響應Nimda病毒蠕蟲病毒

1、響應Nimda病毒蠕蟲病毒：應對混合威脅的幾點建議內附l 混合威脅案例研究l 對策實施踐及解決方案 索引執(zhí)行概要3Nimda混合威脅的案例研究4交替的繁殖方式4需要綜合互補的對策5最佳做法5綜合互補的解決方案5Symantec Norton Antivirus發(fā)現(xiàn)并去除威脅6Symantec Enterprise Firewall/VelociRaptorFirewall抵御Nimda掃描6Symantec Enterprise Security Manager（ESM）確定修復級別6SymantecNetRecon掃描網絡上的不當操作7SymantecNetProwler提供實時報警并識別受

2、感染的系統(tǒng)7SymantecIntruder Alert監(jiān)測未授權的操作及訪問7賽門鐵克安全響應中心8結束語8 執(zhí)行概要簡單的生活一去不返。在互聯(lián)網時代，來自于工作和應變的壓力與日俱增。互聯(lián)網的完善與進步的一個反面結果便是我們的對手可同樣享受到最新的技術和成果。Nimda蠕蟲的出現(xiàn)是 “一物降一物”說法過時的最新例證。本文的目的就是要以Nimda和紅色代碼蠕蟲作為這些新威脅的范例來研探究那些混合威脅的本質。這兩種蠕蟲都顯示了我們現(xiàn)在的對手正在運用新型的組合進攻手段威脅著IT基礎設施安全。這些混合威脅的出現(xiàn)也表明單純的單點解決方案已不足以讓他們屈服。當前，對網絡所有部分進行保護并在網關、服務器和

3、客戶端級別進行及時的響應十分必要。在繼對威脅進行分析后，我們將闡明全面響應這些威脅的必備的條件，并展示在面對當今和未來的威脅時，賽門鐵克是如何通過為客戶提供的一系列產品和附加的服務以保持獲得全球領先的互聯(lián)網安全廠商這一地位的。Nimda是一種蠕蟲。它與其他互聯(lián)網蠕蟲的不同之處在于它無需人工的操作來進行傳播，而是使用已知的軟件漏洞和多樣的感染體進行傳播。蠕蟲繁殖的本質和感染受害者的速度是其流行的一大特點。Nimda，也叫、W32/Nimdamm、PE_NIMDA.A、I-Worm.Nimda、W32/Nimda-A、和，發(fā)現(xiàn)于2001年9月18日。Computer Economics (Carl

4、sbad, CA)估計Nimda在美國東部時間9月20日下午2：30至9月21日下午2：30之間的24小時內感染超過了二2百千二2十百萬臺服務器和個人電腦。該公司指出Nimda蠕蟲首次攻擊目標的65%（143萬）是服務器，剩下的35（77萬）是個人電腦。Computer Economics估計由于停宕機及清除Nimda病毒所花的費用有5310萬美元（依據2001年9月19日數(shù)據）。截止到2001年8月31日，Computer Economics計劃用于病毒和蠕蟲攻擊的費用為107億美元。據統(tǒng)計，每年全球僅用于紅色代碼蠕蟲的費用就有26億美元。這筆費用包括清除受感染的超過1百萬臺服務器所需的11

5、億美元，同時還要檢測超過8百萬臺其他的服務器，檢測包括對這些適合服務的系統(tǒng)進行必要的安裝、測試和認證。其余的15億美元分別用于系統(tǒng)用戶的消極影響、員工支持、幫助桌面、以及其他的負責協(xié)助全球互聯(lián)網終端用戶、IT人員和客戶的員工費用。這些重要的數(shù)據表明對于互聯(lián)網和互聯(lián)網技術的依賴性正在不斷增長。它們說明了混合型威脅不斷增長以及消除這些威脅所需費用正逐步升高。Nimda和紅色代碼的威脅表現(xiàn)為混和威脅，他們在操作方法和效果上是多變的。抵御混和威脅需要可提供多層防御和響回應的全面安全解決方案，以便在遭到威脅時提前做出響回應。這種全面的解決方案包括確保在IT架構內所有級別網關、服務器、和客戶端的安全能力，

