蠕虫病毒攻击

关键词：

蠕虫病毒攻击（精选四篇）

蠕虫病毒攻击 篇1

关键词：自定义蜜罐,蠕虫病毒,主动防御

随着攻击者知识的日趋成熟,攻击工具和方法的日趋复杂多样,单纯的防火墙、入侵检测等策略已经无法满足对安全高度敏感的部门需求,网络的防卫必须采用一种纵深的、多样的手段;当今的网络环境也变得越来越复杂,各式各样的复杂设备,需要不断升级、补漏,使得网络管理员的工作不断加重。在这种条件下,蜜罐(Honeypot)技术成了一种新的网络安全解决方案,不仅受到愈来愈多的人的关注,而且己经开始在不同的环境中发挥其关键作用,本文主要探讨一种自定义蜜罐系统在抵御蠕虫病毒攻击中的应用研究。

1 蠕虫病毒

1.1 蠕虫病毒定义与特征

蠕虫病毒是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等,同时具有自己的一些特征,如不寄生于其他文件,常和黑客技术相结合,对网络造成拒绝服务等。在产生的破坏性上,蠕虫也更甚于普通病毒,网络的发展使得蠕虫可以在短短时间内蔓延整个网络,造成网络瘫痪。大多数蠕虫程序都是计算机黑客、网络安全研究人员和病毒作者写的,主要结合社会工程学来传播,其一般传播过程为:由蠕虫的扫描功能模块负责探测存在漏洞的主机;感染模块按漏洞攻击步骤自动感染扫描过程中找到的对象,取得该主机的权限,获得一个shell;复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。

蠕虫病毒的特点主要体现在以下几个方面:1)利用操作系统和应用程序的漏洞主动进行攻击。2)传播方式多样化。3)病毒制作技术与传统的病毒不同。4)往往与黑客技术相结合。

1.2 蠕虫病毒危害分析

自1988年莫里斯从实验室放出第一个蠕虫以来,计算机蠕虫以其快速、多样化的传播方式不断给网络世界带来灾害。特别是1999年以来,高危蠕虫如(Slammer,Red code,Nimdar,Blaster,Mydoom等)的不断出现使世界经济蒙受巨大损失。其中著名的如2003年一种名为“2003蠕虫王”的计算机病毒迅速传播并袭击了全球,致使互联网网络严重堵塞,作为互联网主要基础的域名服务器的瘫痪造成网民浏览网页及收发电子邮件速度大幅减缓,同时银行自动提款机的运作中断,机票等网络预定系统的运作中断,信用卡等收付款系统出现故障,此次病毒造成直接经济损失至少12亿美元以上。而2007年网络病毒之首的“尼姆亚(Worm.Nimaya)”(又名“熊猫烧香”)除了使感染计算机出现蓝屏,频繁重启及系统硬盘中数据文件被破坏之外,还会在中毒计算机所有网页文件尾部添加病毒代码,一些网站编辑人员的计算机如果感染,上传网页到网站后就会导致用户浏览这些网站时也会被病毒感染,其带来的经济损失估计达到千亿人民币。

2 自定义蜜罐

2.1 蜜罐定义

“蜜网项目组”(The Honeynet Project)创始人LANCE SPITZER给出了对蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用,因此所有流入、流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。

我们设置蜜罐的目的有两个:一是在不被攻击者察觉的情况下监视他们的活动,收集与攻击者有关的所有信息;二是牵制他们,让他们将时间和资源都耗费在攻击上,使他们远离实际的工作网络。

蠕虫和普通病毒不同之处在于它能利用漏洞,包括软件漏洞和人为漏洞。而目前网络安全采用的传统防御手段,如入侵检测系统、防火墙等,由于自身的一些固有不足,在抵御蠕虫攻击方面还存在着一定的欠缺。因此,我们考虑引入蜜罐技术进行主动防御。

2.2 蜜罐分类

根据蜜罐的设计目的,可以分为产品型蜜罐和研究型蜜罐。产品型蜜罐的目的在于为一个组织的网络提供安全保护,包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。一般产品型蜜罐较容易部署,而且不需要管理员投入大量的工作。研究型蜜罐则是专门用于对黑客攻击的捕获和分析,通过部署研究型蜜罐,对黑客攻击进行追踪和分析,能够捕获黑客的键击记录,了解到黑客所使用的攻击工具及攻击方法,甚至能够监听到黑客之间的交谈,从而掌握他们的心理状态等信息。

