Conficker/Kido Worm

[KMP]

Ένας απο τα πλέον εξελιγμένα worms που έχουν κάνει την εμφάνισή τους (αν και σε κάποιες μετέπειτα εκδοχές του δεν ήταν worm). Ενδιαφέρον έχει, εκτός απο την δόμη και το τρόπο λειτουργίας του συγκεκριμένου ιομορφικού λογισμικού, η "περίεργη" αντίδραση κορυφαίων εταιρειών antivirus. Επίσης δείχνει το πόσο σημαντική είναι η προβολή τέτοιων περιστατικών απο τα media, και πόσο εύκολα μπορεί να τρομοκρατήσει τους χρήστες: αυτοί που τελικά επωφελήθηκαν περισσότερο απο την υστερία που δημιουργήθηκε γύρω απο τον Conficker (ξεκινόντας τον Νοεμβριο του 2008 περίπου), ήταν οι δημιουργοί fake antivirus προγραμμάτων, οι οποίοι κέρδισαν μεγάλα ποσά πουλώντας "ψευτικο" λογισμικό με την υπόσχεση οτι θα καταπολεμούσε τον Conficker Worm.

Μερικά ενδιαφέροντα άρθρα:
http://www.newscientist.com/article/mg2 ... -worm.html
Μια ιστορική ανασκόπηση του worm απο τον Νοεμβριο του 2008 μέχρι σήμερα

http://www.viruslist.com/en/weblog?weblogid=208187648
Μια σύντομη αναφορά σε ενα rogue Conficker Removal Tool

http://mtc.sri.com/Conficker/
Ένα τεχνικό άρθρο για τον τρόπο λειτουργίας του Conficker A και Β

[HdkiLLeR]

Ο Conficker (ή Downadap, Kido, Down, Downup) είναι ολόκληρο family παρά ένα μεμονομένο piece of malware. Έχει πάρει μεγάλο publicity εξαιτίας του infection base που έχει (είναι όντως απο τα μεγαλύτερα) και αυτό επειδή κάνει update τον εαυτό του. Κοινώς δεν είναι ένα worm αλλά πολλά versions που γίνονται update συνεχώς, αλλάζουν signatures etc. Σε γενικές γραμμές δεν νομίζω ότι είναι περισσότερο advanced απο τον Slammer, ο οποίος αρκούσε να στείλει ένα UDP packet με ~300bytes of payload για να σου πάρει το box .

[KMP]

Ο Conficker (ή Downadap, Kido, Down, Downup) είναι ολόκληρο family παρά ένα μεμονομένο piece of malware.

Αυτό ενούσα οτι είναι ενα worm σε κάποιες απο τις μορφές του, απλά δεν το έθεσα και πολύ σωστά Σαφώς οχι το πιο εξελιγμένο, αλλα αρκετά έξυπνο - τουλάχιστον έτσι φάνηκε σε εμένα, με τις περιορισμένες γνώσεις που έχω. Απ'οσο ξέρω έχουν βγεί εργαλεία που μπορούν να εντοπίσουν κάποιες εκδόσεις/παραλλαγές, αλλά απ όσο έχω καταλάβει συνεχίζουν και βγαίνουν νέες εκδόσεις/παραλλαγές του αρχικού worm.

[HdkiLLeR]

Όλα αυτά τα tools χρησιμοποιούν signature matching για να εντοπίσουν ένα instance. Ουσιαστικά κάποια anti-vrii εταιρία έπιασε ένα sample το έψαξε και βρήκε ένα substring που υποτίθεται ότι είναι unique (κάνει identify αυτό το executable uniquely). Το πρόβλημα είναι ότι τα περισσότερα νέα worms είναι polymorphic οπότε το signature που σου βγάζει η symantec πχ για ένα worm θα πιάσει ένα subset απο αυτά γιατί όταν το worm κάνει propagate αλλάζει μορφή (και το sig γίνεται invalidate). Κοινώς θέλω να σου πω ότι ακόμη και με anti-virus δεν θα κάνεις δουλειά. Επίσημα statistics δεν δίνουν παραπάνω απο 15% success σε αναγνώριση (symantec).

