Как черви распространяются по сетям?

2938
m1xed0s

Один из наших менеджеров по продажам спросил меня, возможно ли распространение вируса по сетям, VLAN или подсетям?

Я ответил, что вирус, скорее всего, не будет, но черви могут. Но когда меня спросили, как, я понял, что на самом деле не понимаю, как распространяются черви ...

В сети уровня 2 это легко, но как насчет уровня 3 (например, распределение по подсетям или VLAN)? Как черви делают это автоматически?

0
Черви отличаются от других видов вредоносного ПО тем, что их основной целью является распространение. Способ, которым они делают это, может варьироваться в зависимости от области действия червя и эпохи, в которой он был написан. Обычно они предназначены для сканирования сети и просмотра доступных хостов и того, какие порты / службы открыты. Если они обнаружат уязвимость, они установят соединение, реплицируют и повторяют. MaQleod 10 лет назад 0
Чтобы расширить то, что я сказал выше, существуют различные области применения червей. Некоторые написаны специально для распространения через протокол IM или через IRC. Они написаны с учетом конкретного эксплойта или действия пользователя и используют существующие подключения для копирования самих себя, а не для сканирования уязвимостей во всей сети. MaQleod 10 лет назад 0
Как это сделано? Количество способов сделать это может заполнить книгу на 500 страниц. Ramhound 10 лет назад 3

2 ответа на вопрос

2
VL-80

Все дело в том, как работает вирус. Вы сказали On layer 2 network, it is easy.

Почему это просто - представьте себе сеть 2-го уровня с 200 незараженными компьютерами Windows и 1 зараженным компьютером Windows (предположим, что вирус распространяется через порт 139 и / или 445). Вирус будет распространяться очень быстро, если эти порты открыты (они открыты по умолчанию).

Итак, что здесь происходит? Зараженный компьютер может связаться со всеми компьютерами в подсети и проверить, открыт ли порт 139. Вирус находит машину с открытым портом 139 и после этого заходит на этот компьютер. Теперь двое из них будут делать то же самое со следующим компьютером, пока все они не будут заражены.

Что способствовало распространению вируса здесь? Предположение (или знание), что в одной подсети есть компьютеры с Windows. Я не гуру Windows, но я все еще помню, что есть такие вещи, как Сетевое окружение Windows - вы открываете его и видите компьютеры Windows в одной рабочей группе. Вам просто нужно зарегистрировать свой компьютер, и все компьютеры в одной рабочей группе узнают о существовании вашего компьютера. Таким образом, вирус, вероятно, может воспользоваться этим автоматическим открытием в будущем и просто получить список компьютеров, которые находятся рядом. После этого вирус просто заражает эти компьютеры.

И множество компьютеров с Windows уязвимы для эксплойта порта 139. Этот порт открыт по умолчанию и, к сожалению, он очень опасен.

Теперь представьте две подсети. Без дополнительной настройки компьютеры не могут быть частью одной и той же рабочей группы. Итак, вирус не может получить список компьютеров в другой подсети. Он не знает, куда идти. Он не может заразить их, не подключившись к ним. Это как вы не можете дать мне коробку, если вы не знаете мое местоположение.

Это первый ответ - на уровне 2 легко угадать адрес соседских машин. (192.168.0.x, 192.168.0.x + 1 ...)

Второй ответ - подсети разделены на маршрутизаторы. Чаще всего маршрутизаторы имеют брандмауэры. И чаще всего системные администраторы закрывают ненужные и опасные порты на них, чтобы предотвратить несанкционированный доступ и распространение вирусов.

Даже если зараженная машина будет знать адреса компьютеров в разных подсетях - брандмауэр не позволит распространяться вирусу (если необходимые порты заблокированы).

И подумайте об этом с простой точки зрения. В этом нет никакой магии. Вирус - это компьютерная программа. Для подключения к другому компьютеру в сети эти условия должны быть ИСТИНА:

  • Программа знает IP-адрес назначения
  • Программа знает сетевой порт назначения
  • Возможна сетевая связь между отправителем и получателем

В сети Windows второго уровня все эти условия по умолчанию часто имеют значение ИСТИНА.

Спасибо, это действительно полезно. Вы случайно не знаете обнаруженного червя, который может распространяться по сетям? m1xed0s 10 лет назад 0
Нет, на данный момент я не знаю ни о чем. VL-80 10 лет назад 0
1
vonbrand

Вирус (как и его биологического аналога) перехватывает другой деятельности (работает зараженную программу, загрузка зараженного носителя), чтобы взять под свой контроль (поиск других восприимчивых хозяев, будь то программы или загрузочный носитель, и, наконец, вандализма или другого беспредела).

Червь (также как это биологический аналог) является самостоятельным процессом, который ищет восприимчивые хозяин (машины по сети в данном случае), к которому распространяться.

По определению, вирус не распространяется (напрямую) с одной машины на другую. Черви распространяются с одной машины на другую различными способами, либо напрямую, используя уязвимость в цели, либо обманывая пользователя, чтобы запустить их.

Похожие вопросы