启明星辰网络安全预警体系遏制“熊猫烧香”(1)
发布时间:2010-08-09   作者:yiming

被杀毒厂商评为“2007年1季度十大计算机病毒之首”的“熊猫烧香”病毒及其上百个变种,在2007年初掀起了不小的波澜:数百万个人计算机用户、企事业单位和政府机构局域网遭受感染,北京、上海等计算机用户较为集中的城市更是成为了“重灾区”。面对来势汹汹的蠕虫病毒,启明星辰公司支持某政府单位,凭借先期建立起的以网络入侵检测系统(IDS)为核心的预警体系和安全机制,有效防范了此次大规模爆发的蠕虫病毒事件,保障了全网办公系统的平稳运行,取得了良好的效果。

 

一、网络病毒的发展趋势与“熊猫烧香”

 

“网络蠕虫病毒”对于大多数计算机用户来说,并不是一个陌生的字眼。它是将黑客技术与病毒技术相融合,形成的“恶意代码”。

 

令网络管理人员头疼不已的是:一旦感染了蠕虫病毒,在短时间内,几乎网络上所有的计算机都会被依次感染,同时网络还将出现各种异常状况甚至阻塞,严重影响正常使用。而且蠕虫病毒很难根除,好不容易清除了本地的,一旦远程计算机联入,病毒又死灰复燃。

 

“熊猫烧香”病毒的产生与爆发,就是一个网络蠕虫的典型例子。

 

“熊猫烧香”病毒是一个由Delphi工具编写的蠕虫病毒。入侵操作系统后可终止大量反病毒软件和防火墙软件进程,删除扩展名为gho(系统备份软件ghost的备份文件扩展名)的文件。可感染系统的“.exe”、“.com”、“.pif”、“.src”、“.html”、“.asp”文件,用户一打开网页文件,IE就自动连接到指定的病毒网址。同时在硬盘各分区下生成autorun.inf和setup.exe文件,可通过U盘和移动硬盘等方式进行传播,同时利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe文件进行感染。该蠕虫感染计算机系统后,将系统中所有.exe文件都变成了一种“熊猫烧香”的奇怪图案。同时受感染的计算机系统会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

 

2007年1月7日,国家计算机病毒应急处理中心紧急预警:“通过对互联网络的监测发现,一个伪装成‘熊猫烧香’图案的蠕虫病毒正在传播,并已有很多企业局域网遭受了该蠕虫的感染。”1月9日,感染的电脑用户约达数十万;2007年1月29日,“熊猫烧香”病毒变种达416个,数百万个人计算机用户和企业局域网遭受感染。

 

此次“熊猫烧香”病毒的传播途径有以下五种:

 

1) 通过已经染毒的移动存储设备(如U盘等)传播;

 

2) 通过局域网中的共享文件传播;

 

3) 蠕虫病毒通过猜解administrator组成员口令,获得该设备的控制权限自动传播;

 

4) 蠕虫病毒自动扫描并利用WINDOWS的系统漏洞传播;

 

5) 通过被感染的网站(通常是非法的网站)传播。

 

对于第1、2种传播方式,防范起来相对比较简单,但是第3、4、5种传播方式危害更大,也更难以防范。
大型机构中的计算机用户普遍缺乏网络安全防范意识和良好的安全习惯,这给病毒传播带来可乘之机。虽然一些组织和机构在全网部署了杀毒软件,但是由于此次“熊猫烧香”病毒具有攻击防病毒软件的能力,如果没有全局预警和检测设备,从根源上消除蠕虫病毒的来源,网管人员这个时候就只能四处“救火”了。

 

二、某国家单位对“熊猫烧香”的发现与预警

 

信息时代风险损失的大小是高度时间敏感的,并且其损失是全局性的。第一时间掌握信息网络系统的状态,是建立性价比最优的动态应急防御体系的必要条件。面对风险如果不及时处理,随着时间的延长,风险所带来的损失会呈指数级的增长、放大。以“熊猫烧香”网络蠕虫病毒爆发为例,在很多企事业单位、政府机构中,一天之内它就扩展到全网的范围。 

