이 문서에서는 Cisco IDS(Secure Intrusion Detection System)가 Nimda(개념 바이러스)에 의한 공격을 식별하고 차단하는 방법을 설명합니다. 이 지렁이의 복잡한 기술적 활동은 이 게시판의 범위를 벗어나서 다른 곳에서 잘 기록되어 있다.Nimda worm에 대한 가장 좋은 기술 설명 중 하나는 CERT® Advisory CA-2001-26 Nimda Worm에서 찾을 수 있습니다 .
이 문서에 대한 특정 요건이 없습니다.
이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.
님다벌레는 잡종이며 인터넷에서 공격적으로 퍼지고 있습니다.Nimda와 Cisco IDS의 확산 차단 기능을 이해하려면 다음 두 용어를 정의해야 합니다.
Worm은 사람의 개입 없이 자동으로 전파되는 악성 코드를 말합니다.
바이러스는 전자 메일을 열거나, 감염된 웹 사이트를 탐색하거나, 감염된 파일을 수동으로 실행하는 등 사람의 개입을 통해 전파되는 악성 코드를 말합니다.
님다벌레는 사실 지렁이와 바이러스의 특성을 모두 나타내는 하이브리드입니다.Nimda는 다양한 방식으로 감염되며, 대부분 사람의 개입이 필요합니다.Cisco IDS Host Sensor는 Microsoft의 IIS(Internet Information Server)의 취약성을 통해 확산되는 벌레와 같은 감염 방법을 차단합니다. Cisco IDS는 이메일 첨부 파일을 열거나 감염된 웹 사이트를 찾아보거나 감염된 파일을 수동으로 실행하는 경우와 같이 바이러스와 유사한 수동 감염 방법을 차단하지 않습니다.
Cisco IDS Host Sensor는 Nimda worm에서 사용되는 디렉토리 접근 공격을 방지합니다.WORM이 Cisco IDS로 보호되는 웹 서버를 감염하려고 하면 공격이 실패하고 서버가 감염되지 않습니다.
이러한 Cisco IDS 호스트 센서 규칙은 Nimda Worm의 성공을 방지합니다.
IIS 디렉터리 통과(4개의 규칙)
IIS 디렉터리 접근 및 코드 실행(규칙 4개)
IIS 이중 16진수 인코딩 디렉터리 통과(4개의 규칙)
또한 Cisco IDS Host Sensor는 웹 콘텐츠에 대한 무단 변경으로부터 보호하므로, WORM이 웹 페이지를 변경하여 다른 서버로 확산시키는 것을 허용하지 않습니다.
Cisco IDS는 표준 보안 모범 사례를 준수하여 Nimda로부터 웹 서버를 보호합니다.이러한 모범 사례는 전자 메일을 읽거나 프로덕션 웹 서버에서 웹 검색을 수행하지 않으며, 서버에 네트워크 공유가 열려 있지 않아야 합니다.Cisco IDS Host Sensor는 HTTP 및 IIS 익스플로잇을 통해 웹 서버가 손상되는 것을 방지합니다.앞서 언급한 모범 사례에서는 Nimda의 지렁이(Nimda) 가 어떤 수동 방법으로 웹 서버에 도달하지 않도록 합니다.
Cisco IDS Network Sensor는 Nimda Worm에서 사용되는 웹 애플리케이션 공격을 식별합니다.네트워크 센서는 공격을 식별하고 영향받거나 손상된 호스트에 대한 세부 정보를 제공하여 Nimda 감염을 격리할 수 있습니다.
다음 Cisco IDS Network Sensor 알람이 발생합니다.
WWW WinNT cmd.exe 액세스(SigID 5081)
IIS CGI 이중 디코드(SigID 5124)
WWW IIS 유니코드 공격(SigID 5114)
IIS 점 실행 공격(SigID 3215)
IIS 점 충돌 공격(SigID 3216)
운영자는 이름으로 Nimda를 식별하는 경보를 볼 수 없습니다.이들은 Nimda가 다른 익스플로잇을 시도하여 표적을 공격한다고 알려진 일련의 경보를 봅니다.경보는 보안이 침해된 호스트의 소스 주소를 식별하며, 이를 네트워크에서 격리하고, 정리하여 패치해야 합니다.
님다 지렁이로부터 보호하려면 다음 단계를 수행하십시오.
Microsoft에서 사용할 수 있는 Microsoft Outlook, Outlook Express, Internet Explorer 및 IIS에 대한 최신 업데이트를 적용합니다 .
바이러스 확산을 완화하기 위해 최신 패치로 바이러스 검사 소프트웨어를 업데이트합니다.
참고: 최신 바이러스 패치를 다운로드하여 PC를 감염으로부터 보호할 수 있습니다.PC가 이미 감염된 경우 이 바이러스 패치를 사용하면 PC의 하드 드라이브를 수동으로 스캔하고 컴퓨터에서 감염을 치료할 수 있습니다.
Cisco IDS를 구축하여 위협 완화, 감염 억제, 서버 보호