Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:analiza_storm_worm_napada [2021/01/16 18:01]
mdadanovic [Postupni pad Storm Worma] 		racfor_wiki:analiza_storm_worm_napada [2024/12/05 12:24] (trenutno)
Redak 36: Redak 36:
  
 Još jedan od razloga zašto je bilo teško zaustaviti širenje Storma Worma je njegova mogućnost nadogradnje izvornog programskog koda tj. zaražena računala bi između sebe dijelila najnovije verzije Storm Worma. Ovakva mogućnost nadogradnje drastično je otežavala bilo kakve pokušaje zaustavljanja zlonamjernog softvera jer kada bi se pronašla neka slaba točka koja bi se potencijalno mogla iskoristiti za usporavanje ili zaustavljanje širenja, navedenu slabu točku bi autori mogli ispraviti te poslati poboljšanje svim zaraženim računalima. Mogućnost poboljšanja je očito vidljiva jer kasnije verzije Storm Worma su imale mogućnost detektirati da li se nalaze unutar virtualne mašine, jednom kada bi detektirao da uistinu nalazi u virtualnoj mašini jednostavno bi ušao u beskonačnu petlju te ne bi izveo svoj izvorni kod, ranije verzije ovakvu funkcionalnost nisu imale.  Još jedan od razloga zašto je bilo teško zaustaviti širenje Storma Worma je njegova mogućnost nadogradnje izvornog programskog koda tj. zaražena računala bi između sebe dijelila najnovije verzije Storm Worma. Ovakva mogućnost nadogradnje drastično je otežavala bilo kakve pokušaje zaustavljanja zlonamjernog softvera jer kada bi se pronašla neka slaba točka koja bi se potencijalno mogla iskoristiti za usporavanje ili zaustavljanje širenja, navedenu slabu točku bi autori mogli ispraviti te poslati poboljšanje svim zaraženim računalima. Mogućnost poboljšanja je očito vidljiva jer kasnije verzije Storm Worma su imale mogućnost detektirati da li se nalaze unutar virtualne mašine, jednom kada bi detektirao da uistinu nalazi u virtualnoj mašini jednostavno bi ušao u beskonačnu petlju te ne bi izveo svoj izvorni kod, ranije verzije ovakvu funkcionalnost nisu imale. 
 +
 Uz preuzimanje novih funkcionalnosti, Storm Worm bi preuzimao nove predloške mail-ova tj. naslovi koje bi Storm Worm generirao u svojim e-mailovima su se uvijek mijenjali zbog navedene mogućnosti konstantnog unaprijeđena softvera. Stoga zaražene mailove, nije bilo moguće prepoznati po nekom konstantnom naslovu. Također, naslovi bi uvijek pratiti aktualne događaje npr. Za vrijeme svjetskog nogometnog prvenstva slao bi naslove poput „program za praćenje nogometnog prvenstva“ [9], dok bi za novu godinu slao „sretna 2008. godina“ [10]. Uz preuzimanje novih funkcionalnosti, Storm Worm bi preuzimao nove predloške mail-ova tj. naslovi koje bi Storm Worm generirao u svojim e-mailovima su se uvijek mijenjali zbog navedene mogućnosti konstantnog unaprijeđena softvera. Stoga zaražene mailove, nije bilo moguće prepoznati po nekom konstantnom naslovu. Također, naslovi bi uvijek pratiti aktualne događaje npr. Za vrijeme svjetskog nogometnog prvenstva slao bi naslove poput „program za praćenje nogometnog prvenstva“ [9], dok bi za novu godinu slao „sretna 2008. godina“ [10].
 +
 Uz sve navedene, Storm Worm je također imao i aktivne metode obrane, tj. u slučaju da je detektirao da ga se pokušava zaustaviti lansirao bi protu napad. Kao što je već spomenuto, Storm Worm je mogao detektirati ako se nalazi u virtualnoj mašini, također je promatrao procese koji se pokreću na korisničkom računalu. Neke verzije Storm Worm bi jednostavno ugasile procese koje bi smatrali potencijalno opasne npr. razne programe za ispravljanje pogrešaka (eng. debugger), antivirusne programe ili bilo kakve programe za dijagnostiku. Kasnije verzije Storm Worm ne bi ugasile proces nego bi prevarile operacijski sustav da umjesto procesa koji je korisnik pokrenuo, bi se zapravo pokrenuo neki drugi proces koji ne bi radio ništa, ali korisnik bi se zavarao i mislio da se uspješno pokrenuo njegov proces [11].  Uz sve navedene, Storm Worm je također imao i aktivne metode obrane, tj. u slučaju da je detektirao da ga se pokušava zaustaviti lansirao bi protu napad. Kao što je već spomenuto, Storm Worm je mogao detektirati ako se nalazi u virtualnoj mašini, također je promatrao procese koji se pokreću na korisničkom računalu. Neke verzije Storm Worm bi jednostavno ugasile procese koje bi smatrali potencijalno opasne npr. razne programe za ispravljanje pogrešaka (eng. debugger), antivirusne programe ili bilo kakve programe za dijagnostiku. Kasnije verzije Storm Worm ne bi ugasile proces nego bi prevarile operacijski sustav da umjesto procesa koji je korisnik pokrenuo, bi se zapravo pokrenuo neki drugi proces koji ne bi radio ništa, ali korisnik bi se zavarao i mislio da se uspješno pokrenuo njegov proces [11]. 
 +
 Uz upravo opisane lokalne načine obrane poput zaustavljanje pokretanja određenih procesa, Storm Worm je imao mogućnost automatiziranog DDoS napada u slučaju kada bi detektirao da ga netko pokušava razotkriti ili proučiti njegov izvorni kod [12]. Neke od kompanija protiv kojih je Storm Worm aktivirao DDoS protu napad su „SecureWorks“,  „Artists Against 419“, „Spamhaus Project“ i brojni drugi. Uz upravo opisane lokalne načine obrane poput zaustavljanje pokretanja određenih procesa, Storm Worm je imao mogućnost automatiziranog DDoS napada u slučaju kada bi detektirao da ga netko pokušava razotkriti ili proučiti njegov izvorni kod [12]. Neke od kompanija protiv kojih je Storm Worm aktivirao DDoS protu napad su „SecureWorks“,  „Artists Against 419“, „Spamhaus Project“ i brojni drugi.
  
