Tracing Fast-moving Worms El rastreo rápido movimiento de Worms

Trojans that steal your bank details and botnets that zombify computers have taken the place of fast-spreading worms in the popular headlines. Los troyanos que roban sus datos bancarios y botnets que zombify ordenadores han tomado el lugar de la rápida propagación de gusanos en la popular titulares. It’s been a while since we had a global infestation on the scale of MyDoom, Sobig, or ILOVEYOU. Ha sido un tiempo desde que tuvimos una infestación en la escala de MyDoom, Sobig, o ILoveYou. However, worms, self-replicating computer programs that spread across a network, are still at the top of the critical lists when it comes to Sin embargo, gusanos, completa en sí misma la reproducción de programas informáticos que se propagan a través de una red, aún se encuentran en la parte superior de las listas de crítica cuando se trata de computer security seguridad informática .

After all, it is only the headlines that have changed, those botnets are created by the spread of specific worms and similarly Trojans are often delivered by a worm. Después de todo, es sólo en los titulares que han cambiado, los botnets son creados por la propagación de gusanos específicos de manera similar y troyanos a menudo son entregados por un gusano.

Indrajit Ray Indrajit Ray a computer science professor at Colorado State University, Andrew Burt CEO of security company un profesor de ciencias de la computación en la Universidad Estatal de Colorado, Andrew Burt CEO de empresa de seguridad Techsoft , based in Golden, Colorado, graduate student Michael Darschewski and Prof Ramakrishna Thurimella of the University of Denver and Hailin Wu senior network engineer at , Con sede en Golden, Colorado, estudiante graduado Michael Darschewski y Ramakrishna Thurimella Profesor de la Universidad de Denver y Hailin Wu ingeniero superior de la red en Array Networks Array Networks have developed two new approaches to finding the origin of a worm infection. han desarrollado dos nuevos enfoques para encontrar el origen de la infección por un gusano. One spots ongoing worm attack, the other works forensically after an attack has occurred. Uno de los puntos de ataque del gusano en curso, las otras obras forense después de un ataque se ha producido.

The researchers point out that conventional approaches to fending off malicious code use signatures, snippets of identifying code found in the worm. Los investigadores señalan que los enfoques convencionales para rechazar frente a código malicioso utilizar firmas, fragmentos de código de identificación encontrados en el gusano. However, some worms spread so quickly that there is often not enough time to update security software with the new codes before the damage is done. Sin embargo, algunos gusanos de propagación tan rápida que existe a menudo no es suficiente tiempo para actualizar el software de seguridad con los nuevos códigos antes de que el daño está hecho. Some worms can infect millions of host computers across the internet within a matter of minutes. Algunos gusanos pueden infectar millones de ordenadores centrales a través de la Internet en cuestión de minutos.

The automatic distributed mechanism looks for the propagation roots of a fast-spreading internet worm. El mecanismo automático distribuido busca la propagación de las raíces de una rápida propagación del gusano de internet. It can identify local worm outbreaks, spot network intrusion, locate internal network abuse, and assist in tracing the worm back to its source. Puede identificar los brotes del gusano local, terreno red de intrusos, red interna localizar los abusos y ayudar en la localización de el gusano de nuevo a su fuente. The team adds that their method works alongside more conventional intrusion detection, bandwidth throttling and human-mediated responses to protect a network. El equipo agrega que su método funciona junto a más convencionales de detección de intrusos, el ancho de banda y la regulación humana mediada por las respuestas para proteger a una red.

The approach is quite simple and relatively easy to deploy. El planteamiento es bastante simple y relativamente fácil de implementar. “Our system is based on the observation that in order for any worm to spread rapidly, the moment it compromises a host, it must immediately identify a new set of victims,” the researchers explain, “Infection will almost surely be manifested by an explosive rate of outbound connection attempts from the site.” "Nuestro sistema se basa en la observación de que a fin de que cualquier gusano que se propagó rápidamente, el momento en que una serie de compromisos, es necesario identificar de inmediato un nuevo conjunto de las víctimas", explican los investigadores, "Infección casi seguramente se manifiesta por un explosivo tasa de intentos de conexión de salida del sitio ".

The key to combating this infection is to deploy a monitoring program at the network gateways that spots such flash floods of outbound connection attempts, assumes that can only be due to the presence of a fast-spreading worm and blocks the activity almost instantaneously. La clave para la lucha contra esta infección es el despliegue de un programa de monitoreo en la red de portales que esas manchas crecidas repentinas de intentos de conexión de salida, se supone que sólo puede ser debido a la presencia de una rápida propagación del gusano y bloquea la actividad de forma casi instantánea. Of course, the network administrator could whitelist any legitimate programs that may mimic such activity and so prevent false positives and network downtime for such programs. Por supuesto, el administrador de red puede blanca cualquier programas legítimos que puedan imitar ese tipo de actividad y así evitar falsos positivos y tiempos de inactividad para tales programas. More importantly, the monitors can work in reverse identifying network upstream neighbors and so figure out where the root is. Más importante aún, los monitores pueden trabajar en revertir la identificación de red aguas arriba y los vecinos a fin de averiguar donde está la raíz.

The team’s simulations of worm infections show that even if only 20 to 30% of computers in a network have deployed the system, then the origin of a worm can nevertheless be pinpointed with great precision. El equipo de simulaciones de las infecciones del gusano muestran que, aunque sólo el 20 y el 30% de las computadoras en una red han desplegado el sistema, entonces el origen de un gusano, no obstante, puede ser señalado con gran precisión.

Details of the distributed worm defense can be found in the January issue of Detalles de la defensa distribuido el gusano se puede encontrar en la edición de Enero de International Journal of Security and Networks (2008, 3, 36-46) Revista Internacional de Seguridad y Redes (2008, 3, 36-46) . . You can get a free white paper on security for your business entitled ” Usted puede obtener un libre libro blanco sobre la seguridad de su negocio titulado " 7 Essential Steps to Achieve, Measure and Prove Optimal Security Risk Reduction 7 pasos esenciales para lograr, la medida óptima y demostrar la Reducción del Riesgo de Seguridad here. aquí. The white paper is published by Qualys and is available from our partner site for free. La publicación del Libro Blanco de Qualys y está disponible desde nuestro sitio asociado de forma gratuita.