Wie breiten sich Würmer in Netzwerken aus?

3076
m1xed0s

Ich wurde von einem unserer Vertriebsmitarbeiter gefragt, ob es möglich ist, dass sich ein Virus in Netzwerken, VLANs oder Subnetzen ausbreiten kann.

Ich habe geantwortet, dass Viren höchstwahrscheinlich nicht zum Einsatz kommen werden, aber Würmer vielleicht. Aber als ich gefragt wurde, wie ich erfuhr, wurde mir klar, dass ich nicht wirklich weiß, wie sich Würmer ausbreiten ...

In Layer-2-Netzwerken ist das einfach, aber was ist mit Layer 3 (wie über Subnetze oder VLANs verteilt)? Wie machen Würmer das automatisch?

0
Würmer unterscheiden sich von anderen Arten von Malware darin, dass ihr endgültiger Zweck die Verbreitung ist. Die Methode, mit der sie dies tun, kann je nach Umfang des Wurmes und der Epoche, in der er geschrieben wurde, variieren. Im Allgemeinen werden Netzwerkscans durchgeführt und verfügbare Hosts sowie die offenen Ports und Dienste geprüft. Wenn sie eine Schwachstelle erkennen, initiieren sie eine Verbindung, replizieren und wiederholen sie. MaQleod vor 10 Jahren 0
Um das zu erweitern, was ich oben gesagt habe, gibt es verschiedene Möglichkeiten für Würmer. Einige sind speziell für die Verbreitung über ein IM-Protokoll oder über IRC geschrieben. Sie wurden für einen bestimmten Exploit oder eine bestimmte Benutzeraktion geschrieben und verwenden vorhandene Verbindungen, um sich selbst zu kopieren, anstatt ganze Netzwerke nach Schwachstellen zu durchsuchen. MaQleod vor 10 Jahren 0
Wie wird das gemacht? Die Anzahl der Möglichkeiten, die auf diese Weise durchgeführt werden können, könnte ein Buch mit 500 Seiten füllen Ramhound vor 10 Jahren 3

2 Antworten auf die Frage

2
VL-80

Es geht darum, wie Viren funktionieren. Du hast gesagt On layer 2 network, it is easy.

Warum ist es einfach? Stellen Sie sich ein Netzwerk der Stufe 2 mit 200 nicht infizierten Windows-Computern und einem infizierten Windows-Computer vor (Angenommen, der Virus verbreitet sich über Port 139 und / oder 445). Viren verbreiten sich sehr schnell, wenn diese Ports geöffnet sind (standardmäßig sind sie offen).

Was passiert also hier? Ein infizierter Computer kann mit allen Computern im Subnetz kommunizieren und prüfen, ob Port 139 geöffnet ist. Der Virus findet einen Computer mit offenem Port 139 und danach geht er auf diesen Computer. Jetzt machen zwei von ihnen dasselbe mit dem nächsten Computer, bis alle infiziert sind.

Was machte es für Viren einfach, sich hier zu verbreiten? Annahme (oder Kenntnis davon), dass sich in demselben Subnetz Windows-Computer befinden. Ich bin kein Windows-Guru, aber ich erinnere mich immer noch daran, dass es Dinge wie die Windows-Netzwerkumgebung gibt - Sie öffnen sie und sehen Windows-Computer in derselben Arbeitsgruppe. Sie müssen nur Ihren Computer registrieren, und alle Computer in derselben Arbeitsgruppe wissen über die Existenz Ihres Computers Bescheid. Also, wahrscheinlich können Viren diese Zukunft der automatischen Erkennung nutzen und erhalten eine Liste von Computern, die in der Nähe sind. Danach infiziert der Virus nur diese Computer.

Und eine große Anzahl von Windows-Computern ist anfällig für Port 139-Exploits. Dieser Port ist standardmäßig geöffnet und leider sehr gefährlich.

Stellen Sie sich jetzt zwei Subnetze vor. Ohne zusätzliche Konfigurationscomputer kann kein Teil derselben Arbeitsgruppe sein. Daher kann ein Virus keine Liste von Computern in verschiedenen Subnetzen erhalten. Es weiß nicht wohin. Sie können sie nicht infizieren, ohne sich mit ihnen zu verbinden. Es ist so, als könnten Sie mir keine Box geben, wenn Sie meinen Standort nicht kennen.

Dies ist die erste Antwort - In Schicht 2 ist es leicht, die Adresse von Nachbarschaftsmaschinen zu erraten. (192.168.0.x, 192.168.0.x + 1 ...)

Zweite Antwort - Subnetze werden nach Routern aufgeteilt. Meistens haben Router Firewalls. In den meisten Fällen schließen Sysadmins nicht benötigte und gefährliche Ports, um unbefugten Zugriff und Viren zu verhindern.

Selbst wenn der infizierte Computer die Adressen von Computern in verschiedenen Subnetzen kennt - die Verbreitung der Viren durch die Firewall wird nicht zugelassen (falls Ports blockiert werden).

Und denken Sie mit einfachen Gesichtspunkten daran. Es ist keine Magie involviert. Virus ist ein Computerprogramm. Um eine Verbindung zu einem anderen Computer im Netzwerk herzustellen, sollten diese Bedingungen TRUE sein:

  • Das Programm kennt die IP-Adresse des Ziels
  • Das Programm kennt den Zielport des Netzwerks
  • Zwischen Origin und Destination ist eine Netzwerkkommunikation möglich

Im Windows-Netzwerk der Schicht zwei sind alle diese Bedingungen standardmäßig standardmäßig WAHR.

Danke, das ist in der Tat hilfreich. Kennen Sie vielleicht einen entdeckten Wurm, der sich über Netzwerke hinweg ausbreiten könnte? m1xed0s vor 10 Jahren 0
Nein, momentan bin ich mir keiner bewusst. VL-80 vor 10 Jahren 0
1
vonbrand

Ein Virus (wie sein biologisches Pendant) entführt andere Aktivitäten (Ausführen eines infizierten Programms, Booten infizierter Medien), um die Kontrolle zu übernehmen (um nach anderen anfälligen Hosts zu suchen, sei es Programme oder bootfähige Medien, und schließlich nach Vandalismus oder anderem Chaos).

Ein Wurm (auch als biologisches Pendant) ist ein unabhängiger Prozess, der nach anfälligen Hosts (in diesem Fall Maschinen im Netz) sucht, auf die er sich ausbreiten kann.

Nach seiner Definition verbreitet sich ein Virus nicht (direkt) von einer Maschine zur nächsten. Würmer breiten sich auf unterschiedliche Weise von einem Computer zum nächsten aus, entweder direkt, indem sie eine Schwachstelle im Ziel ausnutzen oder den Benutzer dazu verleiten, sie zu starten.

Verwandte Probleme