Redak 81: Redak 84:
  
 Zbog svoje proširenosti Storm Worm je prikupio veliku količinu pozornosti te su zbog toga mnoge grupe radile na raznim rješenjima kako zaustaviti Storm Worm. Microsoft je 25. rujna 2007 objavio novu verziju alata za uklanjanje zlonamjernog softvera koja dolazi sa Windowsima te je ta nova verzija uspjela smanjiti veličinu zaražene mreže za 20% posto [15]. Zbog svoje proširenosti Storm Worm je prikupio veliku količinu pozornosti te su zbog toga mnoge grupe radile na raznim rješenjima kako zaustaviti Storm Worm. Microsoft je 25. rujna 2007 objavio novu verziju alata za uklanjanje zlonamjernog softvera koja dolazi sa Windowsima te je ta nova verzija uspjela smanjiti veličinu zaražene mreže za 20% posto [15].
 +
 Kako bi spriječile zarazu većina kompanija je ograničila ili skroz blokirala peer-to-peer komunikaciju unutar svoje lokalne mreže. Zbog ove prevencije čak i kada bi se neko računalno unutar mreže zarazilo ne bi moglo komunicirati sa ostalima. U slučaju da kompanije ne mogu blokirati peer-to-peer komunikaciju zbog određenog razloga sljedeća najbolja metoda za prevenciju je promatranje količine internetskog prometa. Budući da Storm Worm generira velike količine izlaznog prometa tvrtke mogu iskoristiti ovu činjenicu te u slučaju da tvrtka detektira iznenadni skok izlaznog prometa može poduzeti neke preventivne akcije. Jedan od softvera koji je razvijen posebno za detektiranje spambotova poput Storm Worma je BotHunter [16]. Kako bi spriječile zarazu većina kompanija je ograničila ili skroz blokirala peer-to-peer komunikaciju unutar svoje lokalne mreže. Zbog ove prevencije čak i kada bi se neko računalno unutar mreže zarazilo ne bi moglo komunicirati sa ostalima. U slučaju da kompanije ne mogu blokirati peer-to-peer komunikaciju zbog određenog razloga sljedeća najbolja metoda za prevenciju je promatranje količine internetskog prometa. Budući da Storm Worm generira velike količine izlaznog prometa tvrtke mogu iskoristiti ovu činjenicu te u slučaju da tvrtka detektira iznenadni skok izlaznog prometa može poduzeti neke preventivne akcije. Jedan od softvera koji je razvijen posebno za detektiranje spambotova poput Storm Worma je BotHunter [16].
 +
 Storm Worm se nikada ne bi toliko proširio kada bi se riješila najveća mana u sustava, a to su ljudi. Jedini razlog zašto se Storm Worm proširio je zbog brzopletosti ljudi koji su preuzimali nepoznate datoteke na vlastita računala te ih pokretali. Stoga najbolji način prevencije Storm Worma i svih ostalih budućih sličnih napada je ulaganje u obrazovanje šire populacije o pažljivom korištenju i potencijalnim opasnostima Interneta. Storm Worm se nikada ne bi toliko proširio kada bi se riješila najveća mana u sustava, a to su ljudi. Jedini razlog zašto se Storm Worm proširio je zbog brzopletosti ljudi koji su preuzimali nepoznate datoteke na vlastita računala te ih pokretali. Stoga najbolji način prevencije Storm Worma i svih ostalih budućih sličnih napada je ulaganje u obrazovanje šire populacije o pažljivom korištenju i potencijalnim opasnostima Interneta.
  
