • Atacurile nu s-au schimbat deoarece refacerea traseului nu este eficienta. Consecinte: • Un aparator nu poate face fata la 10000 bots • Refacerea traseului catre persoana responsabila este consumatoare de timp si de multe ori inutila • Cele mai multe rutere nu pot manipula o lista de filtrare cu 10000 de intrari 14

Botnets • Botnet este termenul folosit pentru o colectie de roboti software care ruleaza autonom si automat; Oricine poate rula software-ul bot. • Cum de construiesc? • Exemplu bot pentru trimitere de spam: – – • • Un operator botnet trimite virusi sau worms infectand calculatoarele utilizatorilor. In continutul mesajului este inclusa aplicatia (bot); Bot de la masina infectata se conecteaza la un control channel server (C&C server) de cele mai multe ori un IRC server, dar in unele cazuri chiar un web server; Un spammer acceseaza botnet Spammer-ul trimite instructiuni prin intermediul serverului IRC la masinile infectate si acestea trimit mesaje spam la serverul de mail. Pot fi adusi cu software free infectat (sau chiar comercial – warez) Pagini web cu controale Active. X dubioase, dar si siretlicuri pentru ca utilizatorii sa le accepte. 15

Metode de aparare DDo. S Nu prea avem metode adecvate de aparare, de regula sunt utilizate metode euristice. Overprovision: • Proiectare astfel incat sa fie asigurata o rezerva de putere pentru a face fata atacurilor DDo. S. Costurile sunt o problema foarte importanta, si oricum nu se poate garanta nimic. Black-hole routing: • • Black-hole se refera la locul din retea in care traficul care soseste ignorat fara a se informa sursa de acest lucru In cazul de fata se refera la stergerea pachetelor la nivel de rutare, prin implementarea unor reguli dinamice care se ajusteaza cu detectia atacului. In general sunt folosite mai multe componente in retea. Se exploateaza la filtrare anomaliile traficului DDo. S (Time To Leave, protocoalele etc). Este imperfecta, dar de regula destul de buna Multe atacuri DDo. S nu dureaza mult 16

Aparare DDo. S - alte atacuri Pushback: • Atunci cand traficul la o legatura de iesire a unui ruter este supraincarcat, acesta va determina care dintre legaturile de intrare produce acesta incarcare • Ruterul va limita frecventa pachetelor pe aceasta intrare • Metoda se aplica pe toate caile care produc congestie, iar ruterele intermediare propaga mesajul pentru limitarea frecventei pachetelor. Alte atacuri: • Filtre Bayesiene – Sunt utilizate pentru anti-spam (calculeaza rata probabilitatii ca mesajul sa fie spam pe baza unor cuvinte). – Spammerii trimit mesaje care provoaca un consum mare de CPU pentru filtrare – Rezultat: administratorul renunta la filtru si mesajele nu se mai scaneaza, deci spamul trece de filtre. 17

Do. S - alte atacuri • Atac reflectat: – Atacatorul trimite un mic pachet cu o adresa sursa falsa la unele servicii, in special DNS care utilizeaza UDP (UDP este considerat ca principala cauza in producerea atacului). – Pachetul genereaza un raspuns de dimensiune mare, raspuns reflectat; – Raspunsul este trimis la o adresa sursa falsa – Atacatorul creaza un efect de multiplicare. • Gasirea de buguri si exploatarea lor pentru a opri anumite programe; 18

Amenintari virusi, troian, worms Definitii: • Virusi. Un virus se atasaza de un program sau fisier si se raspandeste de la o masina la alta infectand masinile pe care le traverseaza. • Worms: Un worm este similar cu un virus si poate fi considerat ca o subclasa a virusilor. El se raspandeste de la o masina la alta, dar spre deosebire de virusi au capabilitatea de a calatori fara nici o actiune a utilizatorilor. • Trojan Horse este similar, dar mai siret. La prima vedere apare ca fiind un software foarte util, dar in realitate va dauna programelor instalate sau executate pe calculator. La terminarea receptiei unui trojan suntem pacaliti sa-l deschidem deoarece apare ca fiind un software legitim de la o sursa legitima. Atunci cand este activat pe calculator efectele pot fi diferite. Troieni pot actiona prin crearea unei “backdoor” in calculator prin care se da acces utilizatorilor rau intentionati sa compromita date confidentiale. Spre deosebire de virusi si worm nu se reproduc prin infectarea altor fisiere si nici nu se autoreplica. 19

