网络安全产品

防御Blaster蠕虫 安全威胁防御案例分析

摘要

最近在互联网上频繁出现的“Blaster”已经成为同类蠕虫中规模最大、破坏性最强的网络攻击。本白皮书介绍了Protego Networks的MARS设备怎样在这种攻击首次出现时就及时发现并加以制止 -- 在它被识别甚至命名为“Blaster”蠕虫之前。本文逐步说明了MARS设备如何迅速地完成这种分析。

极具破坏性的蠕虫和防御的必要性

2003年8月13日,SANS NewsBites1第五卷32期上发表了下面这篇文章:

头条新闻 -- Windows蠕虫四处肆虐(2003年8月11日)

互联网风暴中心指出,一种利用了Windows RPC DCOM漏洞的蠕虫正在迅速传播。这种被称为“Blaster”或者“LovSan”的蠕虫可以感染Windows 2000和Windows XP系统,导致它们反复重启。SANS互联网风暴中心是最早发布针对这种蠕虫的警报的机构之一。截止到美国东部时间下午四点,已经有多达140万个系统遭受感染。这是“红色代码”感染的系统数量的四倍以上。

这仅仅是互联网上第一个大规模的全球性安全问题公告。对于网络安全管理人员来说,这似乎意味着他们需要不断地将大量的时间和预算用于解决相关的问题。

蠕虫的特殊性使得它成为一种尤其难以解决的问题。一旦一台网络主机“被感染” -- 例如有意或者无意地安装了破坏性的代码,该代码就会自动搜索其他任何存在漏洞的主机。任何存在这种漏洞的主机随后可能就会安装这种破坏性的代码,进而成为更多攻击的发起者。一旦企业防火墙之后的某台主机遭受感染,这些安全设备就会失去效用,因为蠕虫会传播到其他同样位于防火墙之后的主机。随着便携式计算机的普及,病毒可以轻而易举地进入一个企业网络 -- 例如将一台最近在未受保护的网络中使用过的计算机接入企业网络。

迅速为人们所熟知的Blaster蠕虫的传播尤为迅速。这表明,互联网上的很多计算机都没有安装微软公司此前发布的一个补丁2。另外一个重要的原因是这种蠕虫可以在没有相关人为干预的情况下自动传播,例如激活一个邮件附件。

要有效地处理像Blaster蠕虫这样的网络攻击涉及到很多方面。在这种攻击首次发生时(这个时间通常被称为“零日”),现有的网络安全组件 -- 例如网络入侵检测系统(NIDS)、主机入侵检测系统(HIDS)和防火墙 -- 可能无法识别攻击。很多这样的系统都依靠一个攻击特征数据库检测攻击,但是在某个新型攻击刚刚出现时,这个数据库并不能立即进行更新。这样,进入某个企业的攻击就可以在企业网络的专有侧大肆传播,导致这些安全设备无法发挥应有的作用。像Blaster这样的蠕虫的传播非常迅速,因为它们的第一个重要行动就是发现尽可能多的目标。

1 一个由SANS(系统管理、审核、网络、安全)协会发布的、著名的计算机网络安全在线期刊。SANS协会创建于1989年,是一个合作性的研究和教育组织,网址是:www.sans.org。
2 微软安全公告MS03-026, “RPC 界面中的缓冲区满溢可能会允许程序码执行 (823980)”,发布日期:2003年7月16日。

要解决制止零日攻击的难题,需要采用一种全新的网络安全管理方法。在很多安全管理人员读到上面提到的SANS报告之前,他们的网络已经遭受了破坏,需要用很多天的时间进行修复。Protego Networks提出的实时安全威胁防御(STM)3方法具有通过检测包含异常网络行为的事件发现零日攻击的功能 -- 即使该行为并不处于监控网络的安全设备的特征库中。Protego STM可以发现攻击的来源,最重要的是,它可以找出制止攻击的位置和方法。

Protego Networks STM可以检测和制止Blaster蠕虫

图1显示了Protego Networks的一个客户的网络拓扑图。主机H3感染了Blaster蠕虫代码;这可能发生在它连接互联网的过程中(可能是在用户家中);也可能发生在企业核心网络上,当它在互联网防火墙内部进行穿越防火墙的通信时。在主机H3被感染时,它开始寻求干扰网络内外的其他主机。公司互联网防火墙、核心路由器和企业核心交换机都检测到了主机H3发送的部分流量。这些流量在图1中用虚线表示。

