蠕虫、邮件病毒和普通计算机病毒及其防范措施重点
孙子兵法曰:知己知彼,百战不殆。了解敌手是克敌制胜的重要先决条件。目前公众乃至业界对蠕虫和病毒的理解不统一,一般将两者统称为病毒。随着蠕虫和病毒的危害趋于加剧,我们有必要将二者区分开来,按照各自的特点进行各个击破。
计算机病毒和蠕虫有多种定义。为了更好地区分二者,根据RFC以及Eugene Spafford的定义,蠕虫的特点是:可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。而计算机病毒则是一段代码,能把自身加到其它程序包括操作系统上,不能独立运行,需要由它的宿主程序运行来激活它。目前,随着电子邮件系统的广泛应用,利用电子邮件作为主要传播载体的病毒越来越多,并且造成了极大的危害。所以,我们可以将病毒进一步细分为邮件病毒和普通计算机病毒。示例如下:
蠕虫:Morris, Codered, Nimda, SQL Slammer, MSBlaster
邮件病毒:Mellisa, Loveletter, Sircam, Sobig, Mydoom
普通计算机病毒:CIH
蠕虫和邮件病毒具备的相同之处就是具有极强的传染性。设置后门程序、发动拒绝服务攻击等也往往成为二者的重要行为特征。
由此我们可以看到,控制蠕虫和邮件病毒的有力手段是网络传播途径,包括邮件传播、漏洞入侵传播、共享传播等;而控制普通计算机病毒的重要手段则是分布全网所有计算机终端的集中网络防病毒系统。
全面防范蠕虫和邮件病毒的技术要求
SQL slammer, Sobig, Mydoom等造成了巨大危害,但是不管是传统的防病毒网关还是防火墙/NIDS,或者新出现的NIPS都无法全面防止蠕虫和病毒的危害。全面防止蠕虫和病毒的危害至少需要以下的几种技术:
1)通过电子邮件方式传播的病毒在网关处的识别和阻断,主要是切断邮件病毒的传播途径。在传统的防病毒网关中体现
2)对蠕虫传播时采用的攻击手段进行识别和阻断,切断蠕虫的主要传播途径。在IPS中体现
3) 对蠕虫和病毒留下的后门程序的活动进行识别和阻断,在IPS中体现
4)对蠕虫和病毒造成的DoS/DDoS攻击进行识别和阻断,在IPS/Anti-DDoS/防火墙等产品中体现
5) 对病毒和蠕虫造成的大量垃圾邮件进行识别和过滤,在抗垃圾邮件产品中体现
以上的要素对于抵抗蠕虫和病毒的威胁缺一不可。全球著名的信息安全教育机构SANS Institute在最近一期的Network Security Roadmap中将抗蠕虫(Anti-Worm)解决方案和防火墙、IDS等并列为安全技术中的一大类。但是在国内却尚未出现集上述要素于一身的抗蠕虫产品。
KSG:第一个抗蠕虫和病毒网关
KSG(Kill Shield Gateway)是冠群金辰公司即将发布的一个新型网关防御产品。KSG独有的抗蠕虫攻击技术(Anti-Worm)能够全方位抵御包括Mydoom在内的所有已知蠕虫病毒的攻击和传播行为,填补了信息安全界的空白。下面以Mydoom为例,概揽了KSG专业的蠕虫病毒防御功能。
1.Mydoom: 通过电子邮件传播
通过电子邮件传播。造成邮件使用者感染病毒,在危害本机安全性的同时,又成为Mydoom的传播者。甚至由于邮件的大量增加导致网络瘫痪
KSG的应对:
KSG对所有电子邮件进行病毒检查,一旦发现邮件携带Mydoom病毒即进行病毒清除,避免客户端接收到携带病毒的邮件,避免造成网络瘫痪。事实上,KSG包括了一个完整的蠕虫、病毒库,能够过滤任何已知的恶意代码。
2.Mydoom: 后门程序
Mydoom会在感染机上留下后门程序,监听TCP 3127等端口,造成用户信息泄漏
KSG的应对:
通过启用KSG的入侵防御功能,管理员能够发现利用Mydoom后门进行的攻击行为,并且实时阻断,避免造成用户机密信息的泄漏
