响应Nimda病毒:应对混合威胁的几点建议 |
|---|
|
| www.iselong.com 作者: |
|
简单的生活一去不返。在互联网时代,来自于工作和应变的压力与日俱增。互联网的完善与进步的一个反面结果便是我们的对手可同样享受到最新的技术和成果。Nimda蠕虫的出现是 “一物降一物”说法过时的最新例证。本文的目的就是要以Nimda和红色代码蠕虫作为这些新威胁的范例来研究那些混合威胁的本质。这两种蠕虫都显示了我们现在的对手正在运用新型的组合进攻手段威胁着IT基础设施安全。
这些混合威胁的出现也表明单纯的单点解决方案已不足以让他们屈服。当前,对网络所有部分进行保护并在网关、服务器和客户端级别进行及时的响应十分必要。在对威胁进行分析后,我们将阐明全面响应这些威胁的必备的条件,并展示在面对当今和未来的威胁时,赛门铁克是如何通过为客户提供的一系列产品和附加的服务以保持全球领先的互联网安全厂商这一地位的。
Nimda是一种蠕虫。它与其他互联网蠕虫的不同之处在于它无需人工的操作来进行传播,而是使用已知的软件漏洞和多样的感染体进行传播。蠕虫繁殖的本质和感染受害者的速度是其流行的一大特点。Nimda,也叫W32.Nimda.A@mm、W32/Nimda@mm、PE_NIMDA.A、I-Worm.Nimda、W32/Nimda-A、和W32.Nimda.A,发现于2001年9月18日。Computer Economics (Carlsbad, CA)估计Nimda在美国东部时间9月20日下午2:30至9月21日下午2:30之间的24小时内感染超过了二百二十万台服务器和个人电脑。该公司指出Nimda蠕虫首次攻击目标的65%(143万)是服务器,剩下的35%(77万)是个人电脑。Computer Economics估计由于停机及清除Nimda病毒所花的费用有531万美元(依据2001年9月19日数据)。
截止到2001年8月31日,Computer Economics计划用于病毒和蠕虫攻击的费用为107亿美元。
据统计,每年全球仅用于红色代码蠕虫的费用就有26亿美元。这笔费用包括清除受感染的超过1百万台服务器所需的11亿美元,同时还要检测超过8百万台其他的服务器,检测包括对这些适合服务的系统进行必要的安装、测试和认证。其余的15亿美元分别用于系统用户的消极影响、员工支持、帮助桌面、以及其他的负责协助全球互联网终端用户、IT人员和客户的员工费用。
这些重要的数据表明对于互联网和互联网技术的依赖性正在不断增长。它们说明了混合型威胁不断增长以及消除这些威胁所需费用正逐步升高。Nimda和红色代码的威胁表现为混和威胁,他们在操作方法和效果上是多变的。抵御混和威胁需要提供多层防御和响应的全面安全解决方案,以便在遭到威胁时提前做出响应。这种全面的解决方案包括确保在IT架构内所有级别——网关、服务器、和客户端的安全能力,以及协助申请补充安全功能的能力。赛门铁克提供处理这些威胁最全套的解决方案。用于病毒防护、风险评估、防火墙和入侵检测系统的赛门铁克安全产品或是管理安全服务地结合可对现今和将来的威胁提供最出色的防护。
Nimda混合威胁的案例研究
Nimda的制造者似乎借鉴了以前蠕虫和病毒的特性,以下便是例证:
交替的繁殖方式
Nimda有4种可交替的繁殖方式。
1. 受Nimda感染的系统将对网络进行扫描以查找未修复的微软互联网信息服务器(IIS)。然后试图使用特殊的被称为Unicode Web Traversal exploit的探测器 来实现对目标服务器的控制。
2. Nimda同时还可以通过邮件繁殖。它可通过从所有MAPI附属电子邮件程序的邮件箱内截获电子邮件地址进行繁殖。它还可以从.html and .htm文件中搜索出邮件地址。这样地址的来源将不是来自于受感染的用户。这种蠕虫使用自身的SMTP服务器发送邮件。当蠕虫通过邮件到达时,蠕虫便使用一种MIME探测器,可以仅通过读取或预览文件执行病毒。
3. 用户在访问不安全的网络服务器时将有可能下载一种.eml (Outlook Express)邮件文件,而蠕虫便以附件形式存在于文件中。
4. Nimda攻击可允许文件通过网络共享的系统硬盘。它还将在被感染的电脑上创建开放的网络共享,允许对系统进行访问。在此期间蠕虫可使用管理员特权创建访客帐户。
繁殖方式的不同之处主要在于威胁的复杂性,并与其感染速度有关
Nimda的一个主要负面影响是它还可在网络上通过被感染机器限制带宽DoS环境。这是因为被感染系统网络扫描和蠕虫产生的附加邮件堵塞共同作用的结果。
从覆盖图标上可看出,Nimda表现为一种follow-the-sun模式,在美国出现并蔓延至亚洲和欧洲。
红色代码是混合威胁的另一例证,因为它能对特定的IP地址发起DoS攻击,破坏网络服务器,然后通过红色代码II,为以后感染留下特洛伊病毒。红色代码的本质(更多在内存中运行而不是在硬盘中)允许它可以逃脱某些防病毒产品的检测。由于它在IIS服务器上运行时没有任何外在的表现,所以很难被发觉。
需要综合互补的对策
最佳做法
安全专家一致认为,持续连贯地实施最佳做法是对病毒感染的最佳抵御,也是使损失最小化的最好方式。除了最佳做法之外,还需要通过不同的信息安全产品或服务来抵御混合威胁、及早监测、抑制并加以修复。
去除不需要的服务
企业必须决定他们真正需要哪种服务并去除所有不必要的服务。对于所需服务,应该在发现漏洞后尽早安装软件补丁。因为TCP端口有人窃听,所以服务极易暴露,认识到这一点非常重要;去除不必要的服务可以极大地减少系统漏洞。例如:运行Windows NT服务器时不必将IIS Web服务器放在公司桌面上;从这些桌面上去除IIS会首先防止针对特定目标的攻击。
使用可靠的密码
另一个在安全上值得注意的重要方面是密码的使用和规范化。连续频繁的漏洞评估中一直要求我们使用可靠的密码,这样可减轻某些威胁。
保持补丁的升级
大多数混合威胁是基于已知的安全漏洞。用最新的安全补丁升级你的操作系统和应用程序,保护你的系统不受众多攻击,并可帮助阻止某些特定蠕虫的传播。
数据一致性检查
最佳做法应包括诸如记录、报告及审核的策略、程序和标准,而且工具应准备就绪以通过事后数据一致性检查帮助提高事件分析的有效性。
|
