Cisco Secure IDS가 Nimda 바이러스에 대응하는 방법

다운로드 옵션

PDF (111.5 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (83.0 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (67.2 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2006년 1월 19일

문서 ID:13871

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 Cisco IDS(Secure Intrusion Detection System)가 Nimda(개념 바이러스)에 의한 공격을 식별하고 차단하는 방법을 설명합니다. 이 지렁이의 복잡한 기술적 활동은 이 게시판의 범위를 벗어나서 다른 곳에서 잘 기록되어 있다.Nimda worm에 대한 가장 좋은 기술 설명 중 하나는 CERT® Advisory CA-2001-26 Nimda Worm에서 찾을 수 있습니다 .

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

배경 정보

님다벌레는 잡종이며 인터넷에서 공격적으로 퍼지고 있습니다.Nimda와 Cisco IDS의 확산 차단 기능을 이해하려면 다음 두 용어를 정의해야 합니다.

Worm은 사람의 개입 없이 자동으로 전파되는 악성 코드를 말합니다.
바이러스는 전자 메일을 열거나, 감염된 웹 사이트를 탐색하거나, 감염된 파일을 수동으로 실행하는 등 사람의 개입을 통해 전파되는 악성 코드를 말합니다.

님다벌레는 사실 지렁이와 바이러스의 특성을 모두 나타내는 하이브리드입니다.Nimda는 다양한 방식으로 감염되며, 대부분 사람의 개입이 필요합니다.Cisco IDS Host Sensor는 Microsoft의 IIS(Internet Information Server)의 취약성을 통해 확산되는 벌레와 같은 감염 방법을 차단합니다. Cisco IDS는 이메일 첨부 파일을 열거나 감염된 웹 사이트를 찾아보거나 감염된 파일을 수동으로 실행하는 경우와 같이 바이러스와 유사한 수동 감염 방법을 차단하지 않습니다.

Nimda로부터 보호하는 Cisco IDS 호스트 센서

Cisco IDS Host Sensor는 Nimda worm에서 사용되는 디렉토리 접근 공격을 방지합니다.WORM이 Cisco IDS로 보호되는 웹 서버를 감염하려고 하면 공격이 실패하고 서버가 감염되지 않습니다.

이러한 Cisco IDS 호스트 센서 규칙은 Nimda Worm의 성공을 방지합니다.

IIS 디렉터리 통과(4개의 규칙)
IIS 디렉터리 접근 및 코드 실행(규칙 4개)
IIS 이중 16진수 인코딩 디렉터리 통과(4개의 규칙)

또한 Cisco IDS Host Sensor는 웹 콘텐츠에 대한 무단 변경으로부터 보호하므로, WORM이 웹 페이지를 변경하여 다른 서버로 확산시키는 것을 허용하지 않습니다.

Cisco IDS는 표준 보안 모범 사례를 준수하여 Nimda로부터 웹 서버를 보호합니다.이러한 모범 사례는 전자 메일을 읽거나 프로덕션 웹 서버에서 웹 검색을 수행하지 않으며, 서버에 네트워크 공유가 열려 있지 않아야 합니다.Cisco IDS Host Sensor는 HTTP 및 IIS 익스플로잇을 통해 웹 서버가 손상되는 것을 방지합니다.앞서 언급한 모범 사례에서는 Nimda의 지렁이(Nimda) 가 어떤 수동 방법으로 웹 서버에 도달하지 않도록 합니다.

Nimda를 식별하는 Cisco IDS Network Sensor

Cisco IDS Network Sensor는 Nimda Worm에서 사용되는 웹 애플리케이션 공격을 식별합니다.네트워크 센서는 공격을 식별하고 영향받거나 손상된 호스트에 대한 세부 정보를 제공하여 Nimda 감염을 격리할 수 있습니다.

다음 Cisco IDS Network Sensor 알람이 발생합니다.

WWW WinNT cmd.exe 액세스(SigID 5081)
IIS CGI 이중 디코드(SigID 5124)
WWW IIS 유니코드 공격(SigID 5114)
IIS 점 실행 공격(SigID 3215)
IIS 점 충돌 공격(SigID 3216)

운영자는 이름으로 Nimda를 식별하는 경보를 볼 수 없습니다.이들은 Nimda가 다른 익스플로잇을 시도하여 표적을 공격한다고 알려진 일련의 경보를 봅니다.경보는 보안이 침해된 호스트의 소스 주소를 식별하며, 이를 네트워크에서 격리하고, 정리하여 패치해야 합니다.

권장 행동 과정

님다 지렁이로부터 보호하려면 다음 단계를 수행하십시오.

Microsoft에서 사용할 수 있는 Microsoft Outlook, Outlook Express, Internet Explorer 및 IIS에 대한 최신 업데이트를 적용합니다 .
바이러스 확산을 완화하기 위해 최신 패치로 바이러스 검사 소프트웨어를 업데이트합니다.

참고: 최신 바이러스 패치를 다운로드하여 PC를 감염으로부터 보호할 수 있습니다.PC가 이미 감염된 경우 이 바이러스 패치를 사용하면 PC의 하드 드라이브를 수동으로 스캔하고 컴퓨터에서 감염을 치료할 수 있습니다.
Cisco IDS를 구축하여 위협 완화, 감염 억제, 서버 보호