6、以及協(xié)助synergistically申請補充啟動安全功能的能力。賽門鐵克提供處理這些威脅最全套的解決方案。用于病毒防護、風險評估、防火墻和入侵檢測系統(tǒng)的賽門鐵克安全產品或是管理安全服務地結合可對現(xiàn)今和將來的威脅提供最出色的進行防護。 Nimda混合威脅的案例研究Nimda的制造者似乎借鑒了以前蠕蟲和病毒的特性，以下便是例證：交替的繁殖方式Nimda有4種可交替的繁殖方式。1. 受Nimda感染的系統(tǒng)將對網絡進行掃描以查找未修復的微軟互聯(lián)網信息服務器（IIS）。然后試圖使用特殊的被稱為Unicode Web Traversal exploit的探測器 來實現(xiàn)對目標服務器的控制。2. Nimda

7、同時還可以通過郵件繁殖。它可通過從所有MAPI附屬電子郵件程序的郵件箱內截獲電子郵件地址進行繁殖。它還可以從.html and .htm文件中搜索出郵件地址。這樣地址的來源將不是來自于受感染的用戶。這種蠕蟲使用自身的SMTP服務器發(fā)送郵件。當蠕蟲通過郵件到達時，蠕蟲便使用一種MIME探測器，可以僅通過讀取或預覽文件執(zhí)行病毒。3. 用戶在訪問不安全的網絡服務器時將有可能下載一種.eml (Outlook Express)郵件文件，而蠕蟲便以附件形式存在于文件中。4. Nimda攻擊可允許文件通過網絡共享的系統(tǒng)硬盤。它還將在被感染的電腦上創(chuàng)建開放的網絡共享，允許對系統(tǒng)進行訪問。在此期間蠕蟲可使用管

8、理員特權創(chuàng)建訪客帳戶。繁殖方式的不同之處主要在于威脅的復雜性，并與其感染速度有關Nimda的另一個主要負面影響則是它還可在網絡上通過被感染機器限制帶寬DoS環(huán)境。這是因為被感染系統(tǒng)網絡掃描和蠕蟲產生的附加郵件堵塞共同作用的結果。從覆蓋圖標上可看出，Nimda表現(xiàn)為一種follow-the-sun模式，在美國出現(xiàn)并蔓延至亞洲和歐洲。紅色代碼是混合威脅的另一例證，因為它能對特定的IP地址發(fā)起DoS攻擊，破壞網絡服務器，然后通過紅色為代碼II，為以后感染留下特洛伊依病毒。紅色代碼的本質特性（更多在內存中運行而不是在硬盤中）允許它可以逃脫通過檢測某些防病毒產品的檢測后逃脫。由于它在IIS服務器上運行時

9、沒有任何外在的表現(xiàn)，所以很難被發(fā)覺。需要綜合互補的對策最佳做法安全專家一致認為，持續(xù)連貫地實施最佳做法是對病毒感染的最佳抵御，也是使損失最小化的最好方式。除了最佳做法之外，還需要通過不同的信息安全產品或及服務來抵御混合威脅、及早監(jiān)測、抑制并加以修復。去除不需要的服務企業(yè)必須決定他們真正需要哪種服務并去除所有不必要的服務。對于所需服務，應該在發(fā)現(xiàn)漏洞后盡早安裝軟件補丁。因為TCP端口有人竊聽，所以服務極易暴露，認識到這一點非常重要；去除不必要的服務可以極大地減少系統(tǒng)漏洞。例如：運行Windows NT服務器時不必將IIS Web服務器放在公司桌面上；從這些桌面上去除IIS會首先防止針對特定這一目