Caracteristici virusi, worms Virusi: • Este localizat intr-un program infectat; • Cand programul este executat va realiza functia pentru care a fost creat; • El infecteaza de asemenea alte programe; • Poate transporta o incarcatura suplimentara care realizeaza alte functii. Worms: • Similar cu virusii dar ei se imprastie intre masini; • Unii sunt automati, altii necesita interventie pentru a se raspandi; • Unii exploateaza buguri, altii trimit mesaje catre exterior. 20

Worm clasic Primii worm: • IBM Christmas Card “Virus”, decembrie 1987; • Morris Internet Worm, noiembrie 1988; Multi worm cunoscuti au emulat unul sau pe amandoi. Efecte Christmas Card Virus: • A infectat EARN, BITNET si reteaua IBM VNET (o retea pentru mainframe IBM utilizata inainte de TCP/IP); • Raspandire prin social engineering Pentru a intelege modul de manifestare vom discuta despre Christmas Card Virus. 21

Worm clasic (Christmas Card Virus) Utilizatorul primeste mesajul: “A very happy Christmas and my best wishes for the next year. Let this run and enjoy yourself. Browsing this file is no fun at all. Just type Christmas. ” Ce se intampla: • Un mecanism de transfer fisiere (nu chiar email) distribuie un mic script utilizatorilor; • A fost scrie in REXX, un shell pentru scripturi similat cu limbajul pentru sistemul IBL VM/CMS; • Scriptul afiseaza felicitarea de Craciun, se uita de asemenea la adresele de email si la fisierul log al transferului de fisiere; • Transmite o copie a sa la toti utilizatorii pe care i-a gasit; • Cei care receptioneaza au incredere pentru ca mesajul vine de la un corespondent uzual. 22

Worm clasic (Caracteristici) Elemente esentiale: • • • Executabil autoreplicat Aparent vine dintr-o sursa de incredere Necesita executia programului de catre receptor Utilizeaza fisierul email alias pentru a gasi noile victime Caracteristicile sunt aceleasi pentru cei mai obisnuiti email worms. Daune (prejudicii): • • Worm insusi nu este malitios Are o crestere exponentiala Sufoca serverele, caile de comunicatie, umple sistemul de fisiere Poate fi considerat un atac de tip Do. S ca si efect 23

Worm clasic (Internet worm) • Se bucura de multa publicitate • Estimat ca a afectat este 10% din masinile conectate la Internet • La aparitie, o veste proasta pentru Internet Caracterisrici: • Mult mai sofisticati • Exploateaza codul ce contine buguri – se imprastie fara interventie umana • Exploateaza increderea dintre calculatoare • Multiple directii de atac • Multiple arhitecturi (Vax, Sun etc) • Doreste sa demonstreze lipsa de securitate in Internet. 24

Directii de atac Worm clasic Exemple legacy, nu mai sunt valabile, dar toate au fost exploatate: • Back door in sendmail • Buffer overflow in fingerd • Password-guessing • Pre-authenticated login via rsh 25

Sendmail Back Door Atacurile sendmail sunt poate mai putin preferate in arsenalul worm. Sendmail este programul care furnizeaza serviciul SMTP de mail pentru sistemele Berkeley UNIX. El utilizeaza un protocol orientat pe caractere pentru a accepta mail de la locatii indepartate si permite generarea unui raspins automat. Daca sendmail este compilat cu flag DEBUG si transmitatorul cere la runtime ca sendmail ca intre in mod debug prin trimiterea unei comenzi debug se permite transmitatorului sa paseze o secventa de comenzi in locul utilizatorului de la receptie. Worm imita o conexiune SMTP cu un continut sir de caractere corespunzator ales. Acest sir contine o comanda care sterge headerul mesajului si transfera continutul la interpretorul de comenzi. Continutul detine o copie a sursei worm bootstrap si comenzile pentru compilare si rulare. Dupa ce inchide conexiunea la sendmail bootstrap va fi construit pe masina indepartata si worm local asteapta o conexiune pentru un nou worm. Imaginam urmatorul scenariu: • • Autorul sendmail doreste continuarea accesului la versiunea de productie instalata. Administratorul de sistem nu permite acest lucru; El pune intentionat “o intrare ascunsa” (back door) in sendmail pentru a-si asigura accesul; Sistemul transporta cu aceasta optiune activa (exploatata ca posibilitate de atac). 26