[gkaueb]

Μου φαίνεται πολύ "μπακάλικος" ο τρόπος του instance matching και ειδικά από τέτοιες μεγάλες εταιρείες.
Κανονικά θα έπρεπε να χρησιμοποιούν ποιο εξελιγμένες μεθόδους για την αντιμετώπιση τέτοιων ζητημάτων ασφάλειας
(Νευρωνικά Δίκτυα, Μηχανισμούς μηχανικής μάθησης κ.α..). Και μετά σου λέει γιατί ο κόσμος δεν πληρώνει για λογισμικό
και προτιμάει το πειρατικό

[HdkiLLeR]

Μου φαίνεται πολύ "μπακάλικος" ο τρόπος του instance matching και ειδικά από τέτοιες μεγάλες εταιρείες.
Κανονικά θα έπρεπε να χρησιμοποιούν ποιο εξελιγμένες μεθόδους για την αντιμετώπιση τέτοιων ζητημάτων ασφάλειας
(Νευρωνικά Δίκτυα, Μηχανισμούς μηχανικής μάθησης κ.α..). Και μετά σου λέει γιατί ο κόσμος δεν πληρώνει για λογισμικό
και προτιμάει το πειρατικό

Απο research perspective υπάρχει το anomaly detection που έχει μεγαλύτερα ποσοστά επιτυχίας (αλλά πολλά άλλα προβλήματα). Απο την άλλη AI τεχνικές δεν διαφέρουν πολύ απο το signature matching μιας και είτε θα κάνεις train μια φορά και απο εκεί και πέρα δεν θα πιάνεις τπτ new (οπότε polymorphism και ξερό ψωμί) ή θα κάνεις training όλη την ώρα οπότε πάμε σε slow attacks όπου απλά προσπαθεί το malware με μικρά steps να πάρει μέρος στο training και να παράγει states τα οποία φαίνονται legitimate -- πολύ χοντρικά τα ανέφερε αλλά αυτό είναι το ουσιαστικό πρόβλημα.

Το malware αντιμετωπίζεται με σωστό software, secure OS και applications -- και developers που γράφουν σωστά.

[*estrngd]

Πάντως αν και λίγο οφφ, δεν θα μπορούσε να ισχυριστεί κανείς ότι οι εταιρείες antivirus είναι πιθανό να γράφουν αρκετούς ιούς;

[KMP]

Πάντως αν και λίγο οφφ, δεν θα μπορούσε να ισχυριστεί κανείς ότι οι εταιρείες antivirus είναι πιθανό να γράφουν αρκετούς ιούς;

Σαφώς και θα μπορούσε να το ισχυριστεί, όπως επίσης θα μπορούσε να ισχυριστεί οτι οι εξωγήινοι επισκέπτονται τακτικά την γή, οι μυστικές υπηρεσίες συνεργάζονται με παραθρησκευτικές οργανώσεις σε μια κολοσσιαία συνωμοσία με σκοπό την παγκόσμια κυριαρχία κλπ κλπ. Το θέμα δεν είναι τι μπορείς και τι δεν μπορείς να ισχυριστείς Δυο πράγραματα είναι βέβαια, το γεγονός οτι συνήθως είναι πολύ δύσκολο αν οχι αδύνατο να προσδιορίσεις την προέλευση ενός ιού, καθώς και το οτι το συγκεκριμένο worm δεν γράφτηκε απο ερασιτέχνες. Για παράδειγμα, παραθέτω ένα μικρό απόσπασμα απο το πρώτο αρθρο για το οποίο έδωσα αρχικά το link. Αναφέρεται σε κάποια μετέπειτα έκδοση του worm:

"Other innovations revealed the sophistication of Conficker's creators. If the encryption used for the previous strain was tough, that of the new version seemed virtually bullet-proof. It was based on code little known outside academia that had been released just three months earlier by researchers at the Massachusetts Institute of Technology."