10、標的攻擊。使用可靠的密碼另一個在安全上值得注意的重要方面是密碼的使用和規(guī)范化。連續(xù)頻繁的漏洞評估中一直要求我們使用可靠的密碼，這樣可減輕某些威脅。保持補丁的升級大多數(shù)混合威脅是基于已知的安全漏洞。用最新的安全補丁升級你的操作系統(tǒng)和應用程序，保護你的系統(tǒng)不受眾多攻擊，并可幫助阻止某些特定蠕蟲的傳播。數(shù)據一致性檢查最佳做法應包括諸如記錄注冊、報告及審核的策略、程序和標準，而且工具應準備就緒以通過事后數(shù)據一致性檢查幫助提高事件分析的有效性。綜合互補的解決方案針對這種新一代混合威脅的成功防護需要結合眾多步驟和安全功能。必須通過有效的防病毒產品如利用諾頓防病毒及早識別并去除威脅。應當使用基于高級安全程序

11、的檢測技術及的性能出眾的混合防火墻如Symantec Enterprise Firewall賽門鐵克企業(yè)防火墻或VelociRaptorFirewall防火墻工具來阻止?jié)撛诘腘imda入侵。必須通過互補的主機和網絡入侵檢測和風險評估產品如Symantec賽門鐵克NetRecon、Symantec賽門鐵克NetProwler 以及賽門鐵克Symantec Intruder Alert 對網絡和主機上的不當操作、未授權行為和訪問加以監(jiān)控。同時還要確保所有的補丁均被正確地執(zhí)行。這便需要大量的風險評估工具，如Symantec Enterprise Security Manager賽門鐵克企業(yè)安全管理。

12、賽門鐵克在每一領域均提供領先的產品。這些產品在混合威脅情形下的使用將在以下部分論述。Symantec Norton AntiVirusTM賽門鐵克諾頓防毒發(fā)現(xiàn)并去除威脅Symantec Norton AntiVirus賽門鐵克諾頓防毒是全球最值得信賴的防病毒解決方案。它可以修復常見的病毒感染而無需用戶操作。它可以使用賽門鐵克出色的LiveUpdate支持系統(tǒng)，根據互聯(lián)網上最新的病毒定義自動進行更新。賽門鐵克提供針對所有級別網絡的防病毒解決方案，包括網關、電子郵件服務器和客戶級。在面臨諸如Nimda等具有多種傳播方式的蠕蟲時，這種按級排列的病毒防護方式尤其重要。賽門鐵克還提供專門的在線清除工具以

13、幫助清除殘余威脅并凈化客戶系統(tǒng)。這些獨特的工具可以自動執(zhí)行許多在修復受感染網絡時所必需的手工操作，大大降低了恢復受混合威脅破壞的網絡的時間，減少了投入精力。Symantec Enterprise Firewall賽門鐵克企業(yè)防火墻/VelociRaptor防火墻Firewall工具抵御Nimda掃描Symantec Enterprise Firewall賽門鐵克企業(yè)防火墻（原前身為Raptor®Firewall）和VelociRaptorFirewall防火墻工具均可以有效地應用于抵制近期的混合威脅如紅色代碼、紅色代碼II和Nimda。這些混合防火墻獨特的功能組合可提供針對已知和未知

14、攻擊的最佳保護。全套應用程序檢測技術可確保使用Symantec Enterprise Firewall賽門鐵克企業(yè)防火墻和VelociRaptor防火墻Firewall產品的用戶受到攻擊時得到最大限度全面的保護。賽門鐵克的防火墻產品是第7級別的全面檢測防火墻，可阻止Web服務器上的Nimda和紅色代碼掃描，而第4級別的區(qū)域檢測防火墻則無法實現(xiàn)。除此之外，這些防火墻的保護是直接默認的，減少了因配置錯誤而造成的漏洞的可能，確保了更佳的保護效果。，這些產品在默認情況下對HTTP以及其他協(xié)議的請求和響應進行分析以確保其與定義這些協(xié)議的行為的RFC標準保持一致。Symantec Enterprise F