Buffer Overlow • Finger daemon apleaza gets(), o rutina de biblioteca deja controversata, care spre deosebire de fgets() nu are parametru pentru marimea bufferului; • Prin trimiterea unui sir suficient de lung peste retea ca intrare, programul atacator reuseste sa: – Injecteze cod in limbaj de asamblare; si – Suprainscrie adresa de return din stiva asa ca gets() se va ramifica la acel cod in loc sa faca revenirea de la apelul de functie. Acest cod deschide o conexiune cu masina infectata obtine restul de cod dupa care il activeaza. Explicatie: Un principiu de securitate spuna ca la fiecare modificare a unei variabile se verifica in faza de run incadrarea intre limitele inferioare si superioare ale bufferului. 27

Ghicirea parolei si Login pre-autentificat Ghicirea parolei: • Se uita la lista numelui de utilizatori in fisierul de parole • Va utiliza transformari simple ale numelui de login si nume utilizator si in plus un dictionar de parole obisnuite Nota: Autorul worm Rebert T. Morris urmeaza o tehnica descrisa pentru prima data de tatal sau. Login pre-autentificat: • Exploateaza increderea: /etc/hosts. equiv si pe utilizator lista fisierelor. rhosts care contine masini de incredere • Daca masina A are incredere in masina B (chiar numai pentru un utilizator particular), masina B are de regula incredere in masina A; • Asa se obtin doua lucruri: o cale de infectare si o lista a altor masini pentru atac 28

Ascunderea probelor • Exista o diversitate de surse pentru a gasi alte masini in scopul de a fi atacate: – rsh/rlogin surse de incredere – Masinile listate in fisierele. forward • Rutere, in multe situatii sunt folosite si calculatoare obisnuite • Genereaza aleator adresele retelelor vecine Ascundere worm: • Worm utilizeaza o multime de tehnici pentru a se ascunde • A fost numit si sh deoarece scripturile sunt fisiere “. sh” care sunt rulate de Linux command shell, similar cu fisierele. bat in Windows; • Utilizeaza frecvent fork() cu efectul schimbarii process. ID pentru a nu fi depistat in listingul privind starea sistemului; • Este detasat de propriul executabil • Sirurile de text din continutul worm sunt cel putin obfuscate 29

Worm modern • Acestia sunt asemanatori, fie cu Christmas card, fie cu Internet worm Email worm incerca sa pacaleasca utilizatorii cu informatii tentante: fotografii, software update etc. Exemple: • – – • “Osama bin Laden Captured”, vezi fisierul video atasat; Unii apar ca update la software antivirus Multi dintre ei pot trece de firewall Mod de ascundere: • Nume inselatoare de fisiere la fisierele atasate • Adaugarea unei extensii false inainte de estensia reala (nume. jpg. exe) • Ascunderea in fisiere arivate (. zip) • Ascunderea intr-un fisier criptat cu parola in continutul email • Multe strategii de ascundere la gazde, inclusiv nume ciudat de fişiere, etc. 30

Worm modern (2) Modele sigure: • Preferabil atacul in aceeasi retea, poate fi interior firewall • Exploatarea resurselor de stocare utilizate in comun; • Cea mai mare parte a worm mail se bazeaza pe aparenta sursă de încredere Raspandirea prin erori in cod: • Exploatarea diferitelor erori mai ales pentru platforme Windows • Pot fi imprastiati datorita erorilor in cod mult mai repede • Raspandire foarte rapida si poate duce la consum ridicat de largime de banda 31

Slammer worms Descriere comportament Slamer worm: SQL Slammer worm are efect de tip Do. S pentru masinile conectate la Internet. La aparitie a infectat peste 75000 calculatoare (circa 90% din masinile vulnerabile) in mai putin de 10 minute. Chiar daca este intitulat “SQL slammer worm” nu utilizeaza limbajul SQL ci doar exploateaza bugul buffer overflow din Microsoft SQL Server. Alte nume includ: W 32. SQLExp. Worm, DDOS. SQLP 1434. A, Sapphire Worm, SQL_HEL, W 32/SQLSlammer si Helkern. Din punct de vedere tehnic este o mica portiune de cod care face generare de adrese IP aleatoare si se auto-trimite codul la aceste adrese. Numai masinile ce ruleaza MSSQL fara patch corespunzator sunt afectate. Scaderea traficului este determinat de traficul generat de serverele infectate asupra ruterelor. 32

