Tracing Fast-moving Worms Rintracciamento in rapida evoluzione Worms

Trojans that steal your bank details and botnets that zombify computers have taken the place of fast-spreading worms in the popular headlines. Trojan che rubano la sua banca dati e botnet zombify computer che hanno preso il posto di rapida diffusione di worm nel popolare titoli. It’s been a while since we had a global infestation on the scale of MyDoom, Sobig, or ILOVEYOU. E 'stato un po' di tempo da quando abbiamo avuto un infestazione globale sulla scala di MyDoom, Sobig, o ILoveYou. However, worms, self-replicating computer programs that spread across a network, are still at the top of the critical lists when it comes to Tuttavia, worm, auto-replica programmi per computer che si diffondono attraverso una rete, sono ancora in cima alla critica liste quando si tratta di computer security la sicurezza dei computer .

After all, it is only the headlines that have changed, those botnets are created by the spread of specific worms and similarly Trojans are often delivered by a worm. Dopo tutto, solo i titoli che hanno cambiato, i botnet sono creati dalla diffusione di particolari worm e Trojan sono altrettanto spesso pronunziata da un verme.

Indrajit Ray Ray Indrajit a computer science professor at Colorado State University, Andrew Burt CEO of security company un computer scienza professore presso Colorado State University, Andrew Burt CEO della società di sicurezza Techsoft , based in Golden, Colorado, graduate student Michael Darschewski and Prof Ramakrishna Thurimella of the University of Denver and Hailin Wu senior network engineer at , Con sede a Golden, Colorado, studente laureato Michael Darschewski e Prof Ramakrishna Thurimella dell 'Università di Denver e Hailin Wu alti ingegnere di rete Array Networks Array Networks have developed two new approaches to finding the origin of a worm infection. hanno sviluppato due nuovi approcci per trovare l'origine di un worm infezione. One spots ongoing worm attack, the other works forensically after an attack has occurred. Uno spot worm attacco in corso, le altre opere forensically dopo un attacco.

The researchers point out that conventional approaches to fending off malicious code use signatures, snippets of identifying code found in the worm. I ricercatori sottolineano che gli approcci convenzionali a fending off codice dannoso utilizzare firme, snippet di codice d'identificazione nel worm. However, some worms spread so quickly that there is often not enough time to update security software with the new codes before the damage is done. Tuttavia, alcuni worm diffuso così rapidamente che non vi è spesso non basta il tempo di aggiornare il software di protezione con i nuovi codici prima che il danno è fatto. Some worms can infect millions of host computers across the internet within a matter of minutes. Alcuni worm può infettare milioni di computer host su Internet in pochi minuti.

The automatic distributed mechanism looks for the propagation roots of a fast-spreading internet worm. Il meccanismo automatico distribuiti cerca la propagazione radici di una rapida diffusione di Internet Worm. It can identify local worm outbreaks, spot network intrusion, locate internal network abuse, and assist in tracing the worm back to its source. È in grado di individuare i focolai locali worm, posto delle intrusioni nella rete, individuare abusi di rete interna, e aiutare a rintracciare il worm ritornare alla sua fonte. The team adds that their method works alongside more conventional intrusion detection, bandwidth throttling and human-mediated responses to protect a network. Il team aggiunge che il loro metodo funziona insieme più convenzionali di rilevamento delle intrusioni, limitazione della larghezza di banda e umano-mediata risposte proteggere una rete.

The approach is quite simple and relatively easy to deploy. L'approccio è molto semplice e relativamente semplice da implementare. “Our system is based on the observation that in order for any worm to spread rapidly, the moment it compromises a host, it must immediately identify a new set of victims,” the researchers explain, “Infection will almost surely be manifested by an explosive rate of outbound connection attempts from the site.” "Il nostro sistema si basa sulla constatazione che per qualsiasi worm a diffondersi rapidamente, il momento in cui un host compromessi, deve immediatamente individuare una nuova serie di vittime," spiegano i ricercatori, "Infezione sarà quasi sicuramente essere manifestata con un esplosivo tasso di tentativi di connessione in uscita dal sito. "

The key to combating this infection is to deploy a monitoring program at the network gateways that spots such flash floods of outbound connection attempts, assumes that can only be due to the presence of a fast-spreading worm and blocks the activity almost instantaneously. La chiave per la lotta contro questa infezione è per la distribuzione di un programma di controllo, presso la rete di gateway che gli spot di tali inondazioni di tentativi di connessione in uscita, si presume che può essere solo a causa della presenza di una rapida diffusione di worm e blocca l'attività quasi istantaneamente. Of course, the network administrator could whitelist any legitimate programs that may mimic such activity and so prevent false positives and network downtime for such programs. Naturalmente, l'amministratore di rete potrebbe whitelist qualsiasi legittimo programmi che possono mimare tale attività allo scopo di evitare falsi positivi e della rete per tali programmi. More importantly, the monitors can work in reverse identifying network upstream neighbors and so figure out where the root is. Ancora più importante, il monitor può funzionare in senso inverso l'identificazione di rete a monte e così vicini a capire dove è la radice.

The team’s simulations of worm infections show that even if only 20 to 30% of computers in a network have deployed the system, then the origin of a worm can nevertheless be pinpointed with great precision. Il team di simulazioni di infezioni da virus worm mostra che, anche se solo il 20 e il 30% dei computer di una rete che hanno implementato il sistema, quindi l'origine di un worm può comunque essere individuato con grande precisione.

Details of the distributed worm defense can be found in the January issue of Dettagli della difesa distribuiti worm può essere trovato nel gennaio del problema International Journal of Security and Networks (2008, 3, 36-46) International Journal of sicurezza e reti (2008, 3, 36-46) . . You can get a free white paper on security for your business entitled ” È possibile ottenere una libera Libro bianco sulla sicurezza per il vostro business dal titolo " 7 Essential Steps to Achieve, Measure and Prove Optimal Security Risk Reduction 7 essenziali le misure necessarie per conseguirli, Misura e di Prova sicurezza ottimale riduzione dei rischi here. qui. The white paper is published by Qualys and is available from our partner site for free. Il Libro bianco è pubblicato da Qualys ed è disponibile dal nostro sito partner gratuitamente.