红码蠕虫病毒危害的深层透视 |
|---|
|
| www.iselong.com 作者: |
|
面对“美丽莎”、“爱虫”等蠕虫病毒、媒体曾经大喊“狼来了”,然而人们感觉好象什么也没有发生——但是这次确实是真实的。红色代码 II是大规模破坏和信息丢失的一个开始,而这种程度是我们前所未见的。对于我们所依赖的互联网结构而言,这是第一次重大的威胁——
红码蠕虫病毒危害的深层透视
红色代码及其变异的危害
7月16日,首例红色代码病毒被发现,8月4日红色代码v3, 也称为红色代码II又被发现,它是原始红色代码蠕虫的变异,这些蠕虫病毒都是利用“缓存溢出”对其他网络服务器进行传播。
红色代码及其变异红色代码I和红色代码II均是恶意程序,它们均可通过公用索引服务漏洞感染Microsoft IIS Web服务器,并试图随机繁殖到其他Microsoft IIS服务器上。最初原始的红色代码带有一个有效负载曾致使美国白宫网站服务器服务中断。
红色代码II 比原来的红色代码I危险得多,因为它安装了通路可使任何人远程接入服务器并使用管理员权限执行命令,且行踪无法确定。红色代码II带有不同的有效负载,它允许黑客远程监控网站服务器。来自主要网络安全厂商——赛门铁克公司的安全响应中心的全球请求救援信号表明,大量的网站服务器(IIS)受到了感染。这正进一步说明,红色代码II被评估认为具有很高的危害性。红色代码II通过使用Microsoft IIS索引服务,使用与原始红色代码蠕虫相似的渗透和繁殖技术。而且,红色代码II还能够为远程系统对准接入打开方便之门。之所以能够危及主机系统安全,是因为红色代码II在网站服务器上创建了一个秘密通道,可允许某个人通过网络控制你的系统。令人恐怖的是,人们还发现这种蠕虫代码程序如此成功:一旦受到感染,人们只需扫描计算机的80端口就能发现大量危及安全的文件包,而无需已公布的病毒列表。
尽管红色代码的危害性令人恐惧,但仍未引起舆论的深层重视。值得注意的是,由前一段时间媒体的报道并没有深层剖析原始红色代码蠕虫及其变异间的区别,媒体对报道这类病毒的深度也不够,这可能会使用户有一种已经安全的错觉,使得他们集中精力对付红色代码变种的劲头减弱,但是这种变异的危险性远远大于原始蠕虫。如果用户没有对其Window NT或Window 2000服务器进行完全评估,它们可能更容易被入侵,从而导致瘫痪。这些Web服务器有良好的带宽,我们可以想象分布的服务机构中断会对带宽造成多么恶劣的影响。而而且这些Web服务器与其他重要的系统如信用卡交易服务器和秘密文件等也有潜在的依赖关系,这将危及其他机器的安全。
还要明确的是,一个易被红色代码攻击的系统不一定是IIS。客户必须了解,当一个标准操作环境安装网站服务器时,微软操作环境默认安装,这一系统也因此容易受蠕虫攻击。除非用户明确设定关掉此类服务,或命令不初始安装IIS。测定一台服务器是否容易被攻击的唯一办法是评估其是否安装了IIS,假如是的话,最好采用修补方法或移开IIS予以补救。
红色代码可怕的原因揭秘
受红色代码II感染的成百上千台机器都在互联网上做过广告,这使得黑客很容易就能得到大批受感染的机器名单,然后远程登陆到这些机器上,得到一个命令提示符,随后黑客便可在这些机器上执行任意的命令了。此时,黑客极有可能利用这次机会来全面替代这些文件包。他们可能会使用自动录入工具退出并安装根源工具包(root包),发布拒绝服务代理到易感染红色代码的文件包,并对它们进行修改,如此一来其他人也无法得到它。实现这些非常简单,红色代码II文件包宣布它们是易于攻入的,黑客不需要非法进入,他只需远程登录该进程并获得一个命令提示符,那么他便可为所欲为。所有这些黑客都可以用自己的电脑就能帮他完成——不断连接到存在安全隐患的文件包,安装根源工具包,进行修改,然后转向另一台机器。黑客可以堆积上千个根源文件包,每一个进程都是一个分布式的“拒绝服务”代理。一组300至500个分布式“拒绝服务”代理足以使一个大型互联网站点瘫痪。通常情况会看到黑客每次可以攻击10,000或更多的服务代理,这就意味着黑客可以使互联网的主要部分如ISP、主要供应商和多重互联网电子商务站点同时瘫痪。
