網絡安全技術顧問托尼·布德瑞博士說:“現在幾乎所有的軟件都存在安全隱患或漏洞,如果你想最大可能地避免病毒及黑客攻擊,就請不要連接互聯網,更不要完全相信你的防火牆……”
城門失守
2004年3月20日,一個星期六的早晨,重慶電信IDC機房的很多服務器突然出現異常情況,服務器似乎受到了溢出攻擊,系統運行遲緩,而更加嚴重的問題是很多服務器重新啟動後陷入了徹底的癱瘓狀態,無法重新引導和修復。
與此同時,全球網絡在短短的半個小時之內,已經有30000多台服務器和個人電腦受到了未知病毒的攻擊而陷入癱瘓狀態。
而且此次攻擊的目標似乎很有針對性,這些被攻擊的機器都有一個相同的特征:安裝有ISS公司的網絡安全產品。
攻擊事件的罪魁很快被查明,結果令大眾非常吃驚,造成此次全球眾多服務器癱瘓的竟是一個名為Witty的蠕蟲病毒,而Witty利用的正是ISS安全系列產品的一個漏洞發動針對性攻擊的。
Witty蠕蟲的傳播方式同沖擊波非常相似,它不需要欺騙用戶打開任何文件,它在感染一台服務器後會迅速地將該服務器變成一個病毒傳播源,通過隨機生成的IP地址嘗試將病毒傳播到新的PC機或服務器上(圖1)。TW.Wingwit.cOm
受攻擊時的流量圖
由於受到攻擊的目標多數為網絡服務器,因此Witty感染的速度也驚人地快。
崩塌的安全支柱
“Witty的傳播速度實在令我們吃驚,在短短半個小時內它就感染了多達32000台機器,這可能是歷史上速度最快的惡意攻擊了。”ISS公司X-Force研發部門副總裁克裡斯·勞蘭德顯然對Witty的到來沒有做好充分的准備,“Witty每秒都會隨機產生20000個IP地址進行攻擊,然後通過ISS產品的漏洞向服務器硬盤中的關鍵分區寫入垃圾數據,覆蓋原有的重要系統數據。它摧毀了整個系統的穩定性,這些破壞最終會導致多數系統在重新啟動時‘藍屏死機’。”
ISS這次漏洞的出現主要是由於ISS安全產品的入侵檢測功能都依賴於一個名為 “iss-pam1.dll”的模塊(圖2),該模塊中包含了協議分析、攻擊特征描述等內容。而iss-pam1.dll在解析著名的通訊軟件ICQ公開的ICQ v5通訊協議時對某些字段沒有處理好,因此導致了緩沖區溢出漏洞。
致漏洞的iss-pam1.dll文件
不過因為這是RealSecure、BlackICE等安全產品對系統接收到的數據包解析過程中出現的問題,所以黑客或病毒要觸發該漏洞時,被攻擊者的系統上並不需要運行ICQ。
iDefense的計算機安全專家肯·鄧哈姆表示,在大多數用戶系統中使用的反病毒軟件很難發現Witty蠕蟲,因為它並不將自己復制到硬盤上,也不修改注冊表,而是常駐內存。互聯網病毒、蠕蟲以及其他惡意軟件往往在受到攻擊的PC上安裝軟件或是打開後門讓黑客控制PC,從而了解用戶的個人信息或是利用受感染的電腦發送垃圾郵件。但Witty蠕蟲卻並非如此,Witty蠕蟲自身並不以文件形式存在,它僅是一段UDP代碼,這種情形類似於CodeRed和SQL Slamer蠕蟲。而且大多數被感染的計算機將不得不重新安裝整個系統,除非用戶決定買新的電腦。他說:“這種病毒的破壞目的非常明確,那就是以Raw Data方式摧毀硬盤數據,導致用戶不得不重新安裝計算機操作系統和所有的軟件。”
