使用 Cisco Secure IDS/NetRanger 自定义字符串匹配签名抵御“红色代码”蠕虫在 IIS 4.0 和 5.0 Microsoft Index Server ISAPI Extension 中导致的远程缓冲溢出
简介
截至2003年7月底,Computer Economics(加利福尼亚州卡尔斯巴德的一家独立研究机构)估计,“红色代码”蠕虫病毒已使公司从网络损坏和生产力损失中损失12亿美元(美国)。这一估计值在随后发布的“红色代码II”蠕虫病毒中显著上升。思科安全入侵检测系统(IDS)是Cisco SAFE蓝图的关键组件,已经证明其在检测和缓解网络安全风险(包括“红色代码”蠕虫)方面的价值。
本文档介绍用于检测“红色代码”蠕虫利用方法的软件更新(请参阅下面的签名2)。
您可以创建如下所示的自定义字符串匹配签名,以捕获运行Microsoft Windows NT和Internet Information Services (IIS) 4.0或Windows 2000和IIS 5.0的Web服务器的缓冲区溢出漏洞。另请注意,Windows XP beta版中的索引服务也存在漏洞。描述此漏洞的安全建议位于http://www.eeye.com/html/Research/Advisories/AD20010618.html 
。Microsoft针对此漏洞发布了可在http://www.microsoft.com/technet/security/bulletin/MS01-033.mspx 上下载的修补程序。
本文档中讨论的签名在签名更新版本S(5)中提供。Cisco Systems建议在执行此特征码之前,将传感器升级到2.2.1.8或2.5(1)S3特征码更新。注册用户可从Cisco安全软件中心下载这些签名更新。所有用户都可以通过Cisco全球联系人以电子邮件和电话方式与Cisco技术支持联系。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于以下软件版本:
-
Microsoft Windows NT和IIS 4.0
-
Microsoft Windows 2000和IIS 5.0
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
规则
有关文件规则的更多信息请参见“ Cisco技术提示规则”。
自定义字符串匹配签名
有两个特定的自定义字符串匹配签名可以解决此问题。下面将介绍每个签名,并提供适用的产品设置。
签名1 —尝试利用索引服务器访问
此签名在索引服务器ISAPI扩展上尝试缓冲区溢出时触发,同时尝试将shell代码传递给服务器以获得原始代码形式的特权访问。该签名仅在尝试向目标服务传递外壳代码以尝试获得完全系统级访问权限时触发。一个可能的问题是,如果攻击者不尝试传递任何外壳代码,而只是对服务运行缓冲区溢出,试图使IIS崩溃并造成拒绝服务,则不会触发此签名。
字符串
[Gg][Ee][Tt].*[.][Ii][Dd][Aa][\x00-\x7f]+[\x80-\xff]
产品设置
-
发生次数:1
-
端口:80
注意:如果Web服务器在其他TCP端口(例如8080)上侦听,则需要为每个端口号创建单独的自定义字符串匹配。
-
建议的警报严重性级别:
-
高(Cisco Secure Policy Manager)
-
5 (Unix导向器)
-
-
方向:
到
签名2 — Index Server访问缓冲区溢出“红色代码”蠕虫
第二个签名在索引服务器ISAPI扩展上尝试缓冲区溢出时触发,同时尝试向服务器传递shell代码,以获取“红色代码”蠕虫使用的模糊形式的特权访问。此签名仅在尝试向目标服务传递外壳代码以尝试获得完全系统级访问权限时触发。一个可能的问题是,如果攻击者不尝试传递任何外壳代码,而只是对服务运行缓冲区溢出,试图使IIS崩溃并造成拒绝服务,则不会触发此签名。
字符串
[/]default[.]ida[?][a-zA-Z0-9]+%u
注意:上述字符串中没有空格。
产品设置
-
发生次数:1
-
端口:80
注意:如果Web服务器在其他TCP端口(例如8080)上侦听,则需要为每个端口号创建单独的自定义字符串匹配。
-
建议的警报严重性级别:
-
高(Cisco Secure Policy Manager)
-
5 (Unix导向器)
-
-
方向:
到
有关Cisco Secure IDS的详细信息,请参阅Cisco安全入侵检测。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
10-Dec-2001 |
初始版本 |
反馈