由此可见,红色代码的真正危害在于单个流窜的黑客。拿暴动作为比喻,暴动中群众的心理是,一旦暴动展开,都想参与进去,因为人们可以用他自己以往不能独立采取的方式做想做的事情。有了红色代码II蠕虫病毒,黑客会更加厚颜无耻,他们可以对更多的机器直接取得控制,因为文件包已经是易于攻入的了,并且被红色代码 II蠕虫病毒暴露在那里,安装根源工具包和拥有这些文件包也不再感觉是违背伦理的。总而言之,他们不用“破门而入”,只是“进入”而已。因为最艰苦的部分已经由蠕虫病毒完成了。而对防范者而言,一般用户都感觉旁若无人,因为我们所有的注意力都放在蠕虫病毒上,而没有放在到处流窜安装root包的单个黑客上。
可以说,面对“美丽莎”、“爱虫”等蠕虫病毒、媒体曾经大喊“狼来了”,然而什么也没有发生——但是这次确实是真实的。红色代码 II是大规模破坏和信息丢失的一个开始,而这种程度是我们前所未见的。这对于我们所依赖的互联网结构而言,堪称是第一次重大的打击。
如何解除红色代码的武装
现在,广大的受害者都陷于未能对这些成百上千台机器进行修补而是进行操作系统重新安装的尴尬境地。此时受害者还不知道自己的机器上运行着什么。他们面临的选择只有两种:要么重新安装操作系统并进行修补;要么进行非常详尽的分析并安装补丁。但是是否我们肯定必须要这么做吗?修补这些文件包需要花费多长的时间?这样做的意义何在……这些问题烦之又烦。
任何处身在互联网环境中并享受服务的人都有责任采取合理的步骤来保护他们的系统,确保各种基础设施的完好以及开销的合理。网络安全专家赛门铁克主张使用最佳实施方案作为控制风险的最有效途径。这意味着您的系统要与一整套基于80-20规则被验证后的系统设置保持统一。
无论其是否通过最佳标准的审核,或是在实际设置过程中参照其它标准,每一个构造项目都会有一个业务成本。这也是80-20规则为何显得格外重要的原因,因为它能够识别一个系统所需的最重要转变是什么,比如说赛门铁克的ESM最佳实施策略。它将着重审核最关键的能够为您的安全投入带来收益的系统设置。80-20规则对于信息安全十分适用,它强调了您系统中80%危及安全的问题有20%来自于您系统的不合理构造。用学术的语言来说,这意味着保证补丁的及时更新、消除不必要的服务,以及使用强大的密码。
对于消除红色代码病毒的举措方面,安全厂商大都是在病毒发作后,才开始对其围追堵截。与之相对反的是只有赛门铁克一家在2001年6月20日发布了Enterprise Security Manager (ESM)可对IIS弱点做风险管理,利用它可阻止红色代码蠕虫。由于ESM的发布几乎正是在红色病毒被发现前一个月(在7/16/01),这使得ESM的用户能够在6月——红色蠕虫通过网络传播之前就可以评估和修补他们的系统而最终逃过了一劫。
红色代码只是互联网威胁的一个开始,但是否每一次都能有厂商未雨绸缪推出最新产品,是否用户都能对即将到来的重大威胁保持高度警惕而提前防范,这就需要用户与厂商共同努力。
附:蠕虫病毒小常识
蠕虫是一种潜在威胁的病毒程序,它通过创建任意的IP地址序列自行传播。然而其随机选择攻击的IP地址并不全是随机的。每一台被这种蠕虫感染的电脑也会通过同样的随机IP地址来进行感染,并且每一台被这种蠕虫感染的电脑会搜索相同的IP地址并造成感染。事实上,似乎在产生新的要攻击的IP地址时,蠕虫通常处于一种静态子体,这种状况直到下一个受攻击的目标IP地址产生为止。蠕虫可能会感染任意IP地址的一代,这将会使蠕虫以更快的速度感染更多的系统。这正是蠕虫危害的关键所在。
一般人都不明白为什么发生这种状况,而且对于蠕虫程序只需扫描80端口就能让黑客发现大量危及安全的文件包、而无需已公布的病毒列表的特点无能为力,但调查发现,如果编写蠕虫黑客的IP地址在第一批被扫描的地址中,那么他就可以建立病毒探测器,IP地址会试图连接至80端口,他就会察觉连接到自己的IP地址受到了蠕虫的感染,因此黑客便可以创建一个受到蠕虫感染的主要系统列表。
|