15、irewall賽門鐵克企業(yè)防火墻6.5版本 和VelociRaptor 1.1的另一個特點是能夠利用與規(guī)則相符的URL模式來阻止在特定Web服務器平臺上已識別的威脅。有了這項功能，管理員在新的攻擊出現(xiàn)時即可實施新的、有目標的安全控制。Symantec Enterprise Security Manager賽門鐵克企業(yè)安全管理（ESM）TM確定修復級別Symantec Enterprise Security Manager賽門鐵克企業(yè)安全管理是一種可升級的安全策略和基于主機的風險評估工具。使用該軟件，企業(yè)可以檢測運行IIS服務器的系統(tǒng)，檢測那些存在可被Nimda利用的Web Directory

16、Traversal漏洞的系統(tǒng)，并通過快照技術檢測被修改的文件、新文件及被刪除的文件。它還可以檢測在注冊表上所作的修改，這對進行數(shù)據一致性檢查分析很有幫助。如果您還沒有在企業(yè)內部配置ESM，那么在廣泛攻擊（如Nimda）之下便會無能為力；一旦安裝了ESM，其強大的能力可減輕下一種混和威脅型蠕蟲所帶來的危險，這是因為它執(zhí)行了最佳做法，如：識別不足的補丁級別、查找不必要的服務、發(fā)現(xiàn)不安全密碼。通常，操作系統(tǒng)和其他廠商與安全補丁同時或是緊接在與安全有關的Bug發(fā)布后推出。賽門鐵克快速更新安全模板，反映最新的補丁級別，用戶可以在黑客使用這些Bug發(fā)動攻擊前預先察覺并更新系統(tǒng)。Symantec賽門鐵克Ne

17、tRecon掃描網絡上的不當操作Symantec賽門鐵克NetRecon是一種具有根源分析功能的網絡風險評估掃描器。它對運行Web服務特別是微軟IIS的系統(tǒng)進行檢測，同時還可以檢測存在Web Directory Traversal漏洞的系統(tǒng)。Symantec賽門鐵克NetProwler提供實時報警并識別受感染的系統(tǒng)NetProwler是賽門鐵克的基于網絡的入侵檢測工具，可持續(xù)透明地監(jiān)測企業(yè)的網絡，以發(fā)現(xiàn)誤用或濫用的模式。通過安裝“安全升級8”，NetProwler可以對網絡上的紅色代碼蠕蟲及其變體操作進行檢測，而NetProwler日志將會鑒別每一個受Nimda蠕蟲威脅的系統(tǒng)。NetProwl

18、er還可以通過回顧日志條目協(xié)助進行一致性檢查分析，以提供首先受到蠕蟲威脅的網絡主機的線索。Symantec賽門鐵克Intruder Alert監(jiān)測未授權的操作及訪問Symantec賽門鐵克Intruder Alert是一種基于主機的入侵檢測工具，可發(fā)現(xiàn)未授權或惡意的操作，保證系統(tǒng)、應用程序和數(shù)據的安全，防止誤用和濫用。Symantec賽門鐵克Intruder Alert的FileWatch功能可監(jiān)視、檢測重要文件以防在受到Nimda威脅后因未授權的訪問而造成文件更改、刪除或移動。Symantec賽門鐵克Intruder Alert提供的功能可定制規(guī)則，將受威脅或被更改的文件恢復到原始狀態(tài)。Intruder Alert還可監(jiān)視系統(tǒng)上的可疑行為，如rootkit或DdoS代理安裝、賬號創(chuàng)建或修改。Symantec賽門鐵克Intruder Alert可跨網絡集中管理注冊文件事件，幫助對受威脅系統(tǒng)進行一致性檢查分析。賽門鐵克安全響應中心通過全球技術支持和國際研究中心，賽門鐵克安全響應中心在迅速及時為客戶提供關于安全威脅信息和建議的同時，確保客戶的安全系