在IIS 4.0和5.0的Microsoft Index Server ISAPI擴展中使用Cisco Secure IDS/NetRanger自定義字串匹配特徵碼進行「紅色代碼」蠕蟲遠端緩衝區溢位

下載選項

  • PDF     (383.1 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (89.3 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (75.3 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2008 年 6 月 24 日
文件 ID:13870

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

截至2003年7月底,Computer Economics(加利福尼亞州卡爾斯巴德的一個獨立研究機構)估計,「紅色代碼」蠕蟲已使公司從網路損壞和生產力損失中損失了12億美元(美國)。隨著更強大的「紅色代碼II」蠕蟲的後續釋放,這一估計值顯著增加。Cisco Secure Intrusion Detection System (IDS)是Cisco SAFE藍圖的關鍵元件,已證明其在檢測和緩解網路安全風險(包括「紅色代碼」蠕蟲)方面的價值。

本文檔介紹用於檢測「紅色代碼」蠕蟲使用的攻擊方法的軟體更新(請參閱下面簽名2)。

您可以建立如下所示的自定義字串匹配簽名,以捕獲運行Microsoft Windows NT和Internet Information Services (IIS) 4.0或Windows 2000和IIS 5.0的Web伺服器的緩衝區溢位漏洞。另請注意,Windows XP beta版中的索引服務也存在漏洞。描述此漏洞的安全建議位於http://www.eeye.com/html/Research/Advisories/AD20010618.html icon_popup_short.gif。Microsoft已發佈此漏洞的修補程式,可以從http://www.microsoft.com/technet/security/bulletin/MS01-033.mspx icon_popup_short.gif下載。

本文檔中討論的簽名在簽名更新版本S(5)中提供。Cisco Systems建議在執行此特徵碼之前,先將感測器升級到2.2.1.8或2.5(1)S3特徵碼更新。註冊使用者可從Cisco Secure軟體中心下載這些簽名更新。所有使用者都可以透過Cisco全球聯絡人以電子郵件和電話方式與Cisco技術支援聯絡。

必要條件

需求

本文件沒有特定需求。

採用元件

本文檔中的資訊基於以下軟體版本:

  • Microsoft Windows NT和IIS 4.0

  • Microsoft Windows 2000和IIS 5.0

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。

慣例

如需文件慣例的詳細資訊,請參閱思科技術提示慣例

自定義字串匹配簽名

有兩個特定的自訂字串比對簽章可以解決這個問題。每個簽名說明如下,並提供適用的產品設定。

簽名1 —嘗試利用的Index Server訪問

此簽章會在索引伺服器ISAPI擴充程式上嘗試的緩衝區溢位,同時嘗試將shell程式碼傳遞至伺服器,以取得原始程式碼形式的特權存取。只有在嘗試將Shell程式碼傳遞至目標服務以嘗試取得完整的系統層級存取權時,才會觸發籤章。一個可能的問題是,如果攻擊者不嘗試傳遞任何shell代碼,而只是對服務運行緩衝區溢位以嘗試使IIS崩潰並建立拒絕服務,則不會觸發此簽名。

字串 

[Gg][Ee][Tt].*[.][Ii][Dd][Aa][\x00-\x7f]+[\x80-\xff]

產品設定

  • 出現次數:1

  • 連線埠:80

注意:如果您有在其他TCP埠(例如8080)上偵聽的Web伺服器,則需要為每個埠號建立單獨的自定義字串匹配。

  • 建議的警報嚴重性級別:

    • 高(Cisco Secure Policy Manager)

    • 5 (Unix Director)

  • 方向:

                  變更為

簽名2 — Index Server訪問緩衝區溢位「紅色代碼」蠕蟲

第二個簽名在索引伺服器ISAPI擴展上嘗試緩衝區溢位時觸發,同時嘗試將shell代碼傳遞給伺服器,以便以「紅色代碼」蠕蟲使用的模糊形式獲得特權訪問。此簽章僅會在嘗試將Shell程式碼傳遞至目標服務以嘗試取得完整的系統層級存取時觸發。一個可能的問題是,如果攻擊者不嘗試傳遞任何shell代碼,而只是對服務運行緩衝區溢位以嘗試使IIS崩潰並建立拒絕服務,則不會觸發此簽名。

字串 

[/]default[.]ida[?][a-zA-Z0-9]+%u

注意:上述字串中沒有空格。

產品設定

  • 出現次數:1

  • 連線埠:80

注意:如果您有在其他TCP埠(例如8080)上偵聽的Web伺服器,則需要為每個埠號建立單獨的自定義字串匹配。

  • 建議的警報嚴重性級別:

    • 高(Cisco Secure Policy Manager)

    • 5 (Unix Director)

  • 方向:

                  變更為

有關Cisco Secure IDS的詳細資訊,請參閱Cisco Secure Intrusion Detection

相關資訊

修訂記錄

修訂 發佈日期 意見
1.0
10-Dec-2001
初始版本

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品