我们的自定义蜜罐设计介于两者之间,以某些产品型蜜罐为基础,在设置和部署上参照研究型蜜罐,提高针对性。如蜜罐的设计方式必须与实际的系统一样,还应包括一系列能够以假乱真的文件、目录及其它信息。能监视攻击者的所有行动,记录攻击者的访问企图,捕获键击,确定被访问、修改或删除的文件,指出被攻击者运行的程序等。从捕获的数据中可以学习攻击者的技术,分析系统存在的脆弱性和受害程序,以便做出有效响应和反制。

3 自定义蜜罐系统设计

3.1 系统原理

蠕虫的整个传播过程依时间顺序分为扫描、感染和复制这三个阶段,其中扫描对蠕虫的传播显得尤为重要,因为蠕虫在感染阶段利用的是系统本身存在的漏洞,如果通过扫描发现了系统中的确存在感染所需要的漏洞,那接下来的两个阶段就可以很容易地完成,因此我们把抵御蠕虫攻击的重点放在破坏蠕虫的扫描上。

对于目前已知的蠕虫攻击,可以通过事先设置的防火墙规则直接重定向到蜜罐系统,改变其扫描的路线,然后捕获之;对于全新的蠕虫攻击,由于事先不了解其特征,无法直接将其重定向,但是可以通过延缓其扫描速度,同时对日志进行数据挖掘,根据得到的信息更新入侵检测系统的规则集,让入侵检测系统对后续的入侵做出响应。

3.2 系统设计

我们把虚拟蜜罐技术和入侵检测技术结合起来设计一个自定义蜜罐系统,旨在能有效抵御已知的蠕虫攻击,而且还要能防御未知的蠕虫攻击。

虚拟蜜罐技术是指在一台计算机上安装多个蜜罐来模仿多种不同的操作系统。在此,我们的虚拟蜜罐并不需要模仿整个操作系统,而只需模仿操作系统的一部分如TCP/IP协议栈等。根据指纹识别技术的分析,参照每种操作系统的特点,分别构造出不同的TCP/IP数据包即能模仿出各种不同的操作系统,达到欺骗攻击者的目的。我们可以预先为每种不同的操作系统创建一个蜜罐模板,当需要配置某个虚拟蜜罐时,蜜罐主机就启动相应的模板。如我们在IP为192.168.1.2的蜜罐主机上配4个虚拟蜜罐Windows NT、Windows XP、Linux、Free BSD,每个蜜罐都有一个合法的IP地址,在外部看起来是4个独立的系统。当攻击者首次发送数据到其中一个Windows NT蜜罐时,路由器收到这个包,通过查询路由表发现是发往本地局域网的包,但它是第一次收到发往这个蜜罐的包,它不知道与这个IP地址对应的MAC地址,因此会在网络上广播一个ARP查询。罐主机在收到这个查询信息后,就将自己的MAC地址发给路由器。路由器将这个MAC地址的信息加入自己的ARP表,以后每次收到发往Windows NT蜜罐的数据包都会自动将它发往蜜罐主机。同时,蜜罐主机在收到这个包后,会回复一个伪造的Windows NT包来欺骗攻击者。

蜜罐的部署可以根据各种不同情况需求,如以下拓扑图1所示:

蜜罐B部署在防火墙的DMZ区(Demilitarized Zone,非军事区),隐藏于各类服务器中,当有攻击者扫描攻击的时候,可以检测到攻击。蜜罐B可以伪装成各种服务器,不易被攻击者察觉,只要有进出的流量,便可认为是攻击,因此目前大多数蜜罐都部署在这里。蜜罐C部署在内部网络,检测来自内部的攻击。据统计,80%的攻击来自于内部网络,因此在此位置部署蜜罐也是一种常见的部署方式。蜜罐D部署在网络防火墙之后,目标是检测和响应突破安全防线后的攻击行为,阻止攻击行为的蔓延。

我们可以根据实际情况选择部署多个自定义蜜罐,在同一主机或服务器上还可以应用虚拟蜜罐技术,扩展蜜罐收集范围。如为了对系统中的服务器提供保护,我们把自定义蜜罐放在了DMZ中,利用的欺骗地址空间技术,让蜜罐系统覆盖服务器所在网段中没有用到的地址空间,这样当蠕虫对整个网段进行随机扫描的时候,被捕获到的机率增大。

