この文書では、Cisco Secure Intrusion Detection System(IDS)による Nimda ワーム(コンセプト ウィルスとしても有名)の識別と、Web サーバを攻撃から守る方法について説明します。 ワームの動作に関する複雑で技術的な問題はすでにいろいろな場所で文書化されており、この文書では取り扱っていません。Nimdaワームに関する最も優れた技術説明の1つは、CERT® Advisory CA-2001-26 Nimda Wormで確認できます 。
このドキュメントに特有の要件はありません。
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
ドキュメント表記の詳細は、「シスコ テクニカル ティップスの表記法」を参照してください。
Nimdaワームは、インターネット上で積極的に広がっているハイブリッドワームとウイルスです。Nimdaとその拡散を軽減するCisco IDSの機能を理解するには、次の2つの用語を定義することが重要です。
ワームとは、人間による操作なしに自動的に拡散する悪質なコードを意味します。
ウイルスとは、電子メールを開く場合、感染したWebサイトを参照する場合、感染したファイルを手動で実行する場合など、ある種の人間の介入によって広がる悪意のあるコードのことです。
Nimda ワームは、実際にはワームとウィルスの両方の性質を持つハイブリッド型です。Nimda は複数の方法で感染しますが、多くの場合、それは人間にとよる操作を必要とします。Cisco IDS Host Sensorは、MicrosoftのInternet Information Server(IIS)の脆弱性によって広がるワームのような感染方法をブロックします。 Cisco IDSは、電子メールの添付ファイルを開く、感染したWebサイトを参照する、感染したファイルを手動で実行する場合など、ウイルスに似た手動の感染方法をブロックしません。
Cisco IDS Host Sensorは、Nimdaワームが使用するディレクトリトラバーサル攻撃を防止します。ワームがCisco IDSで保護されたWebサーバに侵入しようとすると、攻撃が失敗し、サーバが侵害されることはありません。
次のCisco IDS Host Sensorのルールにより、Nimdaワームの発生が防止されます。
IISディレクトリトラバーサル(4つのルール)
IIS ディレクトリ トラバーサルとコードの実行(4 ルール)
IIS Double Hex 符号化ディレクトリ トラバーサル(4 ルール)
Cisco IDS Host Sensorは、Webコンテンツに対する不正な変更に対しても防御するため、ワームがWebページを変更して他のサーバに広げることはできません。
Cisco IDS は、標準的なセキュリティの最良実施例に基づいて、Web サーバを Nimda から防御しています。これらのベストプラクティスは、電子メールを読み取ったり、実稼働WebサーバからWebを参照したりせず、サーバ上でネットワーク共有を開かないようにすることを指示します。Cisco IDS Host Sensorは、HTTPおよびIISの不正利用によるWebサーバの侵害を防止します。前述のベストプラクティスは、Nimdaワームが手動でWebサーバに到達しないことを保証します。
Cisco IDS Network Sensorは、Nimdaワームが使用するWebアプリケーション攻撃を特定します。Network Sensorは、攻撃を特定し、影響を受けるホストまたは侵害されたホストに関する詳細を提供して、Nimda感染を特定できます。
次のCisco IDS Network Sensorアラームが起動します。
WWW WinNT cmd.exe Access(SigID 5081)
IIS CGI Double Decode(SigID 5124)
WWW IIS Unicode Attack(SigID 5114)
IIS Dot Dot Execute Attack(SigID 3215)
IIS Dot Dot Crash Attack(SigID 3216)
オペレータには、Nimdaを名前で識別するアラームは表示されません。Nimdaが異なる攻撃を試してターゲットを攻撃すると、一連のアラームが表示されます。アラームは、侵害されたホストの送信元アドレスを特定し、ネットワークから切り離し、クリーニングし、パッチを適用する必要があります。
Nimdaワームから保護するには、次の手順を実行します。
Microsoft Outlook、Outlook Express、Internet Explorer、およびIISの最新の更新をMicrosoftから適用します 。
使用しているウィルス スキャン ソフトウェアを最新パッチでアップデートし、ウィルスの拡散を防ぎます。
注:最新のウイルスパッチをダウンロードして、PCを感染から保護できます。PCがすでに感染している場合は、このウイルスパッチを使用して、PCのハードドライブを手動でスキャンし、マシンから感染をクリーニングできます。
Cisco IDS を導入して、脅威を減らし、感染を抑え、サーバを保護してください。