启明星辰网络安全预警体系遏制“熊猫烧香”
发布时间:2008-01-09   作者:VENUS

被杀毒厂商评为“2007年1季度十大计算机病毒之首”的“熊猫烧香”病毒及其上百个变种,在2007年初掀起了不小的波澜:数百万个人计算机用户、企事业单位和政府机构局域网遭受感染,北京、上海等计算机用户较为集中的城市更是成为了“重灾区”。面对来势汹汹的蠕虫病毒,启明星辰公司支持某政府单位,凭借先期建立起的以网络入侵检测系统(IDS)为核心的预警体系和安全机制,有效防范了此次大规模爆发的蠕虫病毒事件,保障了全网办公系统的平稳运行,取得了良好的效果。

 

一、网络病毒的发展趋势与“熊猫烧香”


“网络蠕虫病毒”对于大多数计算机用户来说,并不是一个陌生的字眼。它是将黑客技术与病毒技术相融合,形成的“恶意代码”,其形成过程详见图表1。

 

图表 1:恶意代码的诞生示意图

 

令网络管理人员头疼不已的是:一旦感染了蠕虫病毒,在短时间内,几乎网络上所有的计算机都会被依次感染,同时网络还将出现各种异常状况甚至阻塞,严重影响正常使用。而且蠕虫病毒很难根除,好不容易清除了本地的,一旦远程计算机联入,病毒又死灰复燃。


“熊猫烧香”病毒的产生与爆发,就是一个网络蠕虫的典型例子。


“熊猫烧香”病毒是一个由Delphi工具编写的蠕虫病毒。入侵操作系统后可终止大量反病毒软件和防火墙软件进程,删除扩展名为gho(系统备份软件ghost的备份文件扩展名)的文件。可感染系统的“.exe”、“.com”、“.pif”、“.src”、“.html”、“.asp”文件,用户一打开网页文件,IE就自动连接到指定的病毒网址。同时在硬盘各分区下生成autorun.inf和setup.exe文件,可通过U盘和移动硬盘等方式进行传播,同时利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe文件进行感染。该蠕虫感染计算机系统后,将系统中所有.exe文件都变成了一种“熊猫烧香”的奇怪图案。同时受感染的计算机系统会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。


2007年1月7日,国家计算机病毒应急处理中心紧急预警:“通过对互联网络的监测发现,一个伪装成‘熊猫烧香’图案的蠕虫病毒正在传播,并已有很多企业局域网遭受了该蠕虫的感染。”1月9日,感染的电脑用户约达数十万;2007年1月29日,“熊猫烧香”病毒变种达416个,数百万个人计算机用户和企业局域网遭受感染。“熊猫烧香”发作时的表现见图表2。

 

图表 2:“熊猫烧香”病毒发作时的表现示例 

 

 

此次“熊猫烧香”病毒的传播途径有以下五种:


1) 通过已经染毒的移动存储设备(如U盘等)传播;


2) 通过局域网中的共享文件传播;


3) 蠕虫病毒通过猜解administrator组成员口令,获得该设备的控制权限自动传播;


4) 蠕虫病毒自动扫描并利用WINDOWS的系统漏洞传播;


5) 通过被感染的网站(通常是非法的网站)传播。


对于第1、2种传播方式,防范起来相对比较简单,但是第3、4、5种传播方式危害更大,也更难以防范。
大型机构中的计算机用户普遍缺乏网络安全防范意识和良好的安全习惯,这给病毒传播带来可乘之机。虽然一些组织和机构在全网部署了杀毒软件,但是由于此次“熊猫烧香”病毒具有攻击防病毒软件的能力,如果没有全局预警和检测设备,从根源上消除蠕虫病毒的来源,网管人员这个时候就只能四处“救火”了。

 

二、某国家单位对“熊猫烧香”的发现与预警


信息时代风险损失的大小是高度时间敏感的,并且其损失是全局性的。第一时间掌握信息网络系统的状态,是建立性价比最优的动态应急防御体系的必要条件。面对风险如果不及时处理,随着时间的延长,风险所带来的损失会呈指数级的增长、放大。以“熊猫烧香”网络蠕虫病毒爆发为例,在很多企事业单位、政府机构中,一天之内它就扩展到全网的范围。