 

预警与响应是网络安全成败的关键,检测与预警是安全的核心。某国家单位正是因为提前部署了入侵检测系统,所以在此次“熊猫烧香”肆虐的病毒风波中并未受到波及。

 

该国家单位拥有一个全国范围内的广域网,上万台计算机终端和用户。前期已在网络中部署了启明星辰的天阗入侵检测与管理系统,在此基础上结合现有的其它安全防护措施,建立大规模安全监测与响应基础设施,形成信息安全保障体系。

 

2007年2月初,在北京和天津等地部署的天阗网络入侵检测系统,报出“UDP_熊猫烧香_蠕虫_解析恶意网站域名”、“MSPROXY_135端口连接”和“MSPROXY_445端口连接”等一些特殊安全事件。该国家单位的技术人员对此高度重视,马上会同安全厂商进行了安全事件分析。

 

其中,根据入侵检测系统报出的“UDP_熊猫烧香_蠕虫_解析恶意网站域名”事件,可以准确地表明:源IP地址感染了“熊猫烧香”蠕虫病毒,并且该蠕虫正在向DNS服务器提交恶意网站的域名解析。同时,需要加以区别的是,如果源IP地址为DNS服务器,可能是由于源IP向上层DNS服务器转发了提交给自己的恶意网站域名解析请求,并不表明该源DNS服务器感染了“熊猫烧香”蠕虫病毒。

 

对于入侵检测系统报出的“MSPROXY_135端口连接”和“MSPROXY_445端口连接”事件,说明目的IP在对源IP的TCP135或TCP445端口发起连接,虽然很多正常业务会触发该事件,事件本身并无危害(事件本身属于低级事件),但一方面目的IP忽然发生大量此类事件,非常类似感染蠕虫病毒的伴生现象;另一方面通过检查目的IP设备,发现其并没有提供TCP135或TCP445端口的业务应用,则可以肯定判断它感染了蠕虫病毒。

检查了IDS报警信息中显示的几台设备后,对于源IP不是DNS服务器的计算机设备,可以确定其已经感染了“熊猫烧香”蠕虫病毒,技术人员迅速将其从网络上隔离开,同时使用专杀工具对其进行杀毒,并且对这几台设备进行安全加固以避免再次感染。对于源IP是DNS服务器的设备,虽然发现其并没有感染“熊猫烧香”病毒,但考虑到“熊猫烧香”巨大的传染性,只要其运行的是WINDOWS操作系统,都尽快升级防病毒软件,并马上进行了系统加固。

 

与此同时,该国家单位的技术人员还立即发布了预警通知,告知各下级单位的网管人员,密切关注入侵检测系统的报警提示信息,并且将防病毒软件升级至最新,以提前防范“熊猫烧香”病毒的大规模爆发。该国家单位中已经部署了天阗入侵检测系统的各级机构,几乎没有受到此次“熊猫烧香”病毒的影响。

 

以上可见,尽早地发现蠕虫病毒并对感染蠕虫的主机进行隔离和抑制,是防止蠕虫泛滥、造成重大损失的关键。在此次“熊猫烧香”蠕虫病毒事件中,由于发现及时、响应迅速、定位准确、举措得当,使得只有零星几台设备受到病毒影响(最后确认是U盘使用不当,通过拷贝文件带入的病毒)。从07年1月份到3月份,“熊猫烧香”病毒爆发的高峰期,该国家单位整体网络运行平稳,最大程度降低了此次病毒事件的影响。

文章来源:51CTO
  • 联系我们 | 网站地图 | 法律声明 | 投资者关系 | 产品体验
  • © 启明星辰1996-2012 版权所有 京ICP备05032414号 京公网安备110108003435号