Nimda 바이러스로부터 네트워크를 보호하는 방법

소개

이 문서에서는 Nimda 웜이 네트워크에 미치는 영향을 최소화하는 방법에 대해 설명합니다. 이 문서에서는 두 가지 주제를 다룹니다.

• 네트워크가 감염되었습니다. 어떻게 해야 합니까? 어떻게 하면 피해와 여파를 최소화할 수 있을까요?

• 네트워크가 아직 감염되지 않았거나 부분적으로만 감염되었습니다. 이 벌레의 확산을 최소화하기 위해 무엇을 할 수 있을까요?

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

배경 정보

Nimda 웜에 대한 배경 정보는 다음 링크를 참조하십시오.

• http://www.cert.org/body/advisories/CA200126_FA200126.html

• http://vil.nai.com/vil/content/v_99209.htm

• http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html

지원되는 플랫폼

이 문서에 설명된 NBAR(Network-based application recognition) 솔루션에는 Cisco IOS® 소프트웨어 내에서 클래스 기반 마킹 기능이 필요합니다. 특히, HTTP URL의 모든 부분에 대해 매칭하는 기능은 NBAR 내에서 HTTP 하위 포트 분류 기능을 사용합니다. 지원되는 플랫폼 및 최소 Cisco IOS 소프트웨어 요구 사항은 아래에 요약되어 있습니다.

참고: NBAR(Network-Based Application Recognition)를 사용하려면 CEF(Cisco Express Forwarding)를 활성화해야 합니다.

NBAR는 릴리스 12.1E부터 일부 Cisco IOS 소프트웨어 플랫폼에서도 지원됩니다. 네트워크 기반 애플리케이션 인식 문서의 "지원되는 프로토콜"을 참조하십시오.

클래스 기반 표시 및 DNBAR(Distributed NBAR)도 다음 플랫폼에서 사용할 수 있습니다.

NBAR를 구축하는 경우 Cisco 버그 ID CSCdv06207(등록된 고객만 해당)을 확인합니다. 이 결함이 발생하면 CSCdv06207에 설명된 해결 방법이 필요할 수 있습니다.

ACL(Access Control List) 솔루션은 Cisco IOS 소프트웨어의 모든 최신 릴리스에서 지원됩니다.

속도 제한 ARP 트래픽이나 CAR 대신 폴리서를 사용하여 속도 제한을 구현하는 등의 모듈식 QoS(Quality of Service) CLI(Command Line Interface)를 사용해야 하는 솔루션의 경우 Cisco IOS 소프트웨어 릴리스 12.0XE, 12.1E, 12.1T 및 12.2의 모든 릴리스에서 사용 가능한 모듈식 QoS Command Line Interface가 필요합니다.

CAR(Committed Access Rate)을 사용하려면 Cisco IOS 소프트웨어 릴리스 11.1CC와 12.0 이상 소프트웨어의 모든 릴리스가 필요합니다.

피해를 최소화하고 결과를 제한하는 방법

이 섹션에서는 님다 바이러스를 확산시킬 수 있는 감염 벡터를 간략하게 설명하고 바이러스의 확산을 줄이기 위한 팁을 제공합니다.

• 웜은 MIME 오디오/x-wav 유형의 이메일 첨부 파일을 통해 확산될 수 있습니다.

  팁:

  • SMTP(Simple Mail Transfer Protocol) 서버에 규칙을 추가하여 다음 첨부 파일이 있는 이메일을 차단합니다.

    • readme.exe

    • Admin.dll

• 웜은 Javascript 실행이 활성화되고 MS01-020(예: IE 5.0 또는 SP2가 없는 IE 5.01)에서 논의된 익스플로잇에 취약한 Internet Explorer(IE) 버전을 사용하여 감염된 웹 서버를 탐색할 때 확산될 수 있습니다.