Redak 87: Redak 92:
  
  
 +Storm Worm je zanimljiv dio povijesti jer je jedan od prvih koji je koristio nekoliko inovativnih ideja poput aktivne obrane sa funkcijama detekcije alata za dijagnozu te lansiranja protu napada , peer-to-peer komunikacije i koordinaciju, aktivno poboljšavanje vlastitog izvornog koda. Zlonamjerni softveri poslije njega su posudili upravo spomenute inovacije te ih implementirali u svoju logiku. Međutim, Storm Worm je imao i neke pozitivne utjecaje. Zbog količine vijesti koje je generirao mnogi ljudi su čuli za njega te će se sigurno biti oprezniji u slučaju da se situacija ponovno ponovi. Neosporna je činjenica da je u većini sustava čovjek uzrok većine propust zbog svog neznanja, nepažnje i brzopletosti. Stoga najbolja povijesna lekcija koju Storm Worm može dati je da se ulaganje u obrazovanje ljudi o internetskoj sigurnosti čini kao nepotreban financijski trošak, ali u slučaju napada će se višestruko isplatiti. U suprotnom šteta prouzročena bi mogla biti drastično veća poput isključivanja interneta cijelih tvrtka i država kao što to Storm Worm bio sposoban napraviti.
 ===== Literatura ===== ===== Literatura =====
  
-[1] [[http://books.google.hr/books?id=mFJe8ZnAb3EC&printsec=frontcover#v=onepage&q&f=false|PlassJan L., Roxana Morenoand Roland BrünkenCognitive Load TheoryCambridge University Press2010.]]+[1] [[https://en.wikipedia.org/wiki/W32/Storm.worm|W32/Storm.worm, 2020 ]] 
 + 
 +[2] [[http://news.bbc.co.uk/2/hi/technology/6278079.stm|BBC news: Storm chaos prompts virus surge, 2007 ]] 
 + 
 +[3] [[https://www.informationweek.com/storm-spam-surges-infections-climb/d/d-id/1050968?|Gregg Keizer, InformationWeek:  'Storm' Spam Surges, Infections Climb, 2007]] 
 + 
 +[4] [[https://www.informationweek.com/storm-worm-botnet-more-powerful-than-top-supercomputers/d/d-id/1058883?|Sharon Gaudin, InformationWeek: Storm Worm Botnet More Powerful Than Top Supercomputers, 2007 ]] 
 + 
 +[5] [[https://en.wikipedia.org/wiki/Storm_botnet|Wikipedia: Storm botnet, 2020 ]] 
 + 
 +[6] [[https://www.pcworld.com/article/138694/article.html|Erik Larking, PCWorld: The Internet's Public Enemy Number One, 2007 ]] 
 + 
 +[7] [[https://en.wikipedia.org/wiki/Botnet#Client-server_model|Wikipedia: Botnet - Client-server model2021 ]] 
 + 
 +[8] [[https://web.archive.org/web/20071016163749/http://tech.blorge.com/Structure%3A%20/2007/10/15/researcher-storm-worm-botnet-up-for-sale/|Ruben FranciaBLORGE.com - Storm Worm botnet up for sale2007   ]] 
 + 
 +[9] [[https://www.informationweek.com/nfl-kickoff-weekend-brings-another-storm-worm-attack/d/d-id/1058992?|Sharon GaudinInformationWeek: NFL Kickoff Weekend Brings Another Storm Worm Attack, 2007 ]] 
 + 
 +[10] [[https://www.pcworld.com/article/140827/article.html|Gregg Keizer, PCWorld: Storm Botnet Drops Strippers Lure, Switches to New Year's, 2007 ]] 
 + 
 +[11] [[https://nakedsecurity.sophos.com/2007/10/22/process-patching-the-dorf-way/|Nakedsecurity: Process-patching, the Dorf way, 2007 ]] 
 + 
 +[12] [[https://www.darkreading.com/researchers-fear-reprisals-from-storm/d/d-id/1129091|Tim Wilson, Darkreading: Researchers Fear Reprisals From Storm, 2007 ]] 
 + 
 +[13] [[http://www.cyber-ta.org/pubs/StormWorm/report/|Phil Porras, Hassen Saïdi, Vinod Yegneswaran Cyber-TA: A Multi-perspective Analysis of the Storm (Peacomm) Worm, 2007  ]]
  
-[2] [[http://www.google.com/books?id=duWx8fxkkk0C&printsec=frontcover#v=onepage&q&f=false|MayerRichard E. The Cambridge handbook of multimedia learning. Cambridge University Press, 2005.]]+[14] [[https://docs.microsoft.com/en-us/windows/win32/secauthz/dacls-and-aces|Microsoft: DACLs and ACEs2018]]
  
-[3] [[http://www.cogtech.usc.edu/publications/kirschner_Sweller_Clark.pdf|KirschnerP. A, Sweller, J. and Clark, R. E. Why minimal guidance during instruction does not workAn analysis of the failure of constructivist, discovery, problem-based, experiential, and inquiry-based teaching. Educational psychologist 41, no. 2, pp 75-862006]]+[15] [[https://www.theregister.com/2007/09/25/microsoft_malicious_software_removal_tool/|Sunnet-BeskermingThe RegisterGuessing at compromised host numbers2007 ]]
  
 +[14] [[http://www.bothunter.net/|Bothunter, 2007 ]]
  
racfor_wiki/analiza_storm_worm_napada.1610820078.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0