3.Mydoom: 拒绝服务攻击行为
Mydoom的当前版本会在近期内对www.sco.com发动DoS攻击行为,但是很容易被修改成为在另一个时间段对其他站点进行DoS攻击。
KSG的应对:
通过启用KSG的抗DoS攻击功能,管理员能够确保阻断可能由于Mydoom或其它方式导致的DoS攻击,避免由此引发的安全事件、网络故障以及法律纠纷。
KSG的特点如下:
1) 独有的Anti-Worm技术能够主动防御蠕虫病毒引发的病毒传播、后门漏洞、入侵行为以及DoS攻击等
2) 具有极高的处理能力,支持百兆和千兆网络环境,确保不成为网络瓶颈
3) 具有优秀的病毒和蠕虫检测和清除引擎,获得ICSA、美国西海岸实验室、病毒公告板等国际权威机构认证
4) 采用专用安全操作系统,杜绝安全隐患
5) 透明桥式接入网络,即插即用,使用和管理方便
蠕虫和邮件病毒的防御策略
电影《黑客帝国》中,特工Smith在进攻中不断将他人复制为自身,借以倍增其攻击力。蠕虫和邮件病毒也利用不断的传播和复制进行进攻能力的积聚。所以,控制蠕虫和邮件病毒的传播是非常关键的。蠕虫通常利用系统存在的安全漏洞进行入侵传播,而邮件病毒则利用电子邮件系统的便捷性以及用户安全意识的薄弱作为突破口进行传播。明确这一点后,我们就可以实施相应的技术控制手段。
分而制之是控制蠕虫和邮件病毒传播的主要方针。
我们建议采用基于单元的防御策略(Cell-Based defense policy)。其基本原理是在整个网络中进行安全单元(Cell)划分,对容易感染的单元、重点防范单元进行蠕虫隔离。比如将远程访问网段、具有Internet访问能力的网段等和业务网段隔离,避免这些网段感染的蠕虫和邮件病毒进一步渗透到业务网段中来。同时,在一些关键网段如核心业务网段前,也有必要进行蠕虫隔离,避免突发事件造成严重破坏。经过周密规划和部署后,即使一些员工的计算机不慎感染了蠕虫或病毒,其影响也会被严格控制在该计算机所在的单元(Cell)之内,而不会通过网络扩散到其它单元,造成事态的恶化。
总体上讲,对于类似于Mydoom这样的邮件病毒或其它具有高传播能力的蠕虫,我们可以采用传染病学原理进行控制。控制传染病有三要素:控制传染源,切断传播途径,保护易感人群。对应于蠕虫和邮件病毒的防范,这三个要素就是:利用网络监控系统(如干将/莫邪IDS)快速发现感染计算机并实施控制措施;利用蠕虫和病毒隔离措施(如赤霄KSG)进行蠕虫和病毒的传播途径阻断;对关键服务器进行安全加固(打补丁、安全配置或利用专用产品如龙渊服务器核心防护),对客户端计算机进行补丁程序的集中升级和管理。
人的因素
Mydoom是邮件病毒的一种。根据我们的分析,Mydoom并没有采用什么新的入侵手段和传播模型,但是为何造成了如此巨大的破坏呢?除了Mydoom的编写者选择了适当的扩散时间之外,Mydoom具有的更加强的欺骗性是导致全球大规模传播的重要因素。
在其传播的过程中,计算机的使用者是传播的触发者,是传播的关键环节,使用者的计算机知识水平的高低、警觉性程度常常决定了病毒所能造成的破坏程度。计算机病毒为了诱使计算机使用者执行病毒程序以进行传播和破坏,手段层出不穷。孙子兵法曰:兵不厌诈。深受其思想影响的著名黑客Kevin Mitnick 在专著《欺骗的艺术》(The Art of Deception)中几乎没有对他入侵的技术手段作任何描述,而是强调了人的因素在整个入侵过程中的关键作用。了解并控制了人的思路就控制了整个入侵的进程。Mydoom的作者将包含病毒体的邮件内容伪造成为邮件系统自动发出的错误信息,具有极大的欺骗性,甚至能够蒙蔽一些计算机专业人员打开附件。
对蠕虫和病毒的抵御是一场“人民的战争”,需要发动所有的计算机使用者投入进来。针对全员的安全知识普及教育能够在其中起到至关重要的作用。