被殺毒廠商評為“2007年1季度十大計算機病毒之首”的“熊貓燒香”病毒及其上百個變種,在2007年初掀起了不小的波瀾:數百萬個人計算機用戶、企事業單位和政府機構局域網遭受感染,北京、上海等計算機用戶較為集中的城市更是成為了“重災區”。面對來勢洶洶的蠕蟲病毒,啟明星辰公司支持某政府單位,憑借先期建立起的以網絡入侵檢測系統(IDS)為核心的預警體系和安全機制,有效防范了此次大規模爆發的蠕蟲病毒事件,保障了全網辦公系統的平穩運行,取得了良好的效果。
一、網絡病毒的發展趨勢與“熊貓燒香”
“網絡蠕蟲病毒”對于大多數計算機用戶來說,并不是一個陌生的字眼。它是將黑客技術與病毒技術相融合,形成的“惡意代碼”,其形成過程詳見圖表1。
 |
| 圖表 1:惡意代碼的誕生示意圖 |
“熊貓燒香”病毒的產生與爆發,就是一個網絡蠕蟲的典型例子。
“熊貓燒香”病毒是一個由Delphi工具編寫的蠕蟲病毒。入侵操作系統后可終止大量反病毒軟件和防火墻軟件進程,刪除擴展名為gho(系統備份軟件ghost的備份文件擴展名)的文件。可感染系統的“.exe”、“.com”、“.pif”、“.src”、“.html”、“.asp”文件,用戶一打開網頁文件,IE就自動連接到指定的病毒網址。同時在硬盤各分區下生成autorun.inf和setup.exe文件,可通過U盤和移動硬盤等方式進行傳播,同時利用Windows系統的自動播放功能來運行,搜索硬盤中的.exe文件進行感染。該蠕蟲感染計算機系統后,將系統中所有.exe文件都變成了一種“熊貓燒香”的奇怪圖案。同時受感染的計算機系統會出現藍屏、頻繁重啟以及系統硬盤中數據文件被破壞等現象。
2007年1月7日,國家計算機病毒應急處理中心緊急預警:“通過對互聯網絡的監測發現,一個偽裝成‘熊貓燒香’圖案的蠕蟲病毒正在傳播,并已有很多企業局域網遭受了該蠕蟲的感染。”1月9日,感染的電腦用戶約達數十萬;2007年1月29日,“熊貓燒香”病毒變種達416個,數百萬個人計算機用戶和企業局域網遭受感染。“熊貓燒香”發作時的表現見圖表2。
 |
| 圖表 2:“熊貓燒香”病毒發作時的表現示例 |
此次“熊貓燒香”病毒的傳播途徑有以下五種:
1) 通過已經染毒的移動存儲設備(如U盤等)傳播;
2) 通過局域網中的共享文件傳播;
3) 蠕蟲病毒通過猜解administrator組成員口令,獲得該設備的控制權限自動傳播;
4) 蠕蟲病毒自動掃描并利用WINDOWS的系統漏洞傳播;
5) 通過被感染的網站(通常是非法的網站)傳播。
對于第1、2種傳播方式,防范起來相對比較簡單,但是第3、4、5種傳播方式危害更大,也更難以防范。
大型機構中的計算機用戶普遍缺乏網絡安全防范意識和良好的安全習慣,這給病毒傳播帶來可乘之機。雖然一些組織和機構在全網部署了殺毒軟件,但是由于此次“熊貓燒香”病毒具有攻擊防病毒軟件的能力,如果沒有全局預警和檢測設備,從根源上消除蠕蟲病毒的來源,網管人員這個時候就只能四處“救火”了。
二、某國家單位對“熊貓燒香”的發現與預警
