这个是个人心得,安全故事之类的小东西,供拍砖。
上期说到与单机环境完全不同的企业内网,遭受的病毒之害和没有网络的用户有天壤之别,这里是蠕虫的天下。
蠕虫梦魇
先看这条2003年的一则新闻:
据楚天都市报报道,武汉政府网与武汉经济信息网7月23日突然瘫痪,与其链接的市党政机关群82家单位办公受到严重影响。相关技术人员查明,入侵病毒系一种变异的蠕虫病毒,身份无法确定但其性质与美国电影《黑客帝国2》中的“史密斯”病毒极为相似,可大量进行自我复制,以堵塞网络通道。
据悉,病毒入侵现象在22日下午4时许已零星出现,大规模入侵于23日凌晨爆发。记者23日上午8时至9时数次尝试登录两网站,未果。事发后,该中心立即组织技术人员连夜清除病毒,但该病毒也同时在三镇多个地区出现。
武汉市信息中心负责人接受记者采访时表示:种种迹象表明,此次病毒入侵很可能系黑客入侵且人数众多,有关人员正在核实并追查源头。据了解,因武汉经济信息网站主要系提供商业服务信息,所以不排除有商业竞争对手恶意破坏。而该中心一位工作人员透露,此前,曾有人冒充应聘人员混入中心,并对中心人员有过此类威胁。
几天后,中新网7月27日电,武汉市公安局网监处26日证实:武汉政务网此前一度瘫痪系防毒措施不健全,被病毒侵入所致,与传闻的黑客入侵无关。
网警调查后发现,自22日下午4时起,该网站遭到MS-SQL蠕虫病毒入侵,由于防毒措施不健全,与其链接的有关委办局及区级政府安装的MS-SQL2000数据库服务器未安装SP3补丁程序,导致部分网络上的服务器感染病毒,并相互传播,产生大量无用信息包(垃圾访问包)访问政务网防火墙,半小时内就达2亿多个,阻塞了武汉政务网与互联网之间的通道,使用户无法正常访问。
这个MS-SQL蠕虫病毒是什么,怎么就让网管认为被黑客大规模入侵了?蠕虫病毒有如此神力吗?
事实就是如此,这个被命名为SQL 蠕虫王的病毒出现于2003年1月25日,这是一个传播极其迅猛的蠕虫病毒,这个蠕虫病毒没有寄生于文件中,而是只在内存中运行。“只在内存中,没听错吧!”,完全没错,杀毒只需要关机拔电源就做到了。问题是,连网后病毒很快重新再来。
据后来的总结,MS SQL蠕虫王病毒取得以下辉煌战果:
美国花旗银行的13000个自动柜员机(ATM)中的多数不能处理客户的交割业务;
泰国、日本、韩国、马来西亚、菲律宾和印度都发生了网络堵塞,导致网络速度缓慢。
日本广播协会NHK电视报道,严重的网络堵塞使日本部分互联网连接发生瘫痪。
在韩国,几百万互联网用户因大韩电信和南韩电信指挥传输的电脑无法运作而受影响。
在中国,信息产业部新闻处和国家计算机中心有关人士26日证实,北京、上海、四川、广东等大部分省市的网络不同程度地发生故障。
蠕虫病毒发作5天后,英国的市场调查机构估计,全世界范围内因此造成的直接经济损失达到12亿美元。
蠕虫不是毛毛虫
据史料记载,最早的莫里斯蠕虫,是美国某大学的学生制造,不小心这个蠕虫跑出实验室,造成数千台unix主机当机,这名大学生后来被判决有罪。
计算机安全专家将这类恶意程序命名为蠕虫(worm),worm,本意指蛆,线虫,寄生虫等。用这个命名一类计算机病毒,是指此类程序就如那些可恶的寄生虫,自我复制,四处漫延。
一直以来,老板和员工们都是以网络是不是畅通来判断网管是不是给力的。当网络被蠕虫病毒入侵时,不仅畅通化为泡影,要在全网清除蠕虫,网管和下面一帮搞IT服务的小弟们得跑断腿。
蠕虫病毒下面这几个特点,令网管成为最恨蠕虫病毒的人。
1.个头小(蠕虫病毒的执行程序很小,象SQL 蠕虫王甚至连个文件都没有,只在内存中)
2.复制快(网络中一旦发现蠕虫病毒在一台计算机出现,很快会在整个网络中漫延,杀毒要一台台机器断网操作,一不小心,有一台没杀干净,就得重新开始。)
3.大量占用带宽(用Sniffer监听,会发现垃圾流量比正常流量还要多)
4.中毒机器性能变差(蠕虫不断尝试去感染其它计算机,自然占用很多CPU时间)
5.邮件蠕虫会大量发送垃圾邮件。
蠕虫为何是局域网杀手
蠕虫病毒本身是非常好的攻击工具,蠕虫病毒从一台计算机传染到另一台计算机,首先要扫描局域网中哪些计算机存在弱点或漏洞,然后从远程攻击有弱点或漏洞的计算机,再将自身复制过去。而这一系列动作,和一个黑客完成攻击的步骤类似。而整个攻击过程只由一个非常小巧的程序来完成,蠕虫病毒的作者通常是程序员中的顶尖高手。