在本系统中我们主要将蜜罐技术和入侵检测技术相结合,增强网络安全防御能力。其工作原理是,通过IDS监听网络数据流,并根据安全策略对服务器访问数据进行监控。识别针对服务器以及网络的攻击行为,主动将攻击者引诱到相应的蜜罐,其后还可以利用相关技术对捕获到的数据进行整理、分类、规则关联,从而进一步完善IDS的检测能力。同时系统日志对于我们事后分析学习蠕虫的特征,尤其是新出现的蠕虫的特征很有帮助。为了完整的记录蠕虫在上面的活动过程,我们选择了异地保存日志的策略,同时把日志服务器安放在防火墙的后面,通过配置合适的规则保证其安全。

3.3 实例过程分析

以下为一例蜜罐Honeyd防御蠕虫的过程分析。

首先,我们考虑捕获蠕虫副本,研究蠕虫特征。通过编辑Honeyd配置文件,绑定未使用IP,模拟出大量具有windows漏洞的虚拟蜜罐,来引诱蠕虫攻击并捕获蠕虫副本。再通过脚本的编写与调用,使虚拟蜜罐能提供某些蠕虫感兴趣的网络服务,以达到进一步欺骗与交互的目的。结合对蜜罐日志的分析,回放整个攻击的过程,了解攻击蠕虫的特征。

其次,转移攻击流量,保护网络安全。蠕虫攻击的时候是任意的选取一段IP进行扫描,当某些主机感染了蠕虫病毒后,它将继续扫描探测网络中的其它易感染主机,进行进一步的攻击。因此,当我们用Honeyd以较低成本虚拟出成千上万与未使用IP绑定的漏洞主机,蠕虫对其进行探测攻击以及进一步交互时,就会浪费它攻击的时间,转移了攻击流量,起到保护网络中有价值主机的作用。

最后,修补已感染主机漏洞,产生免疫。假设局域网中的主机A感染了蠕虫病毒,正准备将蠕虫传播到主机B。因为蠕虫攻击主机A时所利用的系统漏洞依旧存在,假设主机B是部署的虚拟蜜罐,我们就可以通过相应的配置使主机B利用此漏洞对主机A发起反攻,以其人之道还治其人之身,利用主机A上的该漏洞,反攻进入已感染主机,控制已感染主机,清除其上的蠕虫副本,修补其系统漏洞,杜绝其再次感染,从源头上阻断蠕虫的传播。

总之,我们可以通过蜜罐技术来了解某类病毒的攻击机制和原理,或构建相应蜜罐引导病毒到非关键路径下的自定义环境爆发以瓦解该类病毒危害,或进行反向控制切断病毒传播。

4 结束语

网络大面积遭受蠕虫攻击的事件时有发生且危害巨大,针对该类问题我们引入蜜罐技术,结合入侵检测技术、数据挖掘技术等提出一种解决办法:应用虚拟蜜罐技术,把自定义蜜罐置于DMZ中,利用欺骗地址空间技术,覆盖服务器中没有用到的地址,捕获蠕虫;入侵检测系统监控流入网络的数据包,对入侵做出反映;系统日志异地保存,提高安全性能。自定义蜜罐系统能有效抵御目前已经出现的蠕虫攻击,同时对新出现的未知蠕虫攻击也有较好的防御效果。

参考文献

[1]付忠勇.网络安全管理与维护.北京,清华大学出版社,2009:85.

[2]Monika Sachdeva,Gurvinder Singh,Krishan Kumar,etal.ddos Incidents and their Impact:A Review.International Arab Journal of Information Technology.No.1,2010.

[3]K.duraiswamy,G Palanivel.Intrusion Detection System in UDP Protocol.International Journal of Computer Science and Network Security.Vol.10,No.3Mar2010:1～5.

[4]宋富强,蒋外文,刘涛.蜜罐技术在入侵检测系统中的应用研究[J].现代计算机,2008.3:40～42.

[5]史晓红.网络安全完全技术宝典.中国铁道出版社,2010:9～10.

[6]杨谦,谢志强.虚拟安全.科学出版社,2010.8.

[7]杨冬,高为民.基于虚拟蜜罐的网络安全系统的设计与实现[J].网络安全技术与应用,2008,8(5):25～27.

