In diesem Dokument wird erläutert, wie das Cisco Secure Intrusion Detection System (IDS) Angriffe durch den Nimda-Wurm (auch Concept-Virus genannt) erkennt und verhindert. Die komplexen technischen Arbeiten des Wurms gehen über den Rahmen dieses Bulletin hinaus und sind an anderer Stelle gut dokumentiert. Eine der besten technischen Beschreibungen des Nimda-Wurms finden Sie im CERT® Advisory CA-2001-26 Nimda-Wurm .
Für dieses Dokument bestehen keine speziellen Anforderungen.
Dieses Dokument ist nicht auf bestimmte Software- und Hardwareversionen beschränkt.
Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions.
Der Nimda-Wurm ist ein hybrider Wurm und Virus, der sich aggressiv im Internet ausbreitet. Um Nimda und die Möglichkeiten von Cisco IDS zur Eindämmung seiner Ausbreitung zu verstehen, müssen folgende Begriffe definiert werden:
Wurm bezieht sich auf bösartigen Code, der sich automatisch und ohne menschliches Eingreifen verbreitet.
Virus bezieht sich auf bösartigen Code, der sich über eine Art menschlicher Intervention verbreitet, z. B. wenn Sie eine E-Mail öffnen, eine infizierte Website durchsuchen oder eine infizierte Datei manuell ausführen.
Der Nimda-Wurm ist eigentlich eine Hybride, die Merkmale eines Wurms und eines Virus aufweist. Nimda infiziert sich auf verschiedene Weise, von denen die meisten menschliche Eingriffe erfordern. Cisco IDS Host Sensor blockiert Wurm-ähnliche Infektionsmethoden, die sich über Schwachstellen im Internet Information Server (IIS) von Microsoft verbreiten. Cisco IDS blockiert keine virusähnlichen, manuellen Infektionsmethoden, wie z. B. beim Öffnen einer E-Mail-Anlage, beim Durchsuchen einer infizierten Website oder beim manuellen Ausführen einer infizierten Datei.
Cisco IDS Host Sensor verhindert Directory-Traversal-Angriffe, darunter auch die vom Nimda-Wurm verwendeten. Wenn der Wurm versucht, einen Cisco IDS-geschützten Webserver zu kompromittieren, schlägt der Angriff fehl und der Server ist nicht kompromittiert.
Diese Cisco IDS Host Sensor-Regeln verhindern den Erfolg des Nimda-Wurms:
IIS Directory Traversal (vier Regeln)
IIS Directory Traversal und Code Execution (vier Regeln)
IIS Double Hex Encoding Directory Traversal (vier Regeln)
Cisco IDS Host Sensor schützt auch vor nicht autorisierten Änderungen an Webinhalten, sodass der Wurm keine Webseiten verändern kann, um sich auf andere Server auszubreiten.
Cisco IDS befolgt Best Practices für Standardsicherheit zum Schutz von Webservern vor Nimda. Diese Best Practices schreiben vor, keine E-Mails zu lesen oder das Internet von einem Produktions-Webserver aus zu durchsuchen und keine Netzwerkfreigaben auf einem Server freizugeben. Cisco IDS Host Sensor verhindert, dass der Webserver durch HTTP- und IIS-Exploits kompromittiert wird. Die oben genannten Best Practices stellen sicher, dass der Nimda-Wurm nicht manuell auf dem Webserver ankommt.
Cisco IDS Network Sensor identifiziert Angriffe auf Web-Anwendungen, darunter auch die vom Nimda-Wurm verwendeten. Der Netzwerksensor ist in der Lage, Angriffe zu identifizieren und Details über die betroffenen oder kompromittierten Hosts bereitzustellen, um die Nimda-Infektion zu isolieren.
Diese Cisco IDS Network Sensor-Alarme werden ausgelöst:
WWW WinNT cmd.exe-Zugriff (SigID 5081)
IIS CGI Double Decode (SigID 5124)
WWW IIS Unicode Attack (SigID 5114)
IIS Dot Execute Attack (SigID 3215)
IIS Dot Dot Crash Attack (SigID 3216)
Operatoren sehen keinen Alarm, der Nimda anhand des Namens identifiziert. Sie sehen eine Reihe von Alarmen, die als Nimda versucht, verschiedene Exploits zu kompromittieren, um das Ziel zu gefährden. Die Alarme identifizieren die Quelladresse von Hosts, die kompromittiert wurden und vom Netzwerk isoliert, gereinigt und gepatcht werden sollten.
Befolgen Sie diese Schritte, um sich vor dem Wurm Nimda zu schützen:
Wenden Sie die neuesten Aktualisierungen für Microsoft Outlook, Outlook Express, Internet Explorer und IIS an, die von Microsoft verfügbar sind.
Aktualisieren Sie Ihre Virenscanner-Software mit dem neuesten Patch, um die Ausbreitung des Virus zu verhindern.
Hinweis: Sie können den neuesten Virenpatch herunterladen, um Ihren Computer vor einer Infektion zu schützen. Wenn Ihr PC bereits infiziert wurde, können Sie mit diesem Virenpatch die Festplatte Ihres PCs manuell scannen und die Infektion vom Computer entfernen.
Bereitstellung von Cisco IDS zur Eindämmung von Bedrohungen, Eindämmung von Infektionen und zum Schutz der Server