Megállíthatatlan féreg fogja elárasztani az Internetet?

Jó ideje már, hogy átvették a phishing, rootkit, botnet technológiák a digitális férgektől a legveszélyesebb online fenyegetettség stafétabotját – a Slammerhez, Sasserhez hasonló támadásokra az elmúlt években már nem volt példa. Több, IT-biztonsággal foglalkozó cég is azt jósolta, hogy ennek a támadási formának leáldozott az ideje, a helyüket szofisztikáltabb módszerek veszik át. Nemsokára azonban megdőlhet ez a megállapítás, legalábbis ha kiderül, hogy valóban komoly veszélyt jelenthet a hibrid féreg.

Erről Billy Hoggman, az SPI Dynamics vezető biztonsági kutatója, és John Terrill, az Enterprise Management Technology alelnöke és társalapítója számolt be nemrég. A két kutató bejelentette, hogy a nemsokára megtartandó BlackHat hackerkonferencián be kívánják mutatni a hibrid férgek következő generációját, melyek Internet Explorert, Firefoxot és Safarit egyaránt képesek felhasználni céljaikra – vagyis Windows-os, linuxos és Mac OS X-es környezetben is tudnak terjedni. Az úgynevezett elképzelést bizonyító (proof-of-concept) demonstráció, mely a „The Little Hybrid Web Worm that Could” nevet kapta, prezentálhatja, hogy a jelenlegi, szignatúra alapú védelmet megkerülő férgek életképesek a mai, digitálisan védettebb világban is.

Jelenleg ugyanis ennek a fajta fenyegetésnek (és általában, minden ilyen jellegű malware-nek) egy komoly hátránya van: amint az antivírus cégek elkészítik és kiadják az őt pusztán kódja alapján felismerni képes mintát (szignatúra), azonnal terjedésképtelenné válik azokban a környezetekben, ahol futtatnak antivírus szoftvert. A világon pedig már többségben vannak azok a PC-k, ahol legalább egy alapszintű víruskereső alkalmazás figyeli az adatforgalmat.

Ezen a védelmen lép át a féreg – ezért is kapta a hibrid elnevezést. A digitális kártevő ugyanis mind a kliens, mind a szerver oldalon képes működni; vagyis nem csak a webböngészőket, hanem a webszervereket is felhasználja önmaga terjesztésére. Az egyelőre nem tiszta, hogy a féreg miként tud új, sebezhető rendszereket felfedezni, de erre fény fog derülni a hackerkonferencián, állítja a két kutató. Sőt, azt is demonstrálni tervezik, hogy a kártevő hogyan tudja felhasználni a nyilvánosság számára elérhető információkat egy-egy új sérülékenységről, annak érdekében, hogy önmagát frissítse – a javascriptes Jikto sebezhetőség-szkennerre alapuló módszerrel. Az ilyen, nagymértékben öntanuló féreg kvázi megállíthatatlan lehet, hiszen ha mindig alkalmazkodni tud a vadonatúj sérülékenységekhez, akkor nem lehet ellene egyetlen „ezüstgolyót” létrehozni.

A nagy titkolózás közepette annyit azért elárultak a kutatók, hogy a polimorf viselkedést két programozási nyelv használatával hozták létre: a Perl és a Javascript alkalmazásával fejlesztették ki az új, hibrid férget. További részletek néhány hét múlva, a BlackHat konferencián.