  
预警与响应是网络安全成败的关键,检测与预警是安全的核心。某国家单位正是因为提前部署了入侵检测系统,所以在此次“熊猫烧香”肆虐的病毒风波中并未受到波及。


该国家单位拥有一个全国范围内的广域网,上万台计算机终端和用户。前期已在网络中部署了启明星辰的天阗入侵检测与管理系统,在此基础上结合现有的其它安全防护措施,建立大规模安全监测与响应基础设施,形成信息安全保障体系。


2007年2月初,在北京和天津等地部署的天阗网络入侵检测系统,报出“UDP_熊猫烧香_蠕虫_解析恶意网站域名”、“MSPROXY_135端口连接”和“MSPROXY_445端口连接”等一些特殊安全事件。该国家单位的技术人员对此高度重视,马上会同安全厂商进行了安全事件分析。


其中,根据入侵检测系统报出的“UDP_熊猫烧香_蠕虫_解析恶意网站域名”事件,可以准确地表明:源IP地址感染了“熊猫烧香”蠕虫病毒,并且该蠕虫正在向DNS服务器提交恶意网站的域名解析。同时,需要加以区别的是,如果源IP地址为DNS服务器,可能是由于源IP向上层DNS服务器转发了提交给自己的恶意网站域名解析请求,并不表明该源DNS服务器感染了“熊猫烧香”蠕虫病毒。


对于入侵检测系统报出的“MSPROXY_135端口连接”和“MSPROXY_445端口连接”事件,说明目的IP在对源IP的TCP135或TCP445端口发起连接,虽然很多正常业务会触发该事件,事件本身并无危害(事件本身属于低级事件),但一方面目的IP忽然发生大量此类事件,非常类似感染蠕虫病毒的伴生现象;另一方面通过检查目的IP设备,发现其并没有提供TCP135或TCP445端口的业务应用,则可以肯定判断它感染了蠕虫病毒。
检查了IDS报警信息中显示的几台设备后,对于源IP不是DNS服务器的计算机设备,可以确定其已经感染了“熊猫烧香”蠕虫病毒,技术人员迅速将其从网络上隔离开,同时使用专杀工具对其进行杀毒,并且对这几台设备进行安全加固以避免再次感染。对于源IP是DNS服务器的设备,虽然发现其并没有感染“熊猫烧香”病毒,但考虑到“熊猫烧香”巨大的传染性,只要其运行的是WINDOWS操作系统,都尽快升级防病毒软件,并马上进行了系统加固。


与此同时,该国家单位的技术人员还立即发布了预警通知,告知各下级单位的网管人员,密切关注入侵检测系统的报警提示信息,并且将防病毒软件升级至最新,以提前防范“熊猫烧香”病毒的大规模爆发。该国家单位中已经部署了天阗入侵检测系统的各级机构,几乎没有受到此次“熊猫烧香”病毒的影响。


以上可见,尽早地发现蠕虫病毒并对感染蠕虫的主机进行隔离和抑制,是防止蠕虫泛滥、造成重大损失的关键。在此次“熊猫烧香”蠕虫病毒事件中,由于发现及时、响应迅速、定位准确、举措得当,使得只有零星几台设备受到病毒影响(最后确认是U盘使用不当,通过拷贝文件带入的病毒)。从07年1月份到3月份,“熊猫烧香”病毒爆发的高峰期,该国家单位整体网络运行平稳,最大程度降低了此次病毒事件的影响。

 

三、IDS规模部署是实现预警的基础


在上述蠕虫病毒应急事件中,先期部署的预警体系发挥了极大作用,通过一个快速反应、运行良好的预警机制,可以在危机前兆阶段就将其消灭在萌芽状态,在事前->事中->事后3个阶段全面抑制蠕虫病毒的传播。而IDS的规模部署是实现预警的基础。