[8]杨萍.基于Honeyed的动态蜜罐设计与实现.电脑知识与技术,2011.1.

蠕虫病毒攻击 篇2

0月5日，北京DD由Juniper网络公司发起的一项最新研究表明，在接受调研的中国企业中有6％在去年受到了病毒或蠕虫攻击，而％的公司受到了间谍软件和恶意软件的攻击，预计针对中国企业网的攻击在近期将不会减弱。超过半数的被调查者都认为今年会有更多的病毒和蠕虫攻击。

Frostamullivan咨询公司在006年月份公布了该研究结果。此项研究涵盖了中国、澳大利亚、印度、日本和韩国地区的500家雇员超过50人的企业。

中国网络在去年遭受到的攻击包括：

病毒和蠕虫攻击（占6％）

间谍软件和恶意软件攻击（占％）

非预谋内部攻击（占9％）

攻击（占％）

拒绝服务（DoS）和分布式拒绝服务（DDoS）攻击（占％）

研究发现，中国网络员工认为自己要承受比其它四个国家的同行更大的个人压力。超过60％的中国受访者都认为他们在0承受了比更大的压力，而位居第二位的韩国则有5％的受访者表示承受的压力要比前一年大，

在005年，有68％的中国企业采用了客户安全软件，例如桌面防病毒措施等。然而，很多公司都计划把更多的投资花费在入侵检测和防护（IDP）技术上。相对防火墙、虚拟专网和内容过滤等所有其他技术，入侵检测和防护（IDP）的需求最高。有％的中国受访者表示今年会计划采用IDP解决方案。

“中国企业现在面对的攻击和压力比以往任何时候都更加复杂，这也暴露了基本安全防护的不足之处。”Juniper网络公司大中华区副总裁于肇烈先生表示，“中国企业正在寻求更先进的解决方案D包括IDPD提供更全面的保护以应对应用层和网络层目前和新兴的威胁。”

该报告还指出：

三分之一以上的中国企业对通过优化来解决延迟的网络应用问题比较感兴趣。但是，56％的中国企业认为定制更多的带宽是最可行的解决方案。

蠕虫病毒攻击 篇3

W32.Temphid主要通过USB移动存储设备进行传播。由于USB设备使用十分广泛, 因此通过此类USB设备 (如U盘、移动硬盘) 进行传播的病毒可能在很短时间内爆发。目前, 赛门铁克已检测到W32.Temphid在全球范围内的感染数量急速增长。

运行后, W32.Temphid会释放一些快捷方式文件, 并将其拷贝至相连的移动存储设备中。无论操作系统的AutoPlay功能是否打开, 在用户打开U盘时, 此蠕虫病毒都可主动运行。W32.Temphid还会结束某些安全软件的进程, 利用Rootkit技术隐藏自己释放出的或拷贝到移动存储设备中的快捷方式文件等, 使用户无法察觉病毒的存在。

正义病毒新蠕虫病毒给网站安装补丁 篇4

F-Secure公司表示，目前它已经得知受到anti-Santy蠕虫病毒感染的有7个论坛网站。anti-Santy蠕虫病毒对运行ph软件的网站利用Google进行搜索，找到目标后感染这些网站，它还能给这些网站安装补丁软件，使这些网站更安全。

F-Secure公司的反病毒调研主管MikkoHy表示，看起来anti-Santy蠕虫似乎是一种“益虫”，但实际上这种蠕虫会给系统管理员带来许多问题，例如管理员必须对增加的网络中流量的问题进行处理。Hy指出，对这种蠕虫给网站安装补丁软件的效果，目前无法发表评论，

但网站只要被蠕虫感染，将会带来大量的数据，给网占增加了负担，能够降低网站的速度。我觉得病毒作者编写有益的蠕虫病毒真是不可思议。

被anti-Santy蠕虫病毒感染的网站将显示如下内容：“Anti-Santy-WormV增强了viewtopic.php的安全性，你的网站将更加安全，但还应该升级到.0.和更高版本的ph软件”。（“viewtopic.phpsecuredbyAnti-Santy-WormV.Yoursiteisabitsafer，butupgradeto>=.0.）

Hy称，他已经看到了二种版本的被篡改了的网页，网页上指的是两个不同的IP地址，并且两个IP地址都来自阿根廷，这说明这种anti-Santy蠕虫病毒也出自阿根廷。