Slammer worms (2) • Exploateaza un bug al Microsoft SQL Server; • Inundarea cu mesaje de catre serverele infectate creste timpul de raspuns al ruterelor, ceea ce face ca ruterele invecinate sa transmita mesaje care cer schimbarea rutei afectand alte rutere • Se utilizeaza UDP, un pachet de 376 octeti contine intregul cod, se transmite intr-un singur pachet la portul 1434 • Nu este necesara o conexiune pentru a infecta alta masina neutilizand TCP • Se pastreaza in memorie nu pe disc • Poate fi dezactivat prin simpla oprirea a masinii, dar la repornire poate fi din nou infectata daca ruleaza software MSSQL fara patch. Protectie: instalarea patch-ului corespunzator 33

Welchi worm • Welchi exploateaza vulnerabilitatile RPC/DCOM si Web. DAV pentru propagare ca si Nachi worm; • Aparent incearca sa faca bine • In principal copiaza TFTPD. EXE ca SVCHOST. EXE si creaza servicii pentru acestea • El utilizeaza noul server TFTP redenumit pentru a gasi alte masini infectabile utilizand cereri Echo ICMP • Utilizeaza portul 135 pentru a incarca fisierul infectat pe sistemul tinta si exploateaza Web. DAV pentru lansare in executie • El incearca sa aduca diverse pachete de securitate de la Microsoft si sa le instaleze fara a verifica cerintele minime necesare pentru instalare (alte pachete instalate) insa verifica registry daca anumite pachete au fost anterior instalate. Rezultatul este reboot si efect Do. S • Se autoelimina la 1 ianuarie 2004 34

Sobig. F • Acest worm se propaga printr-o multime de mesaje email cu propriul continut utilizand SMTP • El colecteaza adresele de email de la fisierele cu urmatoarele extensii: DBX, HLP, MHT, WAB, HTML, HTM, TXT, EML • Poate inlocui campul FROM utilizand o adresa de email gasita pe masina infectata pentru a parea ca mesajul vine din alta parte. • Poate utiliza in campul from adresa email admin@internet. com • Inglobeaza un cod foarte bine scris • Pare initial ca un mesaj spam Masuri de protectie: • Blocarea portului 8998 pentru tot traficul spre exterior pentru a preveni contactarea serverelor remote de unde poate descarca fisierul • Blocarea porturilor de la 995 la 999 pentru tot traficul spre interior pentru a preveni ca orice server activ sa trimita sursa worm 35

Warhol worms • Termenul vine de la remarca lui Andy Warhol “In the future, everyone will have 15 minutes of fame”; • Este un worm cu o propagare foarte rapida, infectarea tuturor masinilor vulnerabile din Internet ia mai putin de 15 minute; • SQL slammer worm este primul exemplu de Warhol worm • Poate produce daune majore inainte ca cineva sa aiba sansa sa reactioneze • Scanarea aleatoare a adreselor IP pentru determinarea unei noi victime face ca raspandirea sa fie foarte rapida in toata reteaua, scanarea poate veni de oriunde. • Utilizarea de probabilitati diferite pentru reteaua locala fata de cele mai indepartate pentru determinarea noilor tinte. • Pot ingloba liste de excluziuni pentru retelele considerate sigure (nu pierde timpul). 36

Detectare worms • Initial, prin trimiterea esantioanelor suspicioase la companiile ce dezvolta antivirusi • Trafic mult mai ridicat decat traficul normal in istoria retelei • O singura masina are un numar anormal de sesiuni deschise cu o anumita destinatie • Volum excesiv de date transmis de la o masina catre o alta masina sau la destinatii multiple (de regula pe un anumit port) • Pattern matching – prin analiza fluxului de date cu atentie sporita la anumite campuri: adresa IP sursa si destinarie, port sursa si port destinatie (ex: port 1434 pentru slammer, port 12345 pentru Nerbus Trojan). • Performante foarte scazute pentru o masina atat la operatii locale cat si in retea; 37

Detectare worms (2) • Schimbarea setarilor de retea, redirectarea paginii default, adaugarea de noi shortcuts; • Bombardarea cu ferestre popup, chiar daca masina nu este online • Companiile care dezvolta antivirusi construiesc semnaturi ale worms • Semnaturile sunt sabloane de octeti ce se cauta in fisierele prin care se raspandesc • Fiecare worm nou are propria sa semnatura, scanerele antivirus trebuie actualizate in permanenta • Unii worms sunt criptati • Programele de scanare devin complexe si necesita si cod pentru decriptare 38

Aparare impotriva worm • Application firewall poate realiza si scanarea anti-worm • O filtrare buna a pachetelor poate impiedica multe atacuri bazate pe buguri in cod • Problema filtrare: Multi worm se imprastie de la servere web la browsere web si apoi ataca alte servere web; 39