入侵检测系统(IDS)通常架设在网络重要节点与主机系统之上,可监测网络流量与内容、分析网络内的信息流动。


一谈到入侵检测系统,都会自然而然地想到防黑客入侵,但是防黑客只是IDS的功能之一,入侵检测系统是用来全面、实时了解网络动态的设备。通过对网络上数据的形态、内容、行为(包括合法的、不合法的)的全面监控,可以全面实时了解网络动态现状,对网络行为进行综合分析和预测,在第一时间对网络中的危害做出反应。

 

1. 加强IDS的管理功能


为了提高IDS的可用性,提高对应急响应体系的支持力度,一些主流的安全厂商着力加强了IDS的安全管理功能,提高对全局安全事件的管理能力。主要包括如下几个方面:


1) 分布式部署。分布式部署是入侵检测系统能够支持应急响应体系建设的基本要素,只有进行全网范围内的部署,才能发现整个网络中的安全问题,也才能够进行全网的应急响应。


2) 分级控制。对于大型网络来说,分布式部署的IDS对管理提出了更高的要求。为了有效管理众多的分布式探测引擎,主流IDS已经具备了三级以上的分级控制功能,各级控制中心一方面管理本地的探测引擎,另一方面作为上级IDS的子控,起到“上传下达”的作用。


3) 集中管理。以启明星辰公司天阗IDS为核心部署的入侵管理系统,有一个总控制中心,它连接分控制中心、网络探测引擎和主机探测引擎。通过策略下发机制,可使上级部门能够统一全网的安全防护策略;通过信息上传机制,可使上级部门能够及时了解和监控全网的安全状态。同时可以制定并下发全局安全事件管理策略,接收并显示全局网络安全态势。

 

2. 入侵检测系统对应急响应的支撑


入侵检测系统,可以在以下几个方面支撑应急响应体系的建设:


1) 建立全局预警体系,做到一点发现,全网皆知并及时响应。对于较大规模的网络系统,由于一种攻击从一个区域向其它区域渗透会有一定的延时,在这段延时期间内,入侵检测系统有能力将这种警报发布到尚未受攻击的区域中,以起到及时防范的作用。入侵检测系统不仅能发现局域网上发生的入侵事件,而且可以据此对整个网络做出有针对性的全局预警。


2) 联合多种安全设备,组成立体防御体系。利用入侵验证系统确认攻击结果,利用IP定位系统补充地址信息,与防火墙联动实时阻断非法连接,与漏洞扫描系统联动确认漏洞、降低误报率,以形成各个安全子系统协同工作的联合防御体系,是对应急响应的支持。


3) 全局网络安全态势的地图化显示。入侵检测系统采用拓扑发现和地址定位技术,与GIS显示系统相结合,以地图显示的方式实现安全事件的可视化,能够直观显示全局和各个结点的安全态势,并可及时定位攻击源。用户可以清晰地看到网络安全事件的源头或目标对象,不同地域的网络安全事件发生比例以及事件级别比例。天阗入侵检测系统的定位显示功能如图表3所示。

 

图表 3:天阗入侵检测系统安全事件定位显示

四、小结


《关于加强信息安全保障工作的意见》(中办、国办发2003年27号文)中明确指出:“信息安全监控是及时发现和处置网络攻击、病毒传播,对网络和系统实施保护的重要手段,要建设和完善信息安全监控体系。”纵观目前国内网络安全现状,特别是面对大规模蠕虫病毒爆发时,大多数企事业单位、政府机构都处在事后处理、“亡羊补牢”的阶段,距离“积极预防、及时发现”这个八字方针还非常远。


计算机安全专家与黑客和病毒之间的斗争一直在持续,斗争的方式也在不断地变化。这次“熊猫烧香”病毒确实又给中国的广大网络用户们“上了一课”,虽然很多企事业单位、政府机关的网络安全意识、网络安全保障能力在不断加强,但要实现真正的网络安全,还有很长的路要走。

文章来源:www.venustech.com.cn
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号