响应Nimda病毒: 应对混合威胁的几点建议
内附
混合威胁案例研究 对策实施及解决方案
索引
执行概要........................................................................................................................................... 3 Nimda混合威胁的案例研究 ........................................................................................................... 4
交替的繁殖方式 ....................................................................................................................... 4 需要综合互补的对策 ....................................................................................................................... 5
最佳做法 ................................................................................................................................... 5 综合互补的解决方案 ............................................................................................................... 5 Symantec Norton Antivirus——发现并去除威胁 ........................................................................... 6 Symantec Enterprise Firewall/VelociRaptorFirewall——抵御Nimda扫描 ................................... 6 Symantec Enterprise Security Manager(ESM)——确定修复级别 ............................................ 6 SymantecNetRecon——扫描网络上的不当操作 ........................................................................... 7 SymantecNetProwler——提供实时报警并识别受感染的系统 ..................................................... 7 SymantecIntruder Alert——监测未授权的操作及访问 ................................................................. 7 赛门铁克安全响应中心 ................................................................................................................... 8 结束语 .............................................................................................................................................. 8
执行概要
简单的生活一去不返。在互联网时代,来自于工作和应变的压力与日俱增。互联网的完善与进步的一个反面结果便是我们的对手可同样享受到最新的技术和成果。Nimda蠕虫的出现是 “一物降一物”说法过时的最新例证。本文的目的就是要以Nimda和红色代码蠕虫作为这些新威胁的范例来研究那些混合威胁的本质。这两种蠕虫都显示了我们现在的对手正在运用新型的组合进攻手段威胁着IT基础设施安全。
这些混合威胁的出现也表明单纯的单点解决方案已不足以让他们屈服。当前,对网络所有部分进行保护并在网关、服务器和客户端级别进行及时的响应十分必要。在对威胁进行分析后,我们将阐明全面响应这些威胁的必备的条件,并展示在面对当今和未来的威胁时,赛门铁克是如何通过为客户提供的一系列产品和附加的服务以保持全球领先的互联网安全厂商这一地位的。
Nimda是一种蠕虫。它与其他互联网蠕虫的不同之处在于它无需人工的操作来进行传播,而是使用已知的软件漏洞和多样的感染体进行传播。蠕虫繁殖的本质和感染受害者的速度是其流行的一大特点。Nimda,也叫W32.Nimda.A@mm、W32/Nimda@mm、PE_NIMDA.A、I-Worm.Nimda、W32/Nimda-A、和W32.Nimda.A,发现于2001年9月18日。Computer Economics (Carlsbad, CA)估计Nimda在美国东部时间9月20日下午2:30至9月21日下午2:30之间的24小时内感染超过了二百二十万台服务器和个人电脑。该公司指出Nimda蠕虫首次攻击目标的65%(143万)是服务器,剩下的35%(77万)是个人电脑。Computer Economics估计由于停机及清除Nimda病毒所花的费用有531万美元(依据2001年9月19日数据)。