另一类蠕虫病毒,又被称为邮件病毒,Symantec对蠕虫病毒的命名很有意思,worm表示蠕虫,带@m后辍的是邮件蠕虫,带@mm的是大量发送邮件的蠕虫。
邮件蠕虫病毒传播的介质是电子邮件Email,同样,这种恶意程序也是高超的攻击工具,病毒会攻击存在漏洞的邮件客户端程序,利用邮件客户端的漏洞来自动复制传播。比如求职信病毒wantjob(W32.Klez.H@mm),有漏洞的outlook仅仅预览邮件,不需要双击打开邮件附件,病毒就被触发。然后病毒继续生成新的求职信邮件,将带毒邮件发给地址簿中的联系人。
在我的印象中,最NB的邮件蠕虫是mydoom和netsky,据说这两个邮件作者在搞一场感染竞赛,看谁感染的计算机数量最多,刚开始是中毒后自动给联系人发邮件,后来发现邮件越发越多,不仅仅发给联系人,病毒会搜索outlook数据库中所有带@符号可能是邮件地址的字串,没完没了地发送。当一个局域网中毒的用户多起来时,就会发现病毒邮件呈几何速度增长。最终,你将看到极其壮观的景象,几乎所有计算机没干别的,都在发邮件。
现在疯掉的就是网管,网管只能拼了命在Exchange上搜索此类邮件,再批量删除,但是,网管的手比病毒显然是慢了太多。当中毒的人越来越多时,邮件服务器的CPU,内存,硬盘都将被耗尽。网管只能重启服务器,断网,删除服务器上的病毒邮件,添加规则过滤病毒邮件,重新开机。在客户端没有完成杀毒之前,这一切都是枉费心机,联机的服务器很快被病毒踢下线。
这场竞赛直到两个病毒作者在程序中设定某一天之后停止复制才宣告结束。
在互联网日益普及之后,蠕虫病毒也不再只侵害企业局域网,普通网民一样会受害。典型的例子就是冲击波病毒、震荡波病毒,当Windows 存在一个致命的普遍存在的0day漏洞时,攻击者就可以在微软修补前制作蠕虫病毒,对互联网所有存在漏洞的windows PC进行攻击。攻击的结果要么是远程写入恶意程序,要么是攻击导致目标计算机崩溃重启。
在冲击波、震荡波病毒攻击时遇到过RPC服务中止或lsass服务中止,Windows 倒计时60秒重启的,请举手。
蠕虫病毒的终结
我以为,Windows XP SP2和Windows 2003 R2是windows 历史上最出色的补丁发布。这个补丁集将windows 防火墙集成到windows 操作系统,很快类似冲击波、震荡波之类的蠕虫病毒已经无法再大规模传播,防火墙堵住了被扫描被入侵的通道。尽管此后windows也不断冒出完全不亚于RPC漏洞的新0day,但大多未被应用于蠕虫病毒传播。
在微软集成windows 防火墙之前,各安全厂商都有自己的防火墙产品,但这些号称“专业”的防火墙产品,却把用户烦得够呛。在我做客服的时候,曾经有无数个用户问过,“金山网镖提示***程序访问网络,是否允许。请问,我是该允许呢?还是该不允许呢?”
还有这样问的,“防火墙的自定义规则怎么弄,源地址、目标地址、端口是什么?还有动作里,允许、禁止、报告,是神马意思?协议,我是该选TCP呢,还是选ICMP” ——Oh,My GOD
简洁的windows 防火墙解决了这一系列的问题,专业人士说了,windows防火墙太菜了,就那么简单的出站入站规则。到windows vista和windows 7中,Windows防火墙也可以配置复杂的规则,只要你认为自己够专业。但对我来说,一个完全不需要配置的windows 防火墙完全可以保护我免受蠕虫病毒之害。
对于邮件蠕虫病毒,情况大致差不多,outlook和IE的漏洞不断被修复,和outlook差不多的邮件客户端也在关注邮件蠕虫传播,相继增加了一些安全方面的设计,邮件服务器软件的防蠕虫、反垃圾邮件的能力也同样得到加强。预览邮件就中招的情况差不多没了。outlook地址簿也要授权后才能访问,病毒自动利用地址簿乱发邮件的难度增加。特别重要的是,webmail的应用日渐普及,邮件客户端不再是必须品。
到2004年以后,病毒作者觉得天天折腾技术好象不如挣钱舒服,他们的目标转向直接获利,折腾人的蠕虫病毒日渐势微。全球范围内在线游戏广泛兴起,网游成为娱乐休闲的代名词,虚拟装备交易异常活跃。黑客(准确讲是骇客,小偷之类的东西)们知道金矿来了。
且看下一章《谁拿了我的屠龙刀》
[复制链接]
发表于 2011-5-21 14:33:09
