Este documento descreve maneiras de minimizar o impacto do worm Nimda na rede. Este documento aborda dois tópicos:
A rede está infectada, o que pode ser feito? Como você pode minimizar os danos e as consequências?
A rede ainda não está infectada ou está apenas parcialmente infectada. O que pode ser feito para minimizar a disseminação desse worm?
Não existem requisitos específicos para este documento.
Este documento não se restringe a versões de software e hardware específicas.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.
Para obter informações básicas sobre o worm Nimda, consulte estes links:
A solução de reconhecimento de aplicativos baseados em rede (NBAR) descrita neste documento requer o recurso de marcação baseada em classe no software Cisco IOS®. Especificamente, a capacidade de corresponder em uma parte de um URL de HTTP usa o recurso de classificação de subporta HTTP dentro do NBAR. As plataformas suportadas e os requisitos mínimos do Cisco IOS Software estão resumidos a seguir:
Platform | Versão mínima do Cisco IOS Software |
---|---|
7200 | 12.1(5)T |
7100 | 12.1(5)T |
3660 | 12.1(5)T |
3640 | 12.1(5)T |
3620 | 12.1(5)T |
2600 | 12.1(5)T |
1700 | 12.2(5)T |
Observação: você precisa habilitar o Cisco Express Forwarding (CEF) para usar o Network-Based Application Recognition (NBAR).
O NBAR também é suportado em algumas plataformas do software Cisco IOS a partir da versão 12.1E. Consulte "Protocolos suportados" na documentação de reconhecimento de aplicativos baseados em rede.
A marcação baseada em classe e o NBAR distribuído (DNBAR) também estão disponíveis nas seguintes plataformas:
Platform | Versão mínima do Cisco IOS Software |
---|---|
7500 | 12.1(6)E |
FlexWAN | 12.1(6)E |
Se você estiver implantando o NBAR, esteja ciente do bug da Cisco ID CSCdv06207 (somente clientes registrados) . A solução alternativa descrita em CSCdv06207 talvez seja necessária se você encontrar este defeito.
A solução Access Control List (ACL) é suportada em todas as versões atuais do software Cisco IOS.
Para soluções em que você precisa usar a interface de linha de comando (CLI) de Qualidade de Serviço (QoS - Modular Quality of Service) (como para o tráfego ARP de limitação de taxa ou para implementar a limitação de taxa com vigilante em vez de CAR), você precisa da Interface de Linha de Comando de Qualidade de Serviço Modular que está disponível nas versões 12.0XE, 12.1E, 12.1T do software Cisco IOS e em todas as versões 12.2.
Para usar a Taxa de Acesso Comprometida (CAR - Committed Access Rate), você precisa do software Cisco IOS versão 11.1CC e todas as versões do software 12.0 e posteriores.
Esta seção descreve os vetores de infecção que podem espalhar o vírus Nimda e fornece dicas para reduzir a propagação do vírus:
O worm pode se espalhar através de anexos de e-mail do tipo MIME audio/x-wav.
Dicas:
Adicione regras ao seu servidor SMTP (Simple Mail Transfer Protocol) para bloquear qualquer email que tenha estes anexos:
readme.exe
Admin.dll
O worm pode se espalhar quando você navega por um servidor Web infectado com a execução de Javascript ativada e usando uma versão do Internet Explorer (IE) que é vulnerável às explorações discutidas no MS01-020 (por exemplo, IE 5.0 ou IE 5.01 sem SP2).
Dicas:
Use o Netscape como navegador, desative o Javascript no IE ou faça com que o IE seja corrigido para o SP II.
Utilize o NBAR (Reconhecimento de aplicativo baseado em rede) da Cisco para filtrar os arquivos readme.eml a serem baixados. Aqui está um exemplo para configurar o NBAR:
Router(config)#class-map match-any http-hacks Router(config-cmap)#match protocol http url "*readme.eml*"
Após comparar o tráfego, você pode optar por descartar ou roteá-lo com base em política, para monitorar os hosts infectados. Exemplos da implementação completa podem ser encontrados em Uso do reconhecimento de aplicativos baseados em rede e listas de controle de acesso para bloquear o worm "Código vermelho".
O worm pode se espalhar de máquina para máquina na forma de ataques do IIS (ele tenta principalmente explorar vulnerabilidades criadas pelos efeitos do Code Red II, mas também vulnerabilidades anteriormente corrigidas pelo MS00-078 ).
Dicas:
Use os esquemas de código vermelho descritos em:
Lidando com mallocfail e utilização elevada de CPU, resultante do worm "código vermelho”
Router(config)#class-map match-any http-hacks Router(config-cmap)#match protocol http url "*.ida*" Router(config-cmap)#match protocol http url "*cmd.exe*" Router(config-cmap)#match protocol http url "*root.exe*" Router(config-cmap)#match protocol http url "*readme.eml*"
Após comparar o tráfego, você pode optar por descartar ou roteá-lo com base em política, para monitorar os hosts infectados. Exemplos da implementação completa podem ser encontrados em Uso do reconhecimento de aplicativos baseados em rede e listas de controle de acesso para bloquear o worm "Código vermelho".
