截至2003年7月底,Computer Economics(加利福尼亞州卡爾斯巴德的一個獨立研究機構)估計,「紅色代碼」蠕蟲已使公司從網路損壞和生產力損失中損失了12億美元(美國)。隨著更強大的「紅色代碼II」蠕蟲的後續釋放,這一估計值顯著增加。Cisco Secure Intrusion Detection System (IDS)是Cisco SAFE藍圖的關鍵元件,已證明其在檢測和緩解網路安全風險(包括「紅色代碼」蠕蟲)方面的價值。
本文檔介紹用於檢測「紅色代碼」蠕蟲使用的攻擊方法的軟體更新(請參閱下面簽名2)。
您可以建立如下所示的自定義字串匹配簽名,以捕獲運行Microsoft Windows NT和Internet Information Services (IIS) 4.0或Windows 2000和IIS 5.0的Web伺服器的緩衝區溢位漏洞。另請注意,Windows XP beta版中的索引服務也存在漏洞。描述此漏洞的安全建議位於http://www.eeye.com/html/Research/Advisories/AD20010618.html 。Microsoft已發佈此漏洞的修補程式,可以從http://www.microsoft.com/technet/security/bulletin/MS01-033.mspx 下載。
本文檔中討論的簽名在簽名更新版本S(5)中提供。Cisco Systems建議在執行此特徵碼之前,先將感測器升級到2.2.1.8或2.5(1)S3特徵碼更新。註冊使用者可從Cisco Secure軟體中心下載這些簽名更新。所有使用者都可以透過Cisco全球聯絡人以電子郵件和電話方式與Cisco技術支援聯絡。
本文件沒有特定需求。
本文檔中的資訊基於以下軟體版本:
Microsoft Windows NT和IIS 4.0
Microsoft Windows 2000和IIS 5.0
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
有兩個特定的自訂字串比對簽章可以解決這個問題。每個簽名說明如下,並提供適用的產品設定。
此簽章會在索引伺服器ISAPI擴充程式上嘗試的緩衝區溢位,同時嘗試將shell程式碼傳遞至伺服器,以取得原始程式碼形式的特權存取。只有在嘗試將Shell程式碼傳遞至目標服務以嘗試取得完整的系統層級存取權時,才會觸發籤章。一個可能的問題是,如果攻擊者不嘗試傳遞任何shell代碼,而只是對服務運行緩衝區溢位以嘗試使IIS崩潰並建立拒絕服務,則不會觸發此簽名。
[Gg][Ee][Tt].*[.][Ii][Dd][Aa][\x00-\x7f]+[\x80-\xff]
出現次數:1
連線埠:80
注意:如果您有在其他TCP埠(例如8080)上偵聽的Web伺服器,則需要為每個埠號建立單獨的自定義字串匹配。
建議的警報嚴重性級別:
高(Cisco Secure Policy Manager)
5 (Unix Director)
方向:
變更為
第二個簽名在索引伺服器ISAPI擴展上嘗試緩衝區溢位時觸發,同時嘗試將shell代碼傳遞給伺服器,以便以「紅色代碼」蠕蟲使用的模糊形式獲得特權訪問。此簽章僅會在嘗試將Shell程式碼傳遞至目標服務以嘗試取得完整的系統層級存取時觸發。一個可能的問題是,如果攻擊者不嘗試傳遞任何shell代碼,而只是對服務運行緩衝區溢位以嘗試使IIS崩潰並建立拒絕服務,則不會觸發此簽名。
[/]default[.]ida[?][a-zA-Z0-9]+%u
注意:上述字串中沒有空格。
出現次數:1
連線埠:80
注意:如果您有在其他TCP埠(例如8080)上偵聽的Web伺服器,則需要為每個埠號建立單獨的自定義字串匹配。
建議的警報嚴重性級別:
高(Cisco Secure Policy Manager)
5 (Unix Director)
方向:
變更為
有關Cisco Secure IDS的詳細資訊,請參閱Cisco Secure Intrusion Detection。
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
10-Dec-2001 |
初始版本 |