[ì¤íì¸í°ë·°]'ê°ìí ì¤í 리ì§'(IP SAN)ì ê´í 5ê°ì§ ê¶ê¸ì¦
대학에서는 악성 활동을 추적하기 위해 약 6 년 전에 설립 된 소위 darknet 센서를 사용합니다. 미국 국토 안보부 (Department of Homeland Security)의 자금 지원을 받아 컴퓨터 과학자들은 전세계 센서에서 수집 한 데이터를 공유하기 위해 함께 결속을 맺었습니다. "
"목표는 실제로 충분히 가까워 져서 실제로 어떻게 확산을 시작했습니다 "라고 Jon Oberheide는 프로젝트에 참여한 University of Michigan 대학원생입니다.
쉬운 일이 아닙니다. 희생자를 식별 할 수있는 단서를 찾으려면 연구원은 Conficker 스캔의 표지를 찾기 위해 50 테라 바이트 이상의 데이터를 조사해야합니다.
Conficker가 이동하는 방법 중 하나는 Oberheide는 다른 취약한 컴퓨터에도 불구하고 특정 컴퓨터를 발견하는 것은 정말 어려울 수 있다고 말했다. "어려운 일은 Conficker 스캔 작업을 정확히 찾아내는 것입니다. 다른 스캔 작업이 많이 있기 때문에"라고 그는 말합니다. <0 그러나 환자 0 추적은 완료되었습니다. 2005 년에 연구원은 2004 년 Witty 웜의 첫 피해자 (pdf)를 추적하여 공격을 시작하는 데 사용 된 유럽 IP 주소를 확인했습니다.
Conficker가 널리 퍼진 이후로 수년이 지났습니다. 이 노력을 재현 할 기회가 많이 없었습니다.
Conficker가 10 월에 처음 등장했을 때, 연구원들은 휴식을 취했습니다. 다른 웜은 다크 넷 IP 주소를 차단함으로써 이런 종류의 분석을 피했지만 Conficker의 저자는 그렇게하지 않았습니다. Oberheide는 "우리는 완전히 무작위로 스캔을 수행했으며 특정 센서를 블랙리스트에 올리지는 않았다는 사실에 놀라움을 금치 못했습니다. "그들이 약간의 연구를했다면 우리는 네트워크를 발견 할 수있었습니다."Conficker가 출현 한 직후 미시건 연구자들은 웜에 기인 한 센서에 큰 스파이크를 보았습니다. 네트워크는 11 월에 약 2G의 시간당 데이터를 수집했지만, 요즘은 8G에 가까워졌습니다. "이 Darknet 센서에서 볼 수있는 활동의 증가는 놀라운 것입니다"라고 Oberheide는 말했습니다. "이제이 데이터는 실제로 유용합니다. 우리는 6 개월 전으로 돌아가서이 웜이 실제로 무엇을했는지 볼 수 있습니다."CAIDA (인터넷 데이터 분석 협동 조합)라고하는 다른 그룹이 이번 달 초 Conficker 분석을 발표했습니다.. 미시건 대학의 연구자들은 앞으로 몇 주간에 비슷한 데이터를 분석하기를 희망하지만, 환자들이 제로에 이르기까지 몇 개월이 걸릴 수도 있습니다.
한편, "목표는 Oberheide는 실제로 스프레드가 시작된 방법을 실제로 파악할 수 있다고 말했다.