信息時代風險損失的大小是高度時間敏感的,并且其損失是全局性的。第一時間掌握信息網絡系統的狀態,是建立性價比最優的動態應急防御體系的必要條件。面對風險如果不及時處理,隨著時間的延長,風險所帶來的損失會呈指數級的增長、放大。以“熊貓燒香”網絡蠕蟲病毒爆發為例,在很多企事業單位、政府機構中,一天之內它就擴展到全網的范圍。
預警與響應是網絡安全成敗的關鍵,檢測與預警是安全的核心。某國家單位正是因為提前部署了入侵檢測系統,所以在此次“熊貓燒香”肆虐的病毒風波中并未受到波及。
該國家單位擁有一個全國范圍內的廣域網,上萬臺計算機終端和用戶。前期已在網絡中部署了啟明星辰的天闐入侵檢測與管理系統,在此基礎上結合現有的其它安全防護措施,建立大規模安全監測與響應基礎設施,形成信息安全保障體系。
2007年2月初,在北京和天津等地部署的天闐網絡入侵檢測系統,報出“UDP_熊貓燒香_蠕蟲_解析惡意網站域名”、“MSPROXY_135端口連接”和“MSPROXY_445端口連接”等一些特殊安全事件。該國家單位的技術人員對此高度重視,馬上會同安全廠商進行了安全事件分析。
其中,根據入侵檢測系統報出的“UDP_熊貓燒香_蠕蟲_解析惡意網站域名”事件,可以準確地表明:源IP地址感染了“熊貓燒香”蠕蟲病毒,并且該蠕蟲正在向DNS服務器提交惡意網站的域名解析。同時,需要加以區別的是,如果源IP地址為DNS服務器,可能是由于源IP向上層DNS服務器轉發了提交給自己的惡意網站域名解析請求,并不表明該源DNS服務器感染了“熊貓燒香”蠕蟲病毒。
對于入侵檢測系統報出的“MSPROXY_135端口連接”和“MSPROXY_445端口連接”事件,說明目的IP在對源IP的TCP135或TCP445端口發起連接,雖然很多正常業務會觸發該事件,事件本身并無危害(事件本身屬于低級事件),但一方面目的IP忽然發生大量此類事件,非常類似感染蠕蟲病毒的伴生現象;另一方面通過檢查目的IP設備,發現其并沒有提供TCP135或TCP445端口的業務應用,則可以肯定判斷它感染了蠕蟲病毒。
檢查了IDS報警信息中顯示的幾臺設備后,對于源IP不是DNS服務器的計算機設備,可以確定其已經感染了“熊貓燒香”蠕蟲病毒,技術人員迅速將其從網絡上隔離開,同時使用專殺工具對其進行殺毒,并且對這幾臺設備進行安全加固以避免再次感染。對于源IP是DNS服務器的設備,雖然發現其并沒有感染“熊貓燒香”病毒,但考慮到“熊貓燒香”巨大的傳染性,只要其運行的是WINDOWS操作系統,都盡快升級防病毒軟件,并馬上進行了系統加固。
與此同時,該國家單位的技術人員還立即發布了預警通知,告知各下級單位的網管人員,密切關注入侵檢測系統的報警提示信息,并且將防病毒軟件升級至最新,以提前防范“熊貓燒香”病毒的大規模爆發。該國家單位中已經部署了天闐入侵檢測系統的各級機構,幾乎沒有受到此次“熊貓燒香”病毒的影響。
以上可見,盡早地發現蠕蟲病毒并對感染蠕蟲的主機進行隔離和抑制,是防止蠕蟲泛濫、造成重大損失的關鍵。在此次“熊貓燒香”蠕蟲病毒事件中,由于發現及時、響應迅速、定位準確、舉措得當,使得只有零星幾臺設備受到病毒影響(最后確認是U盤使用不當,通過拷貝文件帶入的病毒)。從07年1月份到3月份,“熊貓燒香”病毒爆發的高峰期,該國家單位整體網絡運行平穩,最大程度降低了此次病毒事件的影響。
| 共2頁: 1 [2] 下一頁 | ||
|