Pacotes SYN (sincronizar/iniciar) de TCP de limite de taxa. Isso não protege um host, mas permite que sua rede seja executada de maneira degradada e permaneça ativa. Ao limitar a taxa de SYNs, você está descartando pacotes que excedem uma determinada taxa, de modo que algumas conexões TCP passarão, mas não todas. Para obter exemplos de configuração, consulte a seção "Limitação de taxa para pacotes TCP SYN" de Uso de CAR durante ataques DOS.
Considere o limite de taxa do tráfego ARP (Address Resolution Protocol) se a quantidade de varreduras ARP estiver causando problemas na rede. Para limitar a taxa de tráfego ARP, configure o seguinte:
class-map match-any arp match protocol arp ! ! policy-map ratelimitarp class arp police 8000 1500 1500 conform-action transmit exceed-action drop violate-action drop
Em seguida, essa política precisa ser aplicada à interface LAN relevante como uma política de saída. Modifique as figuras conforme apropriado para atender ao número de ARPs por segundo que você deseja permitir na rede.
O worm pode se espalhar destacando um .eml ou .nws no Explorer com o Ative Desktop ativado (W2K/ME/W98 por padrão). Isso faz com que a THUMBVW.DLL execute o arquivo e tente carregar o README.EML relacionado nele (dependendo de sua versão do IE e configurações de zona).
Dica: como recomendado acima, use o NBAR para filtrar o arquivo readme.eml para que não seja baixado.
O worm pode se difundir em unidades mapeadas. Qualquer máquina infectada que tenha unidades de rede mapeadas provavelmente infectará todos os arquivos na unidade mapeada e em seus subdiretórios
Dicas:
Bloqueie o TFTP (Trivial File Transfer Protocol) (porta 69) para que as máquinas infectadas não possam usar o TFTP para transferir arquivos para hosts não infectados. Certifique-se de que o acesso TFTP para roteadores ainda esteja disponível (pois você pode precisar do caminho para atualizar o código). Se o roteador estiver executando o software Cisco IOS versão 12.0 ou posterior, você sempre terá a opção de usar o FTP (File Transfer Protocol) para transferir imagens para roteadores que executam o software Cisco IOS.
Bloquear NetBIOS. O NetBIOS não deve ter que sair de uma rede local (LAN). Os provedores de serviços devem filtrar a saída de NetBIOS, bloqueando as portas 137, 138, 139 e 445.
O worm utiliza seu próprio mecanismo de SMTP para enviar e-mails e infectar outros sistemas.
Dica: bloqueie a porta 25 (SMTP) nas partes internas da rede. Os usuários que estão recuperando seus e-mails usando o protocolo POP 3 (porta 110) ou o protocolo IMAP (Internet Mail Access Protocol) (porta 143) não precisam acessar a porta 25. Permita apenas que a porta 25 seja aberta voltada para o servidor SMTP da rede. Isso pode não ser viável para usuários que usam Eudora, Netscape e Outlook Express, entre outros, pois eles têm seu próprio mecanismo SMTP e gerarão conexões de saída usando a porta 25. Pode ser necessário aplicar alguma investigação aos possíveis usos de servidores proxy ou algum outro mecanismo.
Limpar servidores Cisco CallManager/aplicativos
Dica: os usuários com Call Managers e servidores de aplicativos Call Manager em suas redes devem fazer o seguinte para interromper a propagação do vírus. Eles não devem navegar até a máquina infectada a partir do Call Manager e também não devem compartilhar nenhuma unidade no servidor do Call Manager. Siga as instruções fornecidas em Limpeza do vírus Nimda do Cisco CallManager 3.x e dos servidores de aplicativos do CallManager para a limpeza do vírus Nimda.
Filtre o vírus Nimda no CSS 11000
Dica: os usuários com CSS 11000 devem seguir as instruções fornecidas em Filtrando o vírus Nimda no CSS 11000 para limpar o vírus NIMDA.
Resposta do Cisco Secure Intrusion Detection System (CS IDS) ao vírus Nimda
Dica: o CS IDS tem dois componentes diferentes disponíveis. Um é o IDS baseado em host (HIDS) que tem um sensor de host e o IDS baseado em rede (NIDS) que tem um sensor de rede, ambos respondendo de maneira diferente ao vírus Nimda. Para obter uma explicação mais detalhada e o procedimento recomendado, consulte Como o Cisco Secure IDS responde ao vírus Nimda.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
24-Sep-2001
|
Versão inicial |