2006年末的熊猫烧香病毒烧了几个月还没有停歇的迹象,这表明只要有多人长时间地蓄意破坏互联网、局域网及个人计算机的运行环境,现有的网络安全防范措施就可能被大规模的突破。下面我们简单的回顾一下该病毒的特征及传播方式:
==引用开始==
病毒特征的简单描述
1、关闭安全软件,删除安全软件的服务和注册表里的键值
后果:杀毒软件无法工作,相关一些反病毒辅助工具无法工作
2、关闭任务管理器,修改注册表使得无法显示隐藏文件
后果:无法打开任务管理器停止病毒进程,即使停止了,也无法查看病毒文件
3、在驱动盘符下,添加autorun.inf文件,使得U盘和驱动盘双击即运行病毒
后果:双击驱动盘符就再次运行病毒,重新感染,同时让每一个移动存储设备被感染,并可以主动传播
4、感染除系统盘外的其他盘下部分文件,为.exe、.com、.gho、.pif、.scr文件
后果:只要运行被感染的文件,就会再次感染,.gho的感染导致系统备份完全被破坏
5、寻找php、asp、html文件,并在每个文件底部添加iframe弹出,导致网站被挂马
后果:使得访问这些文件,iframe就会弹出,利用系统漏洞,从而访问其他网站或应用程序
6、弱口令破解局域网内其他机器帐号,并再次传播
后果:局域网内的所有电脑都会中标
7、充当download马角色,下载其他病毒
后果:中标者发现除了熊猫外,还有大量的盗号马存在
多样性的传播方式
1、移动存储设备(如U盘等)的传播
U盘的广泛使用,使得U盘成为病毒一个重要传播方式。
2、局域网内的传播
一台机器中标,局域网内其他机器将可能无一幸免。
3、被挂马网站的传播
由于修改php、asp、html等文件,添加iframe弹出,使得这些网站被挂马,一经访问就会有中标的可能。
==引用完毕==
三个传播方式按触发的时间先后依次为:
1、被挂马网站的传播,2、局域网内的传播,3、移动存储设备的传播。
按传播效率依次为:
1、被挂马网站的传播,2、局域网内的传播,3、移动存储设备的传播。
从上面的分析可以看出,熊猫烧香病毒在对抗性和传播性方面工作效率很高,这表明该病毒是针对应用层的混合型威胁。
那么,传统网络安全防御措施为何不能阻挡这类病毒的蔓延呢?下面我们进行具体的分析:
1)路由器 & 防火墙
路由器、防火墙一般只做第3、4层的防御,即IP地址、端口的过滤,对于内网用户访问外网80端口一般是放行的,这样在用户随意浏览到被挂马的网站时,这类病毒就堂而皇之的进到内网PC中烧香了。在接着的局域网内的传播及移动存储设备的传播中,由于不通过路由器、硬件防火墙,因此路由器、硬件防火墙也不可能进行有效的防御。某些高级防火墙带有一定的应用层过滤的机制,例如:核过滤、流过滤等,但作用的力度、范围及灵活性不大,无法阻拦病毒通过被挂马网站的传播。
2)防病毒软件 & 防病毒网关
防病毒软件及网关只能根据已知的病毒特征码进行过滤,在新病毒放出和防病毒软件、网关得到该病毒的特征码之间有一个时间窗口。在熊猫烧香这个案例中,对防病毒软件公司心怀不满的“武汉男孩”李俊就是利用这一点,通过出售病毒源代码的形式,组织起了一个几十人甚至上百人的攻击团队(商业化运作,但绝不只是为了钱),长时间快速地发布新的变种病毒,导致各防病毒软件及专杀工具跟不上其更新的脚步。有时候,虚假的安全比没有安全还坏事,在这起事件中,各防病毒软件公司的形象大打折扣,连中央电视台的专题节目都认为“防病毒不能只靠防病毒软件公司的工程师”。当然,这也促使那些认为安装了防病毒软件、网关并及时更新特征码就可以高枕无忧的IT管理人员警醒:防病毒不能完全依靠防病毒软件、网关!
一个极端的说法是:安装了防病毒软件仍感染病毒的人,人品有问题。^_^
一个可笑且无奈的现象是:防病毒软件的销量在此事件后翻了一翻——不买肯定不行,买了却不一定行。(黑色幽默)
3)入侵检测(IDS)& 入侵阻拦(IPS)
由于大部分的入侵检测系统是依靠特征码进行的,因此,入侵检测也与防病毒一样,在特征码的更新上落后于新病毒变种,只能起到亡羊补牢的作用。加上其造价昂贵,一般只用于保护服务器,即外网(非信任域)->DMZ/内网(信任域)方向的防护,一般不用于内网(信任域)->外网(非信任域)方向的保护。同时,若没有入侵阻拦(IPS)或防火墙联动的帮忙,即使IDS检测到了病毒,也不能阻止其泛滥,这又加重了企业的负担。因此,IDS作为审计工具是合适的,但作为防御熊猫烧香这类突发性、传染性病毒的工具还不十分合适。
4)VPN & SSL VPN
VPN或者SSL VPN只是在第2、3、4层上建立了一个加密隧道,并没有检测应用层的内容,因此,熊猫烧香病毒仍可以顺着建立好的VPN隧道进入对方网络。某些有NAC检测功能的VPN客户端倒是可以发现中毒的PC不符合安全标准,如没有运行防病毒软件(被熊猫烧香病毒杀掉了),进而阻止该PC连入VPN网络,但熊猫烧香病毒发作的现象是如此的明显,感染该病毒的用户肯定不会在未杀毒之前连接公司VPN网络,因此,NAC也没有用武之时。
5)VLAN
如果接入交换机上对每一端口均进行了隔离,那么熊猫烧香病毒在局域网内就不会大面积传播。但是,实际情况是大部分的单位均以部门为单位进行划分,因此,本部门中一台机器中了毒,整个部门就存在被感染的风险,除非每台机器都装了个人防火墙。
6)内网安全管理系统
一个被众多内网安全厂商强调的说法是:“70~85%的安全事件来自内部”,可是每年发生的大规模安全事件的源头偏偏是来自外部的病毒。因此,安装了此类系统的单位的员工既要受内部的监控(攘外必先安内^_^),又要受来自外部病毒、木马的威胁,自由和安全两者皆不可得。
真正的解决之道在哪里呢?
防病毒软件公司推荐的各种针对个人的加强防范的措施固然好,但并不是每个人都会实施。个别厂家用旧瓶灌新酒,推防病毒网关或邮件网关等单一威胁管理系统(STM),其实是盲人摸象,以偏概全。既然熊猫烧香病毒跟大家玩综合实力,那么我们就不应该偏科,也应该用综合实力强的方案和产品打败它,黑客技术在发展,传统的安全防护观念也必须与时俱进!
优强UTM拥有12项世界级的顶尖技术,可以不依靠更新病毒特征码来防御熊猫烧香病毒通过被挂马网站的传播和局域网内的传播,真正做到“一劳永逸”,在对付这类零日攻击上,UTM 2.0技高一筹!
参考文献:
1)熊猫烧香简单说之作恶手段:
http://www.ljack.com.cn/post/242.html