蠕虫与邮件病毒不同 随着网络资源的共享,电子邮件系统的广泛应用,利用电子邮件作为主要传播载体的病毒越来越多,并且造成了极大的危害。孙子兵法曰:知己知彼,百战不殆,了解敌手是克敌制胜的重要先决条件。随着蠕虫和病毒的危害趋于加剧,我们有必要将二者区分开来,按照各自的特点进行各个击破。 目前公众乃至业界对蠕虫和病毒的理解不统一,一般都将两者统称为病毒。从广义上定义,凡能够引起计算机故障、破坏计算机数据的程序统称为计算机病毒,所以从这个意义上说,蠕虫也是一种病毒,但是蠕虫病毒和一般的病毒有着很大的区别。一般认为,蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等等。如Morris, Codered, Nimda, SQL Slammer, MSBlaster之类的蠕虫。而根据RFC以及Eugene Spafford的定义,蠕虫的特点是:可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪。而计算机病毒则是一段代码,能把自身加到其它程序包括操作系统上,不能独立运行,需要由它的宿主程序运行来激活它。 而邮件病毒其实和普通的电脑病毒一样,只不过由于它们的传播途径主要是通过电子邮件,所以才被称为“邮件病毒”。但是邮件病毒具有感染速度快、扩散面广、传播的形式复杂多样、难于彻底清除、破坏性大等特点。一般的邮件病毒就如:Mellisa, Loveletter, Sircam, Sobig, Mydoom 蠕虫和邮件病毒具备的相同之处就是具有极强的传染性。设置后门程序、发动拒绝服务攻击等也往往成为二者的重要行为特征。由此我们可以看到,控制蠕虫和邮件病毒的有力手段是控制网络传播途径,包括邮件传播、漏洞入侵传播、共享传播等;而控制普通计算机病毒的重要手段则是分布全网所有计算机终端的集中网络防病毒系统。
分而治之 虽然蠕虫和邮件病毒就像电影《黑客帝国》中,特工Smith在进攻中不断将他人复制为自身,借以倍增其攻击力,不断地传播和复制进行进攻能力的积聚。蠕虫通常利用系统存在的安全漏洞进行入侵传播,而邮件病毒则利用电子邮件系统的便捷性以及用户安全意识的薄弱作为突破口进行传播。明确这一点后,控制蠕虫和邮件病毒的传播是非常重要的,制定防御策略是相当关键的。 分而制之是控制蠕虫和邮件病毒传播的主要方针。冠群金辰安全专家建议采用基于单元的防御策略(Cell-Based defense policy)。其基本原理是在整个网络中进行安全单元(Cell)划分,对容易感染的单元、重点防范单元进行蠕虫隔离。比如将远程访问网段、具有Internet访问能力的网段等和业务网段隔离,避免这些网段感染的蠕虫和邮件病毒进一步渗透到业务网段中来。同时,在一些关键网段如核心业务网段前,也有必要进行蠕虫隔离,避免突发事件造成严重破坏。经过周密规划和部署后,即使一些员工的计算机不慎感染了蠕虫或病毒,其影响也会被严格控制在该计算机所在的单元(Cell)之内,而不会通过网络扩散到其它单元,造成事态的恶化。 总体上讲,对于类似于Mydoom这样的邮件病毒或其它具有高传播能力的蠕虫,我们可以采用传染病学原理进行控制。控制传染病有三要素:控制传染源,切断传播途径,保护易感人群。对应于蠕虫和邮件病毒的防范,这三个要素就是:利用网络监控系统(如干将/莫邪IDS)快速发现感染计算机并实施控制措施;利用蠕虫和病毒隔离措施(如赤霄邮件过滤网关)进行蠕虫和病毒的传播途径阻断;对关键服务器进行安全加固(打补丁、安全配置或利用专用产品如龙渊服务器核心防护),对客户端计算机进行补丁程序的集中升级和管理。
赤宵网关 赤霄邮件过滤网关是冠群金辰公司的网关防御产品。赤霄邮件过滤网关独有的抗蠕虫攻击技术(Anti-Worm)能够全方位抵御包括Mydoom在内的所有已知蠕虫病毒的攻击和传播行为,填补了信息安全界的空白。 赤霄过滤网关是一个针对EMAIL系统的SMTP协议进行过滤的产品。对于发进来的邮件,赤霄过滤网关主要是利用邮件路由协议的特点进行工作,出于容错和扩展方面的考虑,简单邮件传输协议(SMTP)在设计时引入了邮件路由的思想,邮件总是首先试图传递给优先级值相对较高的MX邮件服务器,失败后才试图传递给优先级值稍大的MX邮件服务器;同时邮件总是在试遍了同一优先级的MX邮件服务器都失败后,才试图传递给优先级稍低的MX邮件服务器。因此一封具有一个收件人地址的Email可以有多个MX邮件服务器目标,每台MX邮件服务器可以设置成不同的优先级,高优先级的邮件服务器将先进行处理,如果高优先级的邮件服务器出现意外,邮件会自动发向第二优先服务器,依次直到最低优先级服务器。 