网络拓扑和Blaster蠕虫攻击

图1. 网络拓扑和Blaster蠕虫攻击

3. Protego Networks公司白皮书“安全威胁防御:Protego Networks防御和响应系统(MARS)”

在图1显示的整个网络中,有很多遭受攻击的内部和外部主机,流量流经核心路由器、交换机和防火墙。这些位于流量传输途中,负责监控和报告包含Blaster蠕虫攻击的事件的设备可以通过设置向MARS设备提供报告。这些事件包括安全周边内部的连接和防火墙拒绝的连接。防火墙通过设置可以限制端口的对外访问权限。MARS设备随后会根据特定端口的流量的突然升高发现安全事件,并在Protego显示面板中报告这些事件,如图2所示。

因为NetFlow统计数据突然增大而导致的安全事件

图2 因为NetFlow统计数据突然增大而导致的安全事件

Protego显示面板包含了多个区域,以及多个报告和显示器,可以帮助管理人员调查和防御攻击。“端口流量突然增大”规则会导致一个被标为“严重”的安全事件。Protego显示面板的下半部分包括了图3中的主要目的地端口的时序图形,它明确显示了导致安全事件的流量突增过程。它还表明,端口135是导致流量异常增加的主要原因。

主要目的地端口

图3 主要目的地端口

通过在图2中点击显示面板的事件编号,管理员可以查看事件的细节信息,如图4所示。注意,一个源地址(这里是10.10.1.8)和一个目的地端口(这是135)4造成了大部分流量。点击“Mitigate”,就可以执行推荐的配置更改,即利用一个访问控制列表隔离攻击源,如图5所示。

4. 这种流量模式后来被发现是Blaster蠕虫的传播方式。

事件细节信息

图4 事件细节信息

防御方法说明

图5 防御方法说明

Protego还会提供上面所发现的设备的MAC地址(第二层)信息,如图6所示。IP地址本身并不足以发现特定的硬件设备,因为这些IP地址通常是通过DHCP动态获得的。第二层信息可以提供需要被隔离和删除破坏性代码的物理设备的明确身份信息。

详细的主机信息

图6 详细的主机信息

在首次收到流量突增警报的几分钟内,网络安全管理人员不仅能够迅速地获得正在进行的大规模攻击的有力证据,还能够发出准确的命令,制止攻击并防止进一步的破坏。

到目前为止获得的信息最终会被思科系统公司观察和验证,并公布在网站上5。这为制止这种攻击提供了一般性的指导。这种文档能够补充和确认Protego设备实时采取的措施。而使用下一节中介绍的先进技术能够在Blaster蠕虫在客户网络内部和之外传播之前将其制止和隔离。

5.Protego Networks设备的技术创新

如果没有Protego Networks设备中采用的一系列技术创新,上一节介绍的用于检测和制止零日攻击(例如Blaster蠕虫)的STM方法就不可能实现。这些创新包括:

  • 详细的NetSmart网络感知功能 -- 包括网络地址翻译(NAT),MAC地址的第二层信息,以及交换端口连接 -- 可以端到端地发现攻击在网络中的传播路径的所有细节信息,并全面地识别各个节点。这可以准确地在攻击发生时将其制止。
  • 拓扑显示和事件进程化TM可以显示攻击的详细过程。
  • NetFlow网络性能统计数据、网络拓扑感知和安全事件分析的结合让用户可以发现零日攻击并找出热点地区 -- 甚至在获知零日攻击的特性之前。
  • 基于进程的主动关联TM和一个功能强大的规则关联引擎可以准确地发现和制止端到端的安全事件。灵活的、可配置的规则引擎是及时识别零日攻击的关键。
  • 部署为一个专用的设备。这可以提供高性能的、可靠的运行状态,以便搜集大量的安全和网络日志,从而进行详细的分析。

高性能的、详细的网络感知能力让用户可以检测、分析和制止正在进行的攻击 -- 在其传播到整个网络和发展到无法控制的程度之前。Protego存档和报告历史事件的能力可以实现详细的证据分析,从而改进企业未来的安全措施。

联系我们