2005年7月的一天,我们接到公司的一个客户的电话,声称网络速度突然变慢,可能遭受了蠕虫攻击,我和同事迅速赶到现场,因为这个客户曾购买了我们的IDS设备,而且一直在使用,所以我们的第一想法,就是到IDS上去看看日志情况。可是很显然:客户对于安全问题的重视不够,管理员根本不知道IDS用于维护的IP地址、帐号和密码信息,管理员的机器上虽然安装了IDS的管理软件,但从来没用过,当然期间,因为客户公司搬家,原来的维护人员离开了这个部门,但并没有把与安全相关的IDS的登记信息交接给新的管理员。于是我们只能通过串口线连接到IDS设备上,竟然使用我们出厂默认配置的口令,登录到IDS的命令行管理模式下,获得了IP地址,客户的管理员没有修改出厂的默认配置,这也是不重视安全的一个重要体现。当我们通过管理员主机上的管理软件连接到IDS设备上,清楚地看到IDS正在不停地发出两个严重的报警:“RPC DCOM 缓冲溢出攻击企图2”和“NETBIOS SMB-DS DCERPC LSASS 震荡波蠕虫病毒(Worm.Sasser)”
攻击源有十多台主机,被攻击对象比较随机,看来管理员判断为蠕虫感染还是比较准确的。我们将所有攻击源(怀疑是蠕虫病毒的传播源)的IP记录下来,管理员显然在执行网管工作方面比执行安全工作更为优秀,他很快就定位了这些IP地址的使用人,所在的物理位置,并带领我们去一一检查。
在这些可疑主机上,我们发现都已经安装了防病毒程序了,但是并没有发现对“冲击波蠕虫和震荡波蠕虫”查杀的日志,可是为什么IDS还有大量的“DCOM RPC缓冲区溢出攻击”的报警呢。此时我们发现正在检查的主机上有一个可疑的服务“Externtelecom”,以LocalSystem身份加载,自动启动,描述为“Extern telecom Service”,对应文件为C:WINNTextel.exe, 随后禁用网卡,禁用该服务,但无法手动停止。
查看网络连接状态非常可疑,产生有大量连接,并且这些非正常连接均由Externtelecom服务的extel.exe,产生,由此可证明此文件为病毒体,后经研究发现:这是一种集IRC后门、蠕虫功能于一体最新的病毒程序,通过网络共享和操作系统漏洞(MS03-026、MS02-061、MS03-007、MS04-011等)进行传播。病毒尝试通过弱密码登陆目标系统,在感染的电脑上打开后门接收指令,然后连接特定的IRC服务器通知攻击者病毒的存在。病毒会扫描网段内的机器并猜测共享密码,占用大量网络带宽资源,容易造成局域网阻塞;还将安装/卸载后门、下载并运行文件、结束进程、运行代理服务器、盗取流行游戏的帐号、对指定的IP进行DoS(拒绝服务)攻击等。同时病病毒使用高度隐藏技术,用户中招后很难察觉,最终沦为网络僵尸,被黑客完全操纵。
而IDS的报警“RPC DCOM 缓冲溢出攻击企图2”也是非常正确的,不过非常可惜的是:这些报警并没有引起管理员的马上注意。虽然病毒不是冲击波和震荡波,但利用的漏洞却和这两种蠕虫病毒利用的漏洞一样,这就是IDS和防病毒产品最大的区别,防病毒产品只能根据蠕虫病毒文件的特征体来辨别病毒,而IDS却是通过协议解析等手段对蠕虫的异常网络行为进行检测,发现蠕虫的网络活动。
用木马Netbus举例来说,Netbus木马有两个应用程序patch.exe和netbus.exe,其中patch.exe是木马程序,通常被黑客种植在他所控制的主机系统中,当程序运行后,会默认打开12345端口;而netbus是远程管理程序,通常在黑客的主机系统上运行,去连接被黑主机系统的12345端口,从而完全控制被黑主机。防病毒软件一旦发现硬盘上有patch.exe和netbus.exe程序,不管这些程序是否在运行中,马上就会进行报警并查杀;而IDS是在netbus程序运行后,并连接被黑主机的12345端口时,才开始报警的。
当然“震荡波”蠕虫病毒也是如此,最初震荡波蠕虫是生成avserve.exe病毒文件,防病毒软件只要检测到这个病毒文件内的特征体,马上进行报警和查杀,如果蠕虫制造者改变了病毒文件的特征体,当前的防病毒产品就不能马上检查出来;而IDS是在这个程序去探测其他主机是否存在LSASS缓冲区溢出漏洞时、或者是这个程序利用其他主机的LSASS缓冲区溢出漏洞向其发送数据包时,开始进行报警,与蠕虫病毒文件的特征体无关;因此“震荡波”只是利用LSASS缓冲区溢出漏洞的一种表现形式,更大更隐蔽的威胁其实是利用该漏洞的各种攻击和入侵行为,因为利用该漏洞可以远程获取对方主机的LocalSystem最高权限,以至于可以完全控制对方主机的所有一切,而且很难进行发现和追查。杀毒软件则只能检测和查杀病毒,对于攻击和入侵行为无能为力。这正是IDS能够检测一些未知的蠕虫病毒的重要原因。
而我们不得不反思的是:如果在IDS刚刚报警时,就去解决安全问题,其安全损失就可以降低到非常小的范围内。所以管理员千万不要忽视IDS的作用,象维护其他服务器设备一样来维护它吧,登记其IP地址、管理员帐号、物理位置等,并将供应商出厂的默认配置帐号进行修改,充分地利用你的IDS设备,将会有效提升网络维护工作的效率。
过程一:启用“攻击检测”
过程二:应用安全策略
过程三:经常看看实时告警或者攻击检测日志,那里有非常重要的信息