  팁:

  • Netscape를 브라우저로 사용하거나, IE에서 Javascript를 비활성화하거나, IE를 SP II에 패치합니다.

  • Cisco NBAR(Network-based application recognition)를 사용하여 readme.eml 파일이 다운로드되는 것을 필터링합니다. 다음은 NBAR를 구성하는 예입니다.

    Router(config)#class-map match-any http-hacks 
    Router(config-cmap)#match protocol http url "*readme.eml*" 

    트래픽을 매칭한 후에는 트래픽을 폐기하거나 Policy Based Route(정책 기반 경로)하여 감염된 호스트를 모니터링하도록 선택할 수 있습니다. 전체 구현의 예는 "Code Red" 웜을 차단하기 위한 네트워크 기반 애플리케이션 인식 및 액세스 제어 목록 사용에서 확인할 수 있습니다.

• 웜은 IIS 공격의 형태로 머신에서 머신으로 확산될 수 있습니다(주로 Code Red II의 영향으로 생성된 취약점을 악용하려고 시도하지만, 이전에 MS00-078에서 패치한 취약점도 공격).

  팁:

  • 다음에 설명된 코드 레드 구성표를 사용합니다.

    "Code Red" 웜으로 인한 맬로실패 및 높은 CPU 사용률 처리

    네트워크 기반 애플리케이션 인식 및 액세스 제어 목록을 사용하여 "Code Red" 웜 차단

    Router(config)#class-map match-any http-hacks 
    Router(config-cmap)#match protocol http url "*.ida*" 
    Router(config-cmap)#match protocol http url "*cmd.exe*" 
    Router(config-cmap)#match protocol http url "*root.exe*" 
    Router(config-cmap)#match protocol http url "*readme.eml*" 

    트래픽을 매칭한 후에는 트래픽을 폐기하거나 Policy Based Route(정책 기반 경로)하여 감염된 호스트를 모니터링하도록 선택할 수 있습니다. 전체 구현의 예는 "Code Red" 웜을 차단하기 위한 네트워크 기반 애플리케이션 인식 및 액세스 제어 목록 사용에서 확인할 수 있습니다.

  • 속도 제한 TCP 동기화/시작(SYN) 패킷. 이렇게 하면 호스트를 보호하지 않지만 네트워크가 성능이 저하된 방식으로 실행되면서 작동 상태를 유지할 수 있습니다. 속도 제한 SYN을 사용하면 특정 속도를 초과하는 패킷을 버리게 되므로 일부 TCP 연결은 통과하지만 전부는 아닙니다. 컨피그레이션 예는 Using CAR During DOS Attacks(DOS 공격 중 CAR 사용)의 "Rate Limiting for TCP SYN Packets(TCP SYN 패킷에 대한 속도 제한)" 섹션을 참조하십시오.

  • ARP 스캔의 양이 네트워크에 문제를 일으키는 경우 속도 제한 ARP(Address Resolution Protocol) 트래픽을 고려하십시오. ARP 트래픽의 속도를 제한하려면 다음을 구성합니다.

    class-map match-any arp 
       match protocol arp 
    ! 
    ! 
    policy-map ratelimitarp
       class arp 
          police 8000 1500 1500 conform-action transmit exceed-action drop violate-action drop
    

    그러면 이 정책을 출력 정책으로 관련 LAN 인터페이스에 적용해야 합니다. 네트워크에서 허용할 초당 ARP 수에 맞게 그림을 적절히 수정합니다.

• 웜은 Active Desktop이 활성화된 Explorer에서 .eml 또는 .nws를 강조 표시하여 확산될 수 있습니다(기본적으로 W2K/ME/W98). 이렇게 하면 THUMBVW.DLL이 파일을 실행하고 IE 버전 및 영역 설정에 따라 README.EML을 다운로드하려고 시도합니다.

  팁: 위에서 권장한 대로 NBAR를 사용하여 다운로드되는 readme.eml을 필터링합니다.