对于发出去的邮件,可以在DNS中修改RELAY服务器(即发件服务器)的IP指向,或者用户直接修改自己所用的邮件客户端软件的RELAY服务器以指向赤霄过滤网关就可以了。显然,这种方式规避了在邮件服务器上直接安装邮件过滤软件带来的问题,它与具体使用的邮件服务器类型无关,无需占用邮件服务器的系统资源,相比在邮件服务器上安装过滤软件而言,具有更高的工作效率。它的接入方式也很简单,通常无须修改邮件服务器的任何配置,即使用户更换了新的邮件服务器,也无需更换网关,保护了用户的已有投资。 就以最近刚刚爆发的Mydoom为例。首先Mydoom是通过电子邮件传播,其造成邮件使用者感染病毒,在危害本机安全性的同时,又成为Mydoom的传播者。甚至由于邮件的大量增加导致网络瘫痪。赤霄邮件过滤网关应对所有电子邮件进行病毒检查,一旦发现邮件携带Mydoom病毒即进行病毒清除,避免客户端接收到携带病毒的邮件,避免造成网络瘫痪。事实上,赤霄邮件过滤网关包括了一个完整的蠕虫、病毒库,能够过滤任何已知的恶意代码。 其次,在对于病毒设置的后门程序时,Mydoom会在感染机上留下后门程序,监听TCP 3127等端口,造成用户信息泄漏,而通过启用赤霄邮件过滤网关的入侵防御功能,管理员能够发现利用Mydoom后门进行的攻击行为,并且实时阻断,避免造成用户机密信息的泄漏。
最后,Mydoom还有一个非常显著的特点,其当前版本会在近期内对www.sco.com发动DoS攻击行为,但是很容易被修改成为在另一个时间段对其他站点进行DoS攻击;然而通过启用赤霄邮件过滤网关的抗DoS攻击功能,管理员能够确保阻断可能由于Mydoom或其它方式导致的DoS攻击,避免由此引发的安全事件、网络故障以及法律纠纷。
人是防毒关键 Mydoom是邮件病毒的一种。根据冠群金辰安全专家的分析,Mydoom并没有采用什么新的入侵手段和传播模型,但是为何造成了如此巨大的破坏呢?除了Mydoom的编写者选择了适当的扩散时间之外,Mydoom具有的更加强的欺骗性是导致全球大规模传播的重要因素。 在其传播的过程中,计算机的使用者是传播的触发者,是传播的关键环节,使用者的计算机知识水平的高低、警觉性程度常常决定了病毒所能造成的破坏程度。计算机病毒为了诱使计算机使用者执行病毒程序以进行传播和破坏,手段层出不穷。孙子兵法曰:兵不厌诈。深受其思想影响的著名黑客Kevin Mitnick 在专著《欺骗的艺术》(The Art of Deception)中几乎没有对他入侵的技术手段作任何描述,而是强调了人的因素在整个入侵过程中的关键作用。了解并控制了人的思路就控制了整个入侵的进程。Mydoom的作者将包含病毒体的邮件内容伪造成为邮件系统自动发出的错误信息,具有极大的欺骗性,甚至能够蒙蔽一些计算机专业人员打开附件。对蠕虫和病毒的抵御是一场“人民的战争”,需要发动所有的计算机使用者投入进来。针对全员的安全知识普及教育能够在其中起到至关重要的作用。
尾声 由于网络化已经成为一个社会特征,网络安全已经成为一个关系到中国现代化进程的社会问题,对网络安全的关注绝不仅仅是某个人、某个部门或者某部分人的问题,需要政府、专家、企业、媒体、网民的整体关注,各尽其责。也正是从这个意义上,冠群金辰将为中国网络安全产业的发展出一把力,尽一份责。
·黑客知识之解析并防范蠕虫病毒·用Delphi来编写蠕虫病毒浅析·高危害级别W32网络蠕虫病毒扩散·实例解析蠕虫病毒的原理·病毒报告:Zotob蠕虫病毒可导致系统频繁·通过移动设备传播的蠕虫病毒·蠕虫病毒制作·木马蠕虫病毒危害空前严重 PC上网12分·深入了解网络蠕虫病毒·进入新年全球传播 高危蠕虫病毒威胁电
赤霄邮件过滤网关拓扑图
全面防范蠕虫和邮件病毒的技术要求 SQL slammer, Sobig, Mydoom等造成了巨大危害,但是不管是传统的防病毒网关还是防火墙/NIDS,或者新出现的NIPS都无法全面防止蠕虫和病毒的危害。全面防止蠕虫和病毒的危害至少需要以下的几种技术:
● 通过电子邮件方式传播的病毒在网关处的识别和阻断,主要是切断邮件病毒的传播途径。
● 对蠕虫传播时采用的攻击手段进行识别和阻断,切断蠕虫的主要传播途径。
● 对蠕虫和病毒留下的后门程序的活动进行识别和阻断。
● 对蠕虫和病毒造成的DoS/DDoS攻击进行识别和阻断。
● 对病毒和蠕虫造成的大量垃圾邮件进行识别和过滤。
以上的要素对于抵抗蠕虫和病毒的威胁缺一不可。全球著名的信息安全教育机构SANS Institute在最近一期的Network Security Roadmap中将抗蠕虫(Anti-Worm)解决方案和防火墙、IDS等并列为安全技术中的一大类。但是在业界却尚未出现集上述要素于一身的抗蠕虫和病毒的复合产品。