截止到2001年8月31日,Computer Economics计划用于病毒和蠕虫攻击的费用为107亿美元。
据统计,每年全球仅用于红色代码蠕虫的费用就有26亿美元。这笔费用包括清除受感染的超过1百万台服务器所需的11亿美元,同时还要检测超过8百万台其他的服务器,检测包括对这些适合服务的系统进行必要的安装、测试和认证。其余的15亿美元分别用于系统用户的消极影响、员工支持、帮助桌面、以及其他的负责协助全球互联网终端用户、IT人员和客户的员工费用。
这些重要的数据表明对于互联网和互联网技术的依赖性正在不断增长。它们说明了混合型威胁不断增长以及消除这些威胁所需费用正逐步升高。Nimda和红色代码的威胁表现为混和威胁,他们在操作方法和效果上是多变的。抵御混和威胁需要提供多层防御和响应的全面安全解决方案,以便在遭到威胁时提前做出响应。这种全面的解决方案包括确保在IT架构内所有级别——网关、服务器、和客户端的安全能力,以及协助申请补充安全功能的能力。赛门铁克提供处理这些威胁最全套的解决方案。用于病毒防护、风险评估、防火墙和入侵检测系统的赛门铁克安全产品或是管理安全服务地结合可对现今和将来的威胁提供最出色的防护。
Nimda混合威胁的案例研究
Nimda的制造者似乎借鉴了以前蠕虫和病毒的特性,以下便是例证:
交替的繁殖方式
Nimda有4种可交替的繁殖方式。
1. 受Nimda感染的系统将对网络进行扫描以查找未修复的微软互联息服务器(IIS)。
然后试图使用特殊的被称为Unicode Web Traversal exploit的探测器 来实现对目标服务器的控制。
2. Nimda同时还可以通过邮件繁殖。它可通过从所有MAPI附属电子邮件程序的邮件箱内截
获电子邮件地址进行繁殖。它还可以从.html and .htm文件中搜索出邮件地址。这样地址的来源将不是来自于受感染的用户。这种蠕虫使用自身的SMTP服务器发送邮件。当蠕虫通过邮件到达时,蠕虫便使用一种MIME探测器,可以仅通过读取或预览文件执行病毒。
3. 用户在访问不安全的网络服务器时将有可能下载一种.eml (Outlook Express)邮件文件,
而蠕虫便以附件形式存在于文件中。
4. Nimda攻击可允许文件通过网络共享的系统硬盘。它还将在被感染的电脑上创建开放的
网络共享,允许对系统进行访问。在此期间蠕虫可使用管理员创建访客帐户。
繁殖方式的不同之处主要在于威胁的复杂性,并与其感染速度有关
Nimda的一个主要负面影响是它还可在网络上通过被感染机器带宽DoS环境。这是因为被感染系统网络扫描和蠕虫产生的附加邮件堵塞共同作用的结果。
从覆盖图标上可看出,Nimda表现为一种follow-the-sun模式,在美国出现并蔓延至亚洲和欧洲。
红色代码是混合威胁的另一例证,因为它能对特定的IP地址发起DoS攻击,破坏网络服务器,然后通过红色代码II,为以后感染留下特洛伊病毒。红色代码的本质(更多在内存中运行而不是在硬盘中)允许它可以逃脱某些防病毒产品的检测。由于它在IIS服务器上运行时没有任何外在的表现,所以很难被发觉。
需要综合互补的对策
最佳做法
安全专家一致认为,持续连贯地实施最佳做法是对病毒感染的最佳抵御,也是使损失最小化的最好方式。除了最佳做法之外,还需要通过不同的信息安全产品或服务来抵御混合威胁、及早监测、抑制并加以修复。
去除不需要的服务
企业必须决定他们真正需要哪种服务并去除所有不必要的服务。对于所需服务,应该在发现漏洞后尽早安装软件补丁。因为TCP端口有人窃听,所以服务极易暴露,认识到这一点非常重要;去除不必要的服务可以极大地减少系统漏洞。例如:运行Windows NT服务器时不必将IIS Web服务器放在公司桌面上;从这些桌面上去除IIS会首先防止针对特定目标的攻击。
使用可靠的密码
另一个在安全上值得注意的重要方面是密码的使用和规范化。连续频繁的漏洞评估中一直要求我们使用可靠的密码,这样可减轻某些威胁。
保持补丁的升级
大多数混合威胁是基于已知的安全漏洞。用最新的安全补丁升级你的操作系统和应用程序,保护你的系统不受众多攻击,并可帮助阻止某些特定蠕虫的传播。
数据一致性检查
最佳做法应包括诸如记录、报告及审核的策略、程序和标准,而且工具应准备就绪以通过事后数据一致性检查帮助提高事件分析的有效性。
综合互补的解决方案
针对这种新一代混合威胁的成功防护需要结合众多步骤和安全功能。必须通过有效的防病毒产品如利用诺顿防病毒及早识别并去除威胁。应当使用基于高级安全程序的检测技术及性能出众的混合防火墙如Symantec Enterprise Firewall™或VelociRaptor™Firewall来阻止潜在的Nimda入侵。必须通过互补的主机和网络入侵检测和风险评估产品如SymantecNetRecon™、SymantecNetProwler™ 以及Symantec Intruder Alert™ 对网络和主机上的不当操作、未授权行为和访问加以监控。同时还要确保所有的补丁均被正确地执行。这便需要大量的风险评估工具,如Symantec Enterprise Security Manager™。赛门铁克在每一领域均提供领先的产品。这些产品在混合威胁情形下的使用将在以下部分论述。
Symantec Norton AntiVirusTM——发现并去除威胁
Symantec Norton AntiVirus是全球最值得信赖的防病毒解决方案。它可以修复常见的病毒感染而无需用户操作。它可以使用赛门铁克出色的LiveUpdate™支持系统,根据互联网上最新的病毒定义自动进行更新。
赛门铁克提供针对所有级别网络的防病毒解决方案,包括网关、电子邮件服务器和客户级。在面临诸如Nimda等具有多种传播方式的蠕虫时,这种按级排列的病毒防护方式尤其重要。
赛门铁克还提供专门的在线清除工具以帮助清除残余威胁并净化客户系统。这些独特的工具可以自动执行许多在修复受感染网络时所必需的手工操作,大大降低了恢复受混合威胁破坏的网络的时间,减少了投入精力。
Symantec Enterprise Firewall™/VelociRaptor™Firewall——抵御Nimda扫描
Symantec Enterprise Firewall(原为Raptor®Firewall)和VelociRaptorFirewall均可以有效地应用于抵制近期的混合威胁如红色代码、红色代码II和Nimda。这些混合防火墙独特的功能组合可提供针对已知和未知攻击的最佳保护。全套应用程序检测技术可确保使用Symantec Enterprise Firewall和VelociRaptorFirewall的用户受到攻击时得到最大限度的保护。赛门铁克的防火墙产品是第7级别的全面检测防火墙,可阻止Web服务器上的Nimda和红色代码扫描,而第4级别的区域检测防火墙则无法实现。除此之外,这些防火墙的保护是直接默认的,减少了因配置错误而造成的漏洞的可能,确保了更佳的保护效果。这些产品在默认情况下对HTTP以及其他协议的请求和响应进行分析以确保其与定义这些协议的行为的RFC标准保持一致。Symantec Enterprise Firewall6.5 和VelociRaptor 1.1的另一个特点是能够利用与规则相符的URL模式来阻止在特定Web服务器平台上已识别的威胁。有了这项功能,管理员在新的攻击出现时即可实施新的、有目标的安全控制。
TM
Symantec Enterprise Security Manager(ESM)——确定修复级别
Symantec Enterprise Security Manager是一种可升级的安全策略和基于主机的风险评估工具。使用该软件,企业可以检测运行IIS服务器的系统,检测那些存在可被Nimda利用的Web Directory Traversal漏洞的系统,并通过快照技术检测被修改的文件、新文件及被删除的文件。它还可以检测在注册表上所作的修改,这对进行数据一致性检查分析很有帮助。
如果您还没有在企业内部配置ESM,那么在广泛攻击(如Nimda)之下便会为力;一旦安装了ESM,其强大的能力可减轻下一种混和威胁型蠕虫所带来的危险,这是因为它执行了最佳做法,如:识别不足的补丁级别、查找不必要的服务、发现不安全密码。
通常,操作系统和其他厂商与安全补丁同时或是紧接在与安全有关的Bug发布后推出。赛门铁克快速更新安全模板,反映最新的补丁级别,用户可以在黑客使用这些Bug发动攻击前预先察觉并更新系统。
SymantecNetRecon™——扫描网络上的不当操作
SymantecNetRecon是一种具有根源分析功能的网络风险评估扫描器。它对运行Web服务——特别是微软IIS的系统进行检测,同时还可以检测存在Web Directory Traversal漏洞的系统。
SymantecNetProwler™——提供实时报警并识别受感染的系统
NetProwler是赛门铁克的基于网络的入侵检测工具,可持续透明地监测企业的网络,以发现误用或滥用的模式。通过安装“安全升级8”,NetProwler可以对网络上的红色代码蠕虫及其变体操作进行检测,而NetProwler日志将会鉴别每一个受Nimda蠕虫威胁的系统。NetProwler还可以通过回顾日志条目协助进行一致性检查分析,以提供首先受到蠕虫威胁的网络主机的线索。
SymantecIntruder Alert™——监测未授权的操作及访问
SymantecIntruder Alert是一种基于主机的入侵检测工具,可发现未授权或恶意的操作,保证系统、应用程序和数据的安全,防止误用和滥用。SymantecIntruder Alert的FileWatch功能可监视、检测重要文件以防在受到Nimda威胁后因未授权的访问而造成文件更改、删除或移动。SymantecIntruder Alert提供的功能可定制规则,将受威胁或被更改的文件恢复到原始状态。Intruder Alert还可监视系统上的可疑行为,如rootkit或DdoS代理安装、账号创建或修改。SymantecIntruder Alert可跨网络集中管理注册文件事件,帮助对受威胁系统进行一致性检查分析。
赛门铁克安全响应中心
通过全球技术支持和国际研究中心,赛门铁克安全响应中心在迅速及时为客户提供关于安全威胁信息和建议的同时,确保客户的安全系统最优化。赛门铁克安全响应中心通过独特的解决方案、服务和响应功能组合抗击混合互联网安全威胁,为客户提供全面的、全球范围的、全天候互联网安全专业技术。
发现一种新的威胁或隐患时,赛门铁克安全响应中心专家为客户提供迅速的紧急响应,注重与客户的联络和提供赛门铁克安全产品的安全升级。赛门铁克安全响应中心利用Web更新服务、报警服务、技术支持和媒体警报来提供及时的安全建议。
结束语
混合威胁的出现预计会更加有规律性、更加复杂。抵御现今的威胁的最佳途径包括采用最佳做法,并将其根据全面的安全解决方案进行实施。赛门铁克是唯一一家能够提供可信赖的工具及维护这些工具所需的有力支持、从容应对未来挑战的公司。