• 웜은 매핑된 드라이브를 통해 확산될 수 있습니다. 네트워크 드라이브를 매핑한 감염된 시스템은 매핑된 드라이브 및 하위 디렉터리의 모든 파일을 감염시킬 수 있습니다

  팁:

  • 감염된 시스템에서 TFTP를 사용하여 감염되지 않은 호스트로 파일을 전송할 수 없도록 TFTP(Trivial File Transfer Protocol) 차단(포트 69) 코드를 업그레이드하기 위한 경로가 필요할 수 있으므로 라우터에 대한 TFTP 액세스를 계속 사용할 수 있는지 확인합니다. 라우터에서 Cisco IOS 소프트웨어 버전 12.0 이상을 실행 중인 경우 항상 FTP(File Transfer Protocol)를 사용하여 Cisco IOS 소프트웨어를 실행 중인 라우터로 이미지를 전송할 수 있습니다.

  • NetBIOS를 차단합니다. NetBIOS는 LAN(Local Area Network)을 떠날 필요가 없습니다. 통신 사업자는 포트 137, 138, 139, 445를 차단하여 NetBIOS를 필터링해야 합니다.

• 웜은 자체 SMTP 엔진을 사용하여 다른 시스템을 감염시키기 위해 이메일을 전송합니다.

  팁: 네트워크의 내부 부분에서 포트 25(SMTP)를 차단합니다. POP(Post Office Protocol) 3(포트 110) 또는 IMAP(Internet Mail Access Protocol)(포트 143)을 사용하여 전자 메일을 검색하는 사용자는 포트 25에 액세스할 필요가 없습니다. 네트워크의 SMTP 서버에 대해 포트 25만 열도록 허용하십시오. Eudora, Netscape 및 Outlook Express를 사용하는 사용자 중 자체 SMTP 엔진을 가지고 있고 포트 25를 사용하여 아웃바운드 연결을 생성하므로 이러한 작업은 적합하지 않을 수 있습니다. 프록시 서버 또는 기타 메커니즘의 사용 가능성에 대해 일부 조사를 적용해야 할 수 있습니다.

• Cisco CallManager/Applications 서버 정리

  팁: 네트워크에 Call Manager 및 Call Manager 애플리케이션 서버가 있는 사용자는 바이러스 확산을 막기 위해 다음을 수행해야 합니다. Call Manager에서 감염된 시스템을 찾아보거나 Call Manager 서버의 드라이브를 공유해서는 안 됩니다. Cisco CallManager 3.x 및 CallManager Applications Server에서 Cleaning Nimda Virus(Nimda 바이러스 정리)에 제공된 지침에 따라 Nimda 바이러스를 치료합니다.

• CSS에서 Nimda 바이러스를 11000

  팁: CSS 11000 사용자는 NIMDA 바이러스를 청소하기 위해 Filtering the Nimda Virus on CSS 11000에 제공된 지침을 따라야 합니다.

• Nimda Virus에 대한 Cisco CS IDS(Secure Intrusion Detection System) 응답

  팁: CS IDS에는 두 가지 다른 구성 요소를 사용할 수 있습니다. 하나는 Host Sensor가 있는 HIDS(Host-based IDS)와 Network Sensor가 있는 NIDS(Network-based IDS)로, 둘 다 Nimda 바이러스에 다른 방식으로 대응합니다. 자세한 설명 및 권장 조치 과정에 대한 내용은 Cisco Secure IDS가 Nimda Virus에 대응하는 방법을 참조하십시오.

관련 정보

• 네트워크 기반 애플리케이션 인식 및 액세스 제어 목록을 사용하여 "Code Red" 웜 차단
• "Code Red" 웜으로 인한 맬로실패 및 높은 CPU 사용률 처리
• DOS 공격 중 CAR 사용
• Cisco 보안 자문 및 공지
• 기술 지원 및 문서 − Cisco Systems