其實早在3月18日,著名的安全公司eEye Digital Security就發現了ISS產品中的這個緩沖區溢出漏洞,並通知了ISS公司。但是就在ISS推出該漏洞補丁程序的3月20日,Witty蠕蟲也同時出現在互聯網上,這一切都讓ISS的技術人員和用戶措手不及。而ISS只能看著自己用戶的防火牆和系統一個個“失守”癱瘓。
3月20日~3月22日,僅僅過了兩天時間,ISS產品5%的用戶不同程度地遭到了Witty的“洗劫”,這家世界著名的網絡安全公司對那些由於自己產品漏洞而毀掉系統的用戶顯得如此無能為力。而Witty蠕蟲這種通過防火牆自身的漏洞發起破壞性攻擊的速度與威力也給全世界留下了深刻的印象。
還用不用防火牆
ISS這次城門失守在網絡安全軟件史上並不是頭一次,著名的殺毒軟件公司賽門鐵克也曾經幾次城門失守,但是由於當時黑客技術和病毒技術並沒有非常好融合,因此賽門鐵克幸運地躲過了這些危險的攻擊。
可如今的軟件體積越來越大,而軟件中的重復使用代碼率也相當高,很多公司購買的重復代碼安全性更低,存在很多的漏洞。根據賽門鐵克一年兩次的《互聯網安全威脅報告》稱,2003年軟件公司和安全研究員共向公眾發布了2636個軟件安全漏洞,比2002年的2587個安全漏洞上升了2%。而從2001年至2002年,這一比率上升了81%。
賽門鐵克還稱:43%的網絡攻擊是由於蠕蟲病毒;而40%來源於探測系統漏洞(不全為惡意);另外17%是非蠕蟲導致的闖入系統嘗試。該報告中還描述,過去半年的賽門鐵克高級網絡的偵測中,約有1/3的電腦被MSBlast或Blaster蠕蟲病毒利用進行攻擊。這是因為一台電腦可以用作多個攻擊的工具,很多病毒極大程度地利用了這一點。後果“顯著”的SQL Slammer蠕蟲,在實現的攻擊數量中占1/4,僅利用了2.4%的電腦。這份報告最後指出,已經有兩年以上歷史的紅色代碼和Nimda蠕蟲也仍在網絡上傳播。
Witty在傳播中,在被研究中,在被詛咒中。詛咒是無謂的,如果我們不能徹底戰勝這類病毒,那就應該代之以感謝──感謝它帶給我們的啟示。
一時間,這個高速的網絡之上的每一個人似乎都陷入了自我檢討和反思;感謝它“救”了防火牆,雖然我們付出了幾萬台機器“中招”的代價,但它教會更多人要理性,並重新拋棄那些有防火牆就萬事大吉、天下太平的信念,就像當年拋棄計算機防毒卡一樣。
結束語
最近又有安全組織發現Windows XP的浏覽器在解析目錄中的“wmf”文件時,如果目錄包含零長度記錄,就會發生異常,造成資源管理器崩潰。遠程攻擊者可以發送惡意目錄中包含“wmf”文件的E-mail給目標用戶,並通過用戶點擊來觸發此漏洞。
目前廠商還沒有提供補丁或者升級程序。
小資料
Internet Security Systems Inc.(簡稱ISS),是一家總部位於美國亞特蘭大市的國際著名信息安全公司。ISS公司創始人克瑞斯托弗·克勞斯曾是著名的黑客,而後轉而研究網絡安全技術,並研發出了一系列檢測黑客入侵的產品,他還曾是美國前總統克林頓私人網絡安全顧問。
ISS為眾多美國的大公司提供網絡安全服務,還為美國國家計算機安全協會、美國網絡緊急事務響應小組以及以色列的RSA公司等提供技術及服務。除此之外,ISS公司的BlackICE也是美國大眾使用較為廣泛的一款網絡防火牆,ISS比較著名的產品還有Proventia系列和BlackICE Server防火牆、RealSecure入侵檢測系統。
From:http://tw.wingwit.com